Íntegra das Respostas
Este documento contém, na íntegra, as respostas finais dadas pelas operadoras, fabricantes de
modems, Anatel e do advogado Renato Leite, que comentou as responsabilidades dos
fabricantes, na reportagem "Fabricantes de modem anunciam correção de falha que permite
fraudes".
Devido à complexidade do tema e ao detalhamento fornecido em algumas respostas, como da
Anatel e do advogado, este documento está sendo divulgado junto da reportagem para
esclarecer quaisquer dúvidas.
Altieres Rohr
Colunista do G1
http://g1.globo.com/platb/seguranca-digital/
Operadoras
Oi
Data: 03/02/2012
A Oi esclarece que os modens citados pela reportagem não fazem parte do portfólio de
soluções fornecido no modelo de comodato. A companhia está reforçando a verificação de
segurança de todos os modens que compõem seu portfólio de equipamentos de suporte ao
serviço de banda larga Oi Velox e acrescenta que já segue todas as recomendações nacionais e
internacionais de segurança direcionadas a este tipo de aparelho.
GVT
Data: 03/02/2012
ESCLARECIMENTO
A respeito dos modems usados pelos clientes para acessar a Internet da GVT, a empresa
esclarece que:
· Não recebeu nenhuma notificação formal dos fabricantes de modems.
· Não identificou até o presente momento qualquer anormalidade na prestação do serviço de
banda larga aos seus clientes.
Telefônica
Data: 13/02/2012
Nota ao G1
A Telefônica | Vivo informa que foram detectados, há duas semanas, problemas operacionais
de firmware em cerca de oitocentas unidades de modems utilizados por clientes com
endereços IP (Internet Protocol) fixos. A empresa já entrou em contato com cada um dos
clientes envolvidos para solucionar o problema – seja por meio de troca ou atualização do
modem. Como o Speedy tem 4 milhões de clientes em 622 municípios do Estado de São Paulo,
o contingente de modems afetados atinge apenas 0,02% da base de usuários, a grande maioria
deles clientes da versão Business do serviço.
Em caso de dúvida, o cliente pode entrar em contato com as Centrais de Atendimento 103 15
(clientes residenciais) ou 0800 015 1500 (clientes empresariais).
Anatel
Data: 28/02/2012
É necessário saber primeiro se o problema foi ocasionado porque o fabricante não estabeleceu
nenhum mecanismo de controle de acesso ou se foi uma vulnerabilidade descoberta por um
hacker. No caso de ataques de hackers a solução não é resolvida por meio de requisitos, pois
os ataques não seguem padrão nem uma metodologia pré-definida. Os requisitos
estabelecidos pela Agência verificam as funcionalidades mínimas que permitem o
funcionamento do produto, mas não verificam questões de vulnerabilidade quanto à
segurança da informação, pelos motivos expostos acima.
Assim, é de responsabilidade do fabricante do produto, que utilize diferentes esquemas de
segurança e criptografia para não permitir o acesso aos sistemas de controle de seus
equipamentos.
Num primeiro momento, o assunto deve ser analisado pela empresa prestadora do serviço,
para que junto aos fabricantes, possa avaliar quais as causas do problema.
A Anatel entraria na questão se, após a análise das causas, ficasse evidenciado que no
processo de avaliação da conformidade do produto, poderia ser tomada alguma atitude
quanto a incluir novos requisitos de avaliação que pudessem minimizar este tipo de problema.
Att.
Assessoria de Imprensa – Anatel
Fabricantes
Intelbrás
O G1 conversou com a Intelbrás por telefone. A empresa lançou uma correção de firmware no
início de fevereiro. Esclareceu que a atualização para o modem GKM 1220 pode ser baixada
diretamente do site da empresa e que clientes podem entrar em contato com o suporte
técnico no caso de dúvidas.
D-Link
Data: 05/03/2012 (início do contato em 20/01/2012)
A D-Link, há 11 anos no mercado brasileiro, realiza constante testes em seus produtos para
assegurar altos níveis de segurança e confiabilidade.
Recentemente, em um destes testes, a empresa identificou uma falha na segurança em seus
modems modelos DSL-500B e DSL-2640B, originada em peças produzidas por terceiros. Esta
falha permite o acesso não autorizado ao modem, possibilitando a mudança na configuração
do equipamento.
A D-Link Brasil, preocupada com a proteção dos seus clientes, já disponibilizou uma atualização
de firmware que corrige a vulnerabilidade.
Dessa forma, os usuários destes modems, podem atualizar o firmware fazendo dowload no
site HTTP://suporte.dlink.com.br/modem_dlink
TP-Link
Data: 08/02/2012
Boa Tarde Altieres,
Conforme havíamos conversado anteriormente verifiquei com a equipe de engenheiros
diretamente na China, essa falha foi identificada em nossa primeira versão dos equipamentos
no inicio do ano passado, onde foram corrigidos na segunda versão além das atualizações de
firmware que também apresentam a solução.
Desta maneira todos os produtos que estão em comercialização com os chipsets referidos não
apresentam problemas. A solução foi dada, não permitindo o acesso da WAN a LAN, portanto
para que o cliente possa utilizar ele terá que criar uma regra de segurança, mantendo todos os
acessos direcionados apenas a ele.
Qualquer dúvida estarei a disposição.
Att,
Arnaldo Mapelli
Account Executive
-----Mensagem original----De: Altieres Rohr
Enviada em: quarta-feira, 8 de fevereiro de 2012 15:19
Para: 'Arnaldo Mapelli'
Onde está a página da TP-Link referente à falha detalhando os modelos afetados e a solução?
Essa página existe?
Porque com a informação que você me passou, só o que vou poder dizer aos leitores é que
alguns modelos são vulneráveis, e não vou poder informar quais e quais versões, e como
verificar se ele é afetado.
-----Mensagem original----De: Arnaldo Mapelli
Enviada em: quarta-feira, 8 de fevereiro de 2012 15:22
Para: 'Altieres Rohr'
Altieres,
Como informei, isso foi constatado na fábrica, e não foi divulgado, caso queira, posso fornecer
uma carta de confirmação da solução, porém assim como não há nenhuma confirmação de
que os equipamentos da TP-LINK possuem este problema, não houve nenhuma necessidade
de resposta a população.
Arnaldo Mapelli
Account Executive
Comtrend, Linksys, LG-Ericsson
Não foi possível localizar um contato de imprensa com a Comtrend e com a LG-Ericsson. O
formulário de contato nos sites foi preenchido, mas não foi respondido.
A Linksys não respondeu o e-mail enviado para o endereço de contato informado no site
Linksys.com.br.
O G1 observa que a brecha, inicialmente divulgada em março de 2011, foi divulgada para um
modem da Comtrend que usa o chipset vulnerável da Broadcom.
Renato Leite Monteiro – Opice Blum Advogados
Data: 15/03/2012 (conversa por telefone com o mesmo teor em 07/02/2012)
Prezado Altieres,
Como conversado ao telefone, segue as respostas aos seus questionamentos:
1. Como se caracteriza a responsabilidade do provedor no caso de um modem cedido? De que
forma isso diferente da responsabilidade do provedor em um conteúdo que é postado por um
usuário usando a rede dele?
Existem dois tipos de responsabilidade, a subjetiva e a objetiva. A subjetiva acontece quando
se é necessário provar que alguém, seja pessoa física ou jurídica, foi omissa, negligente ou
imperita. A objetiva se dá quando não se é necessário provar a culpa, apenas a ocorrência do
dano e o nexo causal entre a pessoa e quem sofreu este dano. A responsabilidade objetiva é
atribuída a empresas por estas estarem sujeitas ao risco da atividade. Todavia, essa teoria não
tem sido aplicada a intermediários de Internet.
Os intermediários de internet são os que provêem os serviços de Internet que normalmente
utilizamos, como Google e Facebook. Estes passam a ser responsáveis por eventuais ilícitos
apenas se forem omissos após o conhecimento da existência destes. Ou seja, eles têm que ter
conhecimento que um ilícito está acontecendo através de seus serviços.
No caso de um modem cedido, ou aparelho fornecido por um provedor de acesso à Internet, a
esta será aplicada a responsabilidade objetiva, ou seja, sem a necessidade de se provar culpa.
Caso esse modem venha a apresentar qualquer problema que cause um prejuízo ao
consumidor, a empresa que o cedeu e/ou fabricou será responsável e deverá ressarcir o
cliente pelos danos.
2. O que acontece no caso dos fabricantes dos equipamentos? O que pode aumentar ou reduzir
a responsabilidade dos fabricantes de modems diante da brecha?
Com relação aos fabricantes, a responsabilidade é a mesma. São eles responsáveis por
eventuais danos causados aos clientes que sofreram ataques por uma brecha nos modems.
Todavia, cabe ao consumidor escolher quem irá processar, se o fornecedor ou o fabricante.
Quem destes dois posteriormente se sentir lesado poderá entrar com uma ação contra o outro,
para ter os valores perdidos ressarcidos.
Att.,
Renato Leite Monteiro (OAB/CE 20.068)
Direito Eletrônico e Digital
Opice Blum Advogados Associados