[GTER] Re: [GTER] NTP e a Legislação pátria

Tue Aug 13 01:58:00 -03 2002

O CG Internet-BR já mencionava sincronismo de tempo neste documento de 1999:
http://www.cg.org.br/acoes/desenvolvimento.htm

Após sugestões ressonantes do GT-ER, GT-S e NBSO,
o CG aprovou verba para aquisição de equipamentos para o ON(fonte da hora
oficial brasileira) já em 2000:
http://www.cg.org.br/acoes/2000/rea-2000-09.htm

O ítem sincronismo de tempo está presente como esperado nessa recomendação
atualizada do NBSO:
http://www.nic.br/docs/seg-adm-redes.html

Além dos backbones como citado no documento, o ON presta serviços de difusão
da hora oficial:
http://pcdsh01.on.br/

Em termos de legislação, a sincronização de tempo é prevista na
infra-estrutura de chaves públicas brasileiras, vide
http://www.icpbrasil.gov.br/RES_ICP16.htm
(O que obriga o sistema financeiro todo a ter hora sincronizada no SPB; daí
para o Internet banking é um pulinho)

O que mais haveria de ação coordenada a se fazer a respeito ? Me parece que
quem precisa saber, já sabe e já há informação e estrutura suficiente para
os que forem chegando, saberem. Se a adoção não é maciça como esperável,
isso é algo a se tentar resolver por "evangelização"... um dia todo mundo
acha a luz.

Rubens

----- Original Message -----
From: "Jose Navas Junior" <technosoft at uol.com.br>
To: "GT-ER" <gter at eng.registro.br>
Sent: Monday, August 12, 2002 10:12 PM
Subject: [GTER] NTP e a Legislação pátria

Aproveitando o ensejo, lanço a dúvida pois estou um pouco "por fora" dos
movimentos aplicados pelos backbones e ISPs rumo a utilização ampla de
sistemas de sincronia de data/hora baseada no protocolo NTP.

Embora seja algo tecnicamente muito simples de ser implementado um Stratum 2
ou 3 por parte dos provedores, e mais ainda por parte dos usuários com NTP
"clients", vejo que em muitos provedores comerciais de grande porte, e sites
hospedados em IDCs, o que se vê são relógios absolutamente inconsistentes. A
hora estampada pelos servidores SMTPs ou reportadas até mesmo por sistemas
"seguros" (comércio eletrônico) não raramente apresentam disparidades
absurdas.

Tentei argumentar com alguns empresários e gerentes de operação destes
sistemas sobre a facilidade e necessidade de se implementar uma política de
sincronia de relógio, apresentando aspectos como:

- LOG de atividades consistentes, quando da necessidade de auditoria ou
depuração de "ataques" genéricos no sistema
- Controle preciso de duração de sessões, expiração de sessões, etc.
- estampa correta de data/hora em e-mails gerados a partir de sistemas
internos (formularios, auto-resposta, WebMails, etc)

entre outras mil e uma "utilidades" e custo ZERO de se manter o sistema "na
hora certa".

Infelizmente tal consciência é ampla apenas em sistemas
acadêmicos/educacionais, embora seja uma espécie de "caixa de pandora" para
grande parte dos SysOps de sistemas comerciais, que é por onde grande
quantidade de dinheiro circula pela via eletrônica.

Sinceramente me preocupei em saber se existiria algum movimento de
conscientização por parte dos "backbones" em oferecer servidores Stratum 1
ou mesmo 2 para servir de fonte de sincronia para seus clientes, que podem
então erguer seus proprios "stratum" a partir de um servidor local,
sincronizando o restante da rede.

Tal preocupacao vem de encontro justamente ao assunto sobre o SPAM, no
artigo de autoria do Dr. Omar Kaminski, já divulgado aqui, embora (me
penitencio novamente) sem os devidos cuidados de referencia autoral a epoca
de inicial divulgação.

Penso que uma legislação forte é necessária visando coibir práticas de SPAM
que levam a prejuízo desde o usuário final até grandes coorporações, no
entanto, como identificar um "spammer" pelo IP a ponto de ensejar o
necessário "valor probante" aos LOGs do provedor,  se o mesmo está com os
relógios internos de seus servidores absolutamente errados, maculando
totalmente a prova ou mesmo o indício ?!

Como comprovar uma compra ou transferir informações devidamente "assinadas"
digitalmente se relógios de servidores e estações estão inconsistentes, e
depois, se necessário, buscar a prestação jurisdicional para tutelar
eventual direito lesado, se nem mesmo a "hora" da transação eletrônica pode
ser aferida com exatidão ?!

Grande parte dos membros desta lista são administradores de sistemas,
gerentes de operações, consultores, de modo que tenho certeza muitos já
passaram pela situação, alguns cotidianamente, de auditar um LOG de algum
"lammer" tentando entrar no sistema, identificar um caluniador/difamador
desferindo e-mails contra seu desafeto (ainda mais em épocas eleitorais
!!!), ou simplesmente identificar um "spammer" que causa mal estar ao
andamento do sistema.

O Juíz busca a verdade, na tutela civil a "verdade formal", a que está nos
autos, em regra (sem querer me delongar em divagações doutrinárias e
conflitantes). Se um Administrador do Sistema não consegue provar a
idoneidade técnica de seu LOG mostrando que NAQUELA HORA, DAQUELE IP, O
USUÁRIO "X" CAUSOU DANO a alguém, infelizmente o juíz, no mais das vezes e
na dúvida da consistencia técnica da informação, irá rechaçar a prova e
mesmo com uma forte legislação, esta não será aplicada ao caso concreto
visando a recomposição dos danos do lesado.

Por isso realmente me preocupei muito com o fato de uma parte da comunidade
de "backend" da Internet estar em "albis" em relação a utilização de
serviços NTP.

Há alguma "força tarefa" efetivamente em ação no Brasil, em algum lugar,
composta de operadores do Direito e técnicos/engenheiros/analistas de
informática e Telecom visando harmonizar e viabilizar tecnicamente os
sistemas para uma nova legislação ???

Desculpem minha ignorância sobre o assunto, mas pergunto, pois, realmente
não sei a resposta ... e me preocupa muito se a mesma for negativa.

Deixo as dúvidas com as senhoras e senhores ... a "sinergia" é o elo entre o
mundo jurídico e técnico da Internet no Brasil, sem o qual creio ser deveras
complicado se aplicar a legislação vindoura, por mais moderna que seja, ao
caso concreto, ao mundo real.

Minha opinição.

Salvo Melhor Juízo.

Abraços a todos.

--
José Navas Júnior
http://www.navas.adv.br