[GTER] Re: [GTER] Re: [GTER] NTP e a Legislação pátria

[Jose Navas Junior]

Exato, caro Jero !!!

O Manta exatamente apontou o maior problema de todos, a invalidação, pura e
simplesmente, de um LOG, por este não estar sendo gerado em um sistema
baseado em "sincronia de hora" (NTP).

Rubens, extremamente grato por ter compilado todas as informações a respeito
em sua mensagem, no tocante ao que tem sido feito efetivamente desde 1999
visando a difusão do NTP.

Infelizmente creio que acertou em cheio quando na identificação da cerne do
problema -> EVANGELIZAÇÃO !

Temos os documentos, os meios, as reuniões neste sentido, as instruções
normativas e agora a legislação tutelando aspectos jurídicos do problema, no
entanto um administrador pode simplesmente, como o Jero muito bem reportou,
simplesmente se esquivar e não fornecer o LOG ou "alegar a própria torpeza",
dizendo que nem adianta fornecer um LOG pois os relógios de seus servidores
estão todos errados mesmo ...

Creio que ao lado da evangelização, seria necessário, sob o aspecto
jurídico, a sanção, a responsabilização solidária do provedor,
pecuniariamente falando, caso este não forneça elementos para a validação de
um LOG, seja de segurança, seja para comprovação de uma transação ou
simplesmente para correta identificação de um "spammer".

A conscientização do "empresário virtual", aquele que tem seus negócios na
Internet, e com isto aufere efetivamente ganho financeiro, é algo ainda
distante da realidade dos movimentos do GTER, do Comitê Gestor, dos
backbones, neste sentido.

Alias, me preocupa vislumbrar que apenas uma parcela de profissionais do
"backend" da Internet no país sabe sequer da existência da um comitê Gestor.

Com isto, podem prolifera-se os provedores que irão dar efetivo acesso aos
usuários, prover sites de comércio eletrônico com movimentos milionários
(quiçá "bilionários" no futuro), cujos administradores simplesmente ignoram
a existência de uma regulamentação normativa quanto ao uso de NTP, e sequer
configuram os "reversos" nos IPs de seus hosts, numa clara demonstração de
falta de sintonia com tudo o que se cria em grupos de trabalho visando a
segurança e o bem-estar do usuário final, destinatário máximo da Internet
comercial atualmente.

O problema é -> quando precisarmos identificar numa situação real e
palpável, um "spammer", um cracker ou mesmo esclarecermos "pericialmente"
uma transação vultuosa realizada por meio de um site de comércio eletrônico
(B2B e B2C), como nos respaldamos contra um e-mail padrão do administrador
do sistema dizendo que "Este problema é com o mantenedor da loja virtual, e
o LOG da transação que temos está em anexo mas a hora não está correta pois
não utilizamos um sistema de NTP para sincronia dos relógios de nossos
servidores ... sem mais para o momento ... etc, etc".

Não concordam que este provedor precisa ser responsabilizado junto pela
composição dos danos ?! Ou "fica por isso mesmo" e vamos pra próxima ?!

"Evangelização" (citando Rubens Kuhl, com sua permissão) e sanção ...

----- Original Message -----
From: "Jeronimo de A Barros" <jero at i2.com.br>
To: <gter at eng.registro.br>
Sent: Tuesday, August 13, 2002 9:48 AM
Subject: Re: [GTER] Re: [GTER] NTP e a Legislação pátria


> Oi...
>
> Isto que o Manta falou e' muito interessante: "quaisquer logs que
> contenham informação de tempo que não esteja sincronizada com o Serviço da
> Hora do ON não são válidos perante a lei".
>
> O problema e' que sao pouquissimos, realmente proximo do zero, os
> casos que chegam a virar uma disputa judicial. Como a grande maioria dos
> incidentes passa "batido", quase ninguem (em relacao, hoje, `a Internet
> Brasileira) se importa em tornar sua rede segura para o resto da
> comunidade e, muito menos, se importa se seus logs (quando guardam os
> logs) estao com a hora certa ou se esta' no horario do Nepal...
>
> Como nos so' podemos transformar em queixa alguma coisa que tenha
> dado um prejuizo mensuravel perante a Lei, muitas vezes nao podemos chamar
> na responsabilidade os administradores e cordenadores de determinadas
> redes, eles simplesmente vao utilizar a solucao mais barata: ou descartam
> a notificacao ou enviam um e-mail automatico-padrao e descartam a
> notificacao do mesmo. Ja' foi muito bem esclarecido que, na Internet, ao
> contrario da vida real, se alguem tentar invadir a sua casa o onus da
> prova e' da vitima e nao do atacante (e' este o termo juridico ? nao sei
> bem).
>
> O problema e' muito mais grave doque parece, o NTP, apesar da
> enorme importancia, acredito tratar-se apenas da ponta do iceberg...
>
> Somente quando a coisa pesa no bolso e' que providencias sao
> tomadas e, para estas redes, enquanto o cliente deles estiver pagando,
> pode fazer oque bem entender e, literalmente, nao estao nem ai' para quem
> achar ruim ou nao gostar de receber spam e tentativas de ataque.
>
> Uma coisa que o Fred sempre tenta colocar na cabeca do povo nas
> reunioes do GTER e' que "a rede Internet e' uma rede colaborativa", oque
> e' de fato a mais pura verdade, infelizmente muitas "corporacoes" nao
> pensam assim.
>
> Enquanto isso, como o Jonny alertou outro dia aqui na lista, o
> bloco brasileiro vai aos poucos sendo inserido em diversas listas negras
> pelo mundo afora (ex.: www.netcraft.com nao e' mais acessivel ao bloco
> 200.128/9).
>
> Abracos, Jero
>
> On Tue, 13 Aug 2002, Manta, Marcelo [BLMES:0B70:EXCH] wrote:
>
> > Date: Tue, 13 Aug 2002 11:47:52 +0200
> > From: "Manta, Marcelo [BLMES:0B70:EXCH]" <manta at ieee.org>
> > Reply-To: gter at eng.registro.br
> > To: gter at eng.registro.br
> > Subject: Re: [GTER] Re: [GTER] NTP e a Legislação pátria
> >
> > Adicionando ao que disse o Rubens, em caso de disputas judiciais,
> > quaisquer logs que contenham informação de tempo que não esteja
> > sincronizada com o Serviço da Hora do ON não são válidos perante a lei
> > (os detalhes da lei se encontram no site do Serviço da Hora).
> >
> > "Rubens Kuhl Jr." wrote:
> > >
> > > O CG Internet-BR já mencionava sincronismo de tempo neste documento de
1999:
> > > http://www.cg.org.br/acoes/desenvolvimento.htm
> > >
> > > Após sugestões ressonantes do GT-ER, GT-S e NBSO,
> > > o CG aprovou verba para aquisição de equipamentos para o ON(fonte da
hora
> > > oficial brasileira) já em 2000:
> > > http://www.cg.org.br/acoes/2000/rea-2000-09.htm
> > >
> > > O ítem sincronismo de tempo está presente como esperado nessa
recomendação
> > > atualizada do NBSO:
> > > http://www.nic.br/docs/seg-adm-redes.html
> > >
> > > Além dos backbones como citado no documento, o ON presta serviços de
difusão
> > > da hora oficial:
> > > http://pcdsh01.on.br/
> > >
> > > Em termos de legislação, a sincronização de tempo é prevista na
> > > infra-estrutura de chaves públicas brasileiras, vide
> > > http://www.icpbrasil.gov.br/RES_ICP16.htm
> > > (O que obriga o sistema financeiro todo a ter hora sincronizada no
SPB; daí
> > > para o Internet banking é um pulinho)
> > >
> > > O que mais haveria de ação coordenada a se fazer a respeito ? Me
parece que
> > > quem precisa saber, já sabe e já há informação e estrutura suficiente
para
> > > os que forem chegando, saberem. Se a adoção não é maciça como
esperável,
> > > isso é algo a se tentar resolver por "evangelização"... um dia todo
mundo
> > > acha a luz.
> > >
> > > Rubens
> > >
> > > ----- Original Message -----
> > > From: "Jose Navas Junior" <technosoft at uol.com.br>
> > > To: "GT-ER" <gter at eng.registro.br>
> > > Sent: Monday, August 12, 2002 10:12 PM
> > > Subject: [GTER] NTP e a Legislação pátria
> > >
> > > Aproveitando o ensejo, lanço a dúvida pois estou um pouco "por fora"
dos
> > > movimentos aplicados pelos backbones e ISPs rumo a utilização ampla de
> > > sistemas de sincronia de data/hora baseada no protocolo NTP.
> > >
> > > Embora seja algo tecnicamente muito simples de ser implementado um
Stratum 2
> > > ou 3 por parte dos provedores, e mais ainda por parte dos usuários com
NTP
> > > "clients", vejo que em muitos provedores comerciais de grande porte, e
sites
> > > hospedados em IDCs, o que se vê são relógios absolutamente
inconsistentes. A
> > > hora estampada pelos servidores SMTPs ou reportadas até mesmo por
sistemas
> > > "seguros" (comércio eletrônico) não raramente apresentam disparidades
> > > absurdas.
> > >
> > > Tentei argumentar com alguns empresários e gerentes de operação destes
> > > sistemas sobre a facilidade e necessidade de se implementar uma
política de
> > > sincronia de relógio, apresentando aspectos como:
> > >
> > > - LOG de atividades consistentes, quando da necessidade de auditoria
ou
> > > depuração de "ataques" genéricos no sistema
> > > - Controle preciso de duração de sessões, expiração de sessões, etc.
> > > - estampa correta de data/hora em e-mails gerados a partir de sistemas
> > > internos (formularios, auto-resposta, WebMails, etc)
> > >
> > > entre outras mil e uma "utilidades" e custo ZERO de se manter o
sistema "na
> > > hora certa".
> > >
> > > Infelizmente tal consciência é ampla apenas em sistemas
> > > acadêmicos/educacionais, embora seja uma espécie de "caixa de pandora"
para
> > > grande parte dos SysOps de sistemas comerciais, que é por onde grande
> > > quantidade de dinheiro circula pela via eletrônica.
> > >
> > > Sinceramente me preocupei em saber se existiria algum movimento de
> > > conscientização por parte dos "backbones" em oferecer servidores
Stratum 1
> > > ou mesmo 2 para servir de fonte de sincronia para seus clientes, que
podem
> > > então erguer seus proprios "stratum" a partir de um servidor local,
> > > sincronizando o restante da rede.
> > >
> > > Tal preocupacao vem de encontro justamente ao assunto sobre o SPAM, no
> > > artigo de autoria do Dr. Omar Kaminski, já divulgado aqui, embora (me
> > > penitencio novamente) sem os devidos cuidados de referencia autoral a
epoca
> > > de inicial divulgação.
> > >
> > > Penso que uma legislação forte é necessária visando coibir práticas de
SPAM
> > > que levam a prejuízo desde o usuário final até grandes coorporações,
no
> > > entanto, como identificar um "spammer" pelo IP a ponto de ensejar o
> > > necessário "valor probante" aos LOGs do provedor,  se o mesmo está com
os
> > > relógios internos de seus servidores absolutamente errados, maculando
> > > totalmente a prova ou mesmo o indício ?!
> > >
> > > Como comprovar uma compra ou transferir informações devidamente
"assinadas"
> > > digitalmente se relógios de servidores e estações estão
inconsistentes, e
> > > depois, se necessário, buscar a prestação jurisdicional para tutelar
> > > eventual direito lesado, se nem mesmo a "hora" da transação eletrônica
pode
> > > ser aferida com exatidão ?!
> > >
> > > Grande parte dos membros desta lista são administradores de sistemas,
> > > gerentes de operações, consultores, de modo que tenho certeza muitos
já
> > > passaram pela situação, alguns cotidianamente, de auditar um LOG de
algum
> > > "lammer" tentando entrar no sistema, identificar um
caluniador/difamador
> > > desferindo e-mails contra seu desafeto (ainda mais em épocas
eleitorais
> > > !!!), ou simplesmente identificar um "spammer" que causa mal estar ao
> > > andamento do sistema.
> > >
> > > O Juíz busca a verdade, na tutela civil a "verdade formal", a que está
nos
> > > autos, em regra (sem querer me delongar em divagações doutrinárias e
> > > conflitantes). Se um Administrador do Sistema não consegue provar a
> > > idoneidade técnica de seu LOG mostrando que NAQUELA HORA, DAQUELE IP,
O
> > > USUÁRIO "X" CAUSOU DANO a alguém, infelizmente o juíz, no mais das
vezes e
> > > na dúvida da consistencia técnica da informação, irá rechaçar a prova
e
> > > mesmo com uma forte legislação, esta não será aplicada ao caso
concreto
> > > visando a recomposição dos danos do lesado.
> > >
> > > Por isso realmente me preocupei muito com o fato de uma parte da
comunidade
> > > de "backend" da Internet estar em "albis" em relação a utilização de
> > > serviços NTP.
> > >
> > > Há alguma "força tarefa" efetivamente em ação no Brasil, em algum
lugar,
> > > composta de operadores do Direito e técnicos/engenheiros/analistas de
> > > informática e Telecom visando harmonizar e viabilizar tecnicamente os
> > > sistemas para uma nova legislação ???
> > >
> > > Desculpem minha ignorância sobre o assunto, mas pergunto, pois,
realmente
> > > não sei a resposta ... e me preocupa muito se a mesma for negativa.
> > >
> > > Deixo as dúvidas com as senhoras e senhores ... a "sinergia" é o elo
entre o
> > > mundo jurídico e técnico da Internet no Brasil, sem o qual creio ser
deveras
> > > complicado se aplicar a legislação vindoura, por mais moderna que
seja, ao
> > > caso concreto, ao mundo real.
> > >
> > > Minha opinição.
> > >
> > > Salvo Melhor Juízo.
> > >
> > > Abraços a todos.
> > >
> > > --
> > > José Navas Júnior
> > > http://www.navas.adv.br
> > >
> > > --
> > > GTER list    http://eng.registro.br/mailman/listinfo/gter
> >
> > --
> > Marcelo Manta
> > Barcelona Technology Center
> > manta at nortelnetworks.com
> > phone: +34 67 699-5921 (ESN 746)
> > --
> > GTER list    http://eng.registro.br/mailman/listinfo/gter
> >
>
>
>
> --
> GTER list    http://eng.registro.br/mailman/listinfo/gter
>