[GTER] CGNAT, Logs de Conexão e Portas Lógicas

[Marcelo Gondim]

Em 21/11/2018 09:03, Braian escreveu:
> Sobre o assunto CGNAT, estou testando o Bulk em roteadores Cisco ASR e 
> percebi que eles muitas vezes entregam o mesmo bloco de portas para 
> endereços diferentes, desde que o protocolo não seja o mesmo. Por 
> exemplo, um cliente pode receber o bloco 48128-48639 TCP e outro 
> receber esse mesmo bloco UDP, ambos saindo para a internet com o mesmo 
> IP publico.
>
> Nesse caso, a identificação dependeria de saber, além da porta de 
> origem, o protocolo, correto?

Aí é loucura demais!!! Não gostei mesmo dessa abordagem rsrsrsrs sem 
falar isso mesmo que você colocou, teria que saber qual o protocolo 
utilizado. Nem quero imaginar isso aqui na rede. kkkkkk

>
>
> Att. Braian Jacomelli
> Analista de Redes
>
> Em 19/11/2018 01:06, Fernando Frediani escreveu:
>> Olá.
>>
>> Complementando a mensagem anterior e respondendo algumas questões 
>> colocadas.
>>
>> De fato em alguns dos casos que pude verificar a solicitação acaba 
>> vindo sem a informação da porta de origem. Isso pode ser dar tanto 
>> pela falta de informação sobre esta necessidade por parte da pessoa 
>> ou autoridade que solicita, quanto da recusa por parte do Provedor de 
>> Conteúdo em fornecer ou sequer possuir a informação. Em um dos casos 
>> aconteceu do juiz não acreditar na necessidade da porta de origem 
>> para identificação do usuário e insistir que a identificação deveria 
>> ser feita sem conseguir compreender ser materialmente impossível no 
>> caso de uso de CGNAT sem o fornecimento da porta de origem pelo 
>> provedor de conteúdo.
>> Isso é muito grave e acaba gerando uma grande desinformação que 
>> precisa ser desfeita em algum momento sob pena do juiz continuar 
>> acreditando que o provedor de acesso esta se recusando a cumprir a 
>> ordem e aplicar algum tipo de punição.
>>
>> Quando se deparar com esse tipo de situação e caso não for possível 
>> identificar o usuário por se tratar de CGNAT é necessário explicar ao 
>> juiz em detalhes as razões técnicas da impossibilidade do cumprimento 
>> daquela determinação. Além da sua própria explicação considero também 
>> bastante importante citar o Relatório do Grupo de Trabalho para 
>> Implantação do IPv6 composto por NIC.br, ANATEL e prestadoras que diz 
>> de maneira bastante clara que a guarda da porta de origem é 
>> "requisito necessário" para que se viabilize a quebra do sigilo nos 
>> casos previsos legalmente, tanto para provedores de conteúdo quanto 
>> para de acesso e em último caso, se necessário, envolver perícia 
>> técnica.
>> O conteúdo desta informação no relatório pode ser encontrado às 
>> páginas 7, 8, 9 e principalmente na 14 que contém uma excelente 
>> explicação mais detalhada sobre a necessidade da porta de origem para 
>> identificação do usuário no caso de CGNAT.
>>
>> Por isso é importante no caso dos Provedores de Acesso possuírem toda 
>> a sistemática necessária para registro das portas de origem 
>> utilizadas pelos usuários, seja através de CGNAT Bulk ou 
>> Determinístico sendo assim possível demonstrar de maneira inconteste 
>> que a empresa cumpre integralmente o determinado pelo Marco Civil da 
>> Internet e está apta a realizar qualquer identificação que seja 
>> requisitada desde que de posse das informações mínimas necessárias 
>> para isso.
>>
>> Fernando Frediani
>>
>>
>> On 14/11/2018 17:26, Fernando Frediani wrote:
>>> Olá a todos.
>>>
>>> É crescente o número de Provedores de Internet que têm recorrido à 
>>> técnica do CGNAT como forma de continuar oferecendo acesso em IPv4.
>>>
>>> Desde que comecei a estudar este assunto assim como as implicações 
>>> do Marco Civil da Internet, tenho acompanhado de perto discussões e 
>>> debates a respeito de detalhes, tanto técnicos quanto legais que 
>>> devem ser levados em conta quando se adota esta estratégia. Quero 
>>> compartilhar com vocês um dos pontos que é bastante importante notar 
>>> desde o início de qualquer implantação de CGNAT. Existem vários 
>>> outros que são igualmente importantes mas neste texto vou me ater a 
>>> apenas um, os Logs Conexão.
>>>
>>> Já é ponto passivo que há a necessidade legal para qualquer Sistema 
>>> Autônomo, imposta principalmente pelo Marco Civil da Internet, de se 
>>> guardar o registro de conexão dos usuários, independente da 
>>> utilização de CGNAT ou IPv4/IPv6 Público. Isto é, o registro de qual 
>>> endereço IP foi entregue a um determinado cliente no momento que ele 
>>> se autenticou permitindo assim a sua identificação. Algumas pessoas 
>>> confundem isso com registrar todas conexões abertas pelo usuário no 
>>> decorrer do uso da Internet. Não se trata disso e inclusive é vedado 
>>> sob pena de se violar a privacidade do usuário dependendo de como 
>>> feito. Via de regra você precisa apenas ter registrado o endereço IP 
>>> utilizado por ele para posterior identificação, caso haja uma 
>>> demanda legal para tal.
>>>
>>> O problema, como a maioria aqui sabe, é que quando se utiliza CGNAT 
>>> somente o registro de 1 endereço de IP Público não é suficiente para 
>>> identificar o usuário. É necessário guardar também a porta de ORIGEM 
>>> por ele utilizada.
>>> O pessoal da área jurídica costuma se referir à isso como "Portas 
>>> Lógicas", talvez você já tenha ouvido falar.
>>>
>>> E é nesse ponto que ainda existem divergências à respeito desta 
>>> obrigatoriedade. Alguns dizem que a interpretação literal da Lei não 
>>> fala nada sobre as "Portas Lógicas", outros no entanto dizem que é 
>>> necessário também interpretar a Lei e se perguntar: "Qual é a 
>>> essência da Lei ?". E uma das essências da Lei para muitos é 
>>> justamente a identificação do usuário, portanto neste ponto de vista 
>>> ela obriga sim a guarda também das portas de origem.
>>>
>>> Lendo a lei de maneira fria de fato ela não cita nada específico 
>>> sobre portas lógicas, porém ela dá uma série de indicações sobre 
>>> isso como por exemplo quando cita termos como "código atribuído a um 
>>> terminal da uma rede para permitir a sua identificação".
>>> Ademais uma Lei, sobretudo regulando questões que envolvem 
>>> tecnologia, não pode em deve ser tão específica que a engesse frente 
>>> às rápidas evoluções tecnológicas. O CGNAT é apenas uma solução 
>>> técnica para um problema que ainda não era tão latente à época da 
>>> escrita da Lei. Ainda sim não tira o mérito dela de exigir a 
>>> identificação do usuário para aqueles que a interpretam dessa 
>>> maneira, em que pese a evolução tecnológica ocorrida desde a sua 
>>> entrada em vigor.
>>>
>>> Tenho percebido que em determinas situações há ainda certa 
>>> resistência por parte de alguns Provedores de Conteúdo de registrar 
>>> a porta de origem e é ai que existe um número razoável de 
>>> contestações sobre essa necessidade. Particularmente não creio que 
>>> isso se deva à falta de vontade de colaborar com uma investigação 
>>> mas apenas com o trabalho necessário envolvido para se adaptar um 
>>> determinado sistema ou plataforma para incluir aquele registro nos 
>>> logs.
>>> No entanto fácil ou difícil de se realizar essa adaptação, uma Lei 
>>> uma vez aprovada e sancionada não se importa com isso, ela apenas 
>>> exige que se cumpra.
>>>
>>> Outra situação que tem se mostrado comum, desta vez para Provedores 
>>> de Acesso, é não haver o registro da porta de origem e acabar se 
>>> entregando à autoridade solicitante a identificação de todos os 
>>> usuários que estavam compartilhando aquele endereço de IPv4 Público 
>>> em determinado momento, sejam eles 16, 32, 64 clientes. Infelizmente 
>>> isso não atende à solicitação por completo, não ajuda muito à 
>>> solucionar um crime eventualmente já cometido e ainda acaba 
>>> suscitando dúvidas à respeito da violação da privacidade de outros 
>>> 31 usuários que não tinham nada à ver com aquela investigação, no 
>>> caso do CGNAT ser 1:32 por exemplo.
>>>
>>> Lembrando que caso a interpretação da Lei feita pelo juiz for de que 
>>> a essência dela é a identificação do usuário, entregar uma lista de 
>>> 16, 32 ou 64 clientes não faz o provedor estar em acordo com a Lei e 
>>> ainda deixa em aberto a possibilidade de se aplicar sanções desde 
>>> advertência, multa e até outras mais graves.
>>>
>>> Em recente decisão o STJ (Superior Tribunal de Justiça) determinou 
>>> que deve haver o armazenamento da porta lógica (porta de origem) sob 
>>> pena de violação da identificação do usuário. Também já é possível 
>>> encontrar diversas decisões de Tribunais de Justiça dos Estados 
>>> neste mesmo sentido. É possível encontrar também em alguma decisões 
>>> judiciais citações ao relatório do Grupo de Trabalho para 
>>> Implantação do IPv6 composto por NIC.br, ANATEL e prestadoras que 
>>> diz que a guarda da porta de origem é "requisito necessário" para 
>>> que se viabilize a quebra do sigilo nos casos previsos legalmente, 
>>> tanto para provedores de conteúdo quanto para de acesso.
>>>
>>> Independente da sua interpretação eu gostaria de convidá-lo à fazer 
>>> um raciocínio lógico e rápido: será que vale a pena não ter o 
>>> registro das portas de origem e continuar com a possibilidade de ter 
>>> que lidar com possíveis demandas legais que cedo ou tarde virão e 
>>> ter que se explicar para a autoridade que você não considera 
>>> necessário guardá-las ?
>>> Lembre-se que dentre essas pessoas que farão a demanda (delegados, 
>>> promotores, defensores, advogados de defesa da uma vítima de um 
>>> crime e até mesmo o juiz) pode haver quem não aceite bem a 
>>> interpretação que não é necessário guardar a porta de origem.
>>> Ou será que é muito mais produtivo ter este detalhe extra nos seus 
>>> logs, entregá-los a quem solicitar sempre sob determinação do juiz e 
>>> terminar a sua parte por ali ?
>>>
>>> Lembre-se que colaborando com a investigação de um crime não 
>>> significa apenas estar de acordo com uma Lei, mas principalmente 
>>> estar cumprindo uma função social de auxiliar a trazer justiça para 
>>> aquela situação.
>>>
>>> Saudações
>>> Fernando Frediani
>>>