[GTER] Re: [GTER] NTP e a Legislação pátria

Jeronimo de A Barros jero at i2.com.br
Tue Aug 13 09:49:00 -03 2002 

Oi...

	Isto que o Manta falou e' muito interessante: "quaisquer logs que
contenham informação de tempo que não esteja sincronizada com o Serviço da
Hora do ON não são válidos perante a lei".

	O problema e' que sao pouquissimos, realmente proximo do zero, os
casos que chegam a virar uma disputa judicial. Como a grande maioria dos
incidentes passa "batido", quase ninguem (em relacao, hoje, `a Internet
Brasileira) se importa em tornar sua rede segura para o resto da
comunidade e, muito menos, se importa se seus logs (quando guardam os
logs) estao com a hora certa ou se esta' no horario do Nepal...

	Como nos so' podemos transformar em queixa alguma coisa que tenha
dado um prejuizo mensuravel perante a Lei, muitas vezes nao podemos chamar
na responsabilidade os administradores e cordenadores de determinadas
redes, eles simplesmente vao utilizar a solucao mais barata: ou descartam
a notificacao ou enviam um e-mail automatico-padrao e descartam a
notificacao do mesmo. Ja' foi muito bem esclarecido que, na Internet, ao
contrario da vida real, se alguem tentar invadir a sua casa o onus da
prova e' da vitima e nao do atacante (e' este o termo juridico ? nao sei
bem).

	O problema e' muito mais grave doque parece, o NTP, apesar da
enorme importancia, acredito tratar-se apenas da ponta do iceberg...

	Somente quando a coisa pesa no bolso e' que providencias sao
tomadas e, para estas redes, enquanto o cliente deles estiver pagando,
pode fazer oque bem entender e, literalmente, nao estao nem ai' para quem
achar ruim ou nao gostar de receber spam e tentativas de ataque.

	Uma coisa que o Fred sempre tenta colocar na cabeca do povo nas
reunioes do GTER e' que "a rede Internet e' uma rede colaborativa", oque
e' de fato a mais pura verdade, infelizmente muitas "corporacoes" nao
pensam assim.

	Enquanto isso, como o Jonny alertou outro dia aqui na lista, o
bloco brasileiro vai aos poucos sendo inserido em diversas listas negras
pelo mundo afora (ex.: www.netcraft.com nao e' mais acessivel ao bloco
200.128/9).

Abracos, Jero

On Tue, 13 Aug 2002, Manta, Marcelo [BLMES:0B70:EXCH] wrote:

> Date: Tue, 13 Aug 2002 11:47:52 +0200
> From: "Manta, Marcelo [BLMES:0B70:EXCH]" <manta at ieee.org>
> Reply-To: gter at eng.registro.br
> To: gter at eng.registro.br
> Subject: Re: [GTER] Re: [GTER] NTP e a Legislação pátria
>
> Adicionando ao que disse o Rubens, em caso de disputas judiciais,
> quaisquer logs que contenham informação de tempo que não esteja
> sincronizada com o Serviço da Hora do ON não são válidos perante a lei
> (os detalhes da lei se encontram no site do Serviço da Hora).
>
> "Rubens Kuhl Jr." wrote:
> >
> > O CG Internet-BR já mencionava sincronismo de tempo neste documento de 1999:
> > http://www.cg.org.br/acoes/desenvolvimento.htm
> >
> > Após sugestões ressonantes do GT-ER, GT-S e NBSO,
> > o CG aprovou verba para aquisição de equipamentos para o ON(fonte da hora
> > oficial brasileira) já em 2000:
> > http://www.cg.org.br/acoes/2000/rea-2000-09.htm
> >
> > O ítem sincronismo de tempo está presente como esperado nessa recomendação
> > atualizada do NBSO:
> > http://www.nic.br/docs/seg-adm-redes.html
> >
> > Além dos backbones como citado no documento, o ON presta serviços de difusão
> > da hora oficial:
> > http://pcdsh01.on.br/
> >
> > Em termos de legislação, a sincronização de tempo é prevista na
> > infra-estrutura de chaves públicas brasileiras, vide
> > http://www.icpbrasil.gov.br/RES_ICP16.htm
> > (O que obriga o sistema financeiro todo a ter hora sincronizada no SPB; daí
> > para o Internet banking é um pulinho)
> >
> > O que mais haveria de ação coordenada a se fazer a respeito ? Me parece que
> > quem precisa saber, já sabe e já há informação e estrutura suficiente para
> > os que forem chegando, saberem. Se a adoção não é maciça como esperável,
> > isso é algo a se tentar resolver por "evangelização"... um dia todo mundo
> > acha a luz.
> >
> > Rubens
> >
> > ----- Original Message -----
> > From: "Jose Navas Junior" <technosoft at uol.com.br>
> > To: "GT-ER" <gter at eng.registro.br>
> > Sent: Monday, August 12, 2002 10:12 PM
> > Subject: [GTER] NTP e a Legislação pátria
> >
> > Aproveitando o ensejo, lanço a dúvida pois estou um pouco "por fora" dos
> > movimentos aplicados pelos backbones e ISPs rumo a utilização ampla de
> > sistemas de sincronia de data/hora baseada no protocolo NTP.
> >
> > Embora seja algo tecnicamente muito simples de ser implementado um Stratum 2
> > ou 3 por parte dos provedores, e mais ainda por parte dos usuários com NTP
> > "clients", vejo que em muitos provedores comerciais de grande porte, e sites
> > hospedados em IDCs, o que se vê são relógios absolutamente inconsistentes. A
> > hora estampada pelos servidores SMTPs ou reportadas até mesmo por sistemas
> > "seguros" (comércio eletrônico) não raramente apresentam disparidades
> > absurdas.
> >
> > Tentei argumentar com alguns empresários e gerentes de operação destes
> > sistemas sobre a facilidade e necessidade de se implementar uma política de
> > sincronia de relógio, apresentando aspectos como:
> >
> > - LOG de atividades consistentes, quando da necessidade de auditoria ou
> > depuração de "ataques" genéricos no sistema
> > - Controle preciso de duração de sessões, expiração de sessões, etc.
> > - estampa correta de data/hora em e-mails gerados a partir de sistemas
> > internos (formularios, auto-resposta, WebMails, etc)
> >
> > entre outras mil e uma "utilidades" e custo ZERO de se manter o sistema "na
> > hora certa".
> >
> > Infelizmente tal consciência é ampla apenas em sistemas
> > acadêmicos/educacionais, embora seja uma espécie de "caixa de pandora" para
> > grande parte dos SysOps de sistemas comerciais, que é por onde grande
> > quantidade de dinheiro circula pela via eletrônica.
> >
> > Sinceramente me preocupei em saber se existiria algum movimento de
> > conscientização por parte dos "backbones" em oferecer servidores Stratum 1
> > ou mesmo 2 para servir de fonte de sincronia para seus clientes, que podem
> > então erguer seus proprios "stratum" a partir de um servidor local,
> > sincronizando o restante da rede.
> >
> > Tal preocupacao vem de encontro justamente ao assunto sobre o SPAM, no
> > artigo de autoria do Dr. Omar Kaminski, já divulgado aqui, embora (me
> > penitencio novamente) sem os devidos cuidados de referencia autoral a epoca
> > de inicial divulgação.
> >
> > Penso que uma legislação forte é necessária visando coibir práticas de SPAM
> > que levam a prejuízo desde o usuário final até grandes coorporações, no
> > entanto, como identificar um "spammer" pelo IP a ponto de ensejar o
> > necessário "valor probante" aos LOGs do provedor,  se o mesmo está com os
> > relógios internos de seus servidores absolutamente errados, maculando
> > totalmente a prova ou mesmo o indício ?!
> >
> > Como comprovar uma compra ou transferir informações devidamente "assinadas"
> > digitalmente se relógios de servidores e estações estão inconsistentes, e
> > depois, se necessário, buscar a prestação jurisdicional para tutelar
> > eventual direito lesado, se nem mesmo a "hora" da transação eletrônica pode
> > ser aferida com exatidão ?!
> >
> > Grande parte dos membros desta lista são administradores de sistemas,
> > gerentes de operações, consultores, de modo que tenho certeza muitos já
> > passaram pela situação, alguns cotidianamente, de auditar um LOG de algum
> > "lammer" tentando entrar no sistema, identificar um caluniador/difamador
> > desferindo e-mails contra seu desafeto (ainda mais em épocas eleitorais
> > !!!), ou simplesmente identificar um "spammer" que causa mal estar ao
> > andamento do sistema.
> >
> > O Juíz busca a verdade, na tutela civil a "verdade formal", a que está nos
> > autos, em regra (sem querer me delongar em divagações doutrinárias e
> > conflitantes). Se um Administrador do Sistema não consegue provar a
> > idoneidade técnica de seu LOG mostrando que NAQUELA HORA, DAQUELE IP, O
> > USUÁRIO "X" CAUSOU DANO a alguém, infelizmente o juíz, no mais das vezes e
> > na dúvida da consistencia técnica da informação, irá rechaçar a prova e
> > mesmo com uma forte legislação, esta não será aplicada ao caso concreto
> > visando a recomposição dos danos do lesado.
> >
> > Por isso realmente me preocupei muito com o fato de uma parte da comunidade
> > de "backend" da Internet estar em "albis" em relação a utilização de
> > serviços NTP.
> >
> > Há alguma "força tarefa" efetivamente em ação no Brasil, em algum lugar,
> > composta de operadores do Direito e técnicos/engenheiros/analistas de
> > informática e Telecom visando harmonizar e viabilizar tecnicamente os
> > sistemas para uma nova legislação ???
> >
> > Desculpem minha ignorância sobre o assunto, mas pergunto, pois, realmente
> > não sei a resposta ... e me preocupa muito se a mesma for negativa.
> >
> > Deixo as dúvidas com as senhoras e senhores ... a "sinergia" é o elo entre o
> > mundo jurídico e técnico da Internet no Brasil, sem o qual creio ser deveras
> > complicado se aplicar a legislação vindoura, por mais moderna que seja, ao
> > caso concreto, ao mundo real.
> >
> > Minha opinição.
> >
> > Salvo Melhor Juízo.
> >
> > Abraços a todos.
> >
> > --
> > José Navas Júnior
> > http://www.navas.adv.br
> >
> > --
> > GTER list    http://eng.registro.br/mailman/listinfo/gter
>
> --
> Marcelo Manta
> Barcelona Technology Center
> manta at nortelnetworks.com
> phone: +34 67 699-5921 (ESN 746)
> --
> GTER list    http://eng.registro.br/mailman/listinfo/gter
>

More information about the gter mailing list