[GTER] CGNAT, Logs de Conexão e Portas Lógicas

Gabriel Mineiro mineiro at tca.com.br
Mon Nov 19 09:43:10 -02 2018 

Se o IP informado faz parte de CGNAT, é você que deve solicitar a porta de origem, para então poder identificar o cliente.

-----Mensagem original-----
De: gter <gter-bounces at eng.registro.br> Em nome de Paulo Henrique
Enviada em: sexta-feira, 16 de novembro de 2018 08:03
Para: Grupo de Trabalho de Engenharia e Operacao de Redes <gter at eng.registro.br>
Assunto: Re: [GTER] CGNAT, Logs de Conexão e Portas Lógicas

Trabalho em um ISP e até hoje não recebemos nenhuma ordem judicial solicitando a identificação de um assinante através de endereço IP de origem + Porta.
Até alguns meses, todas as requisições recebidas traziam apenas o enderçeo IP de origem.

Curiosidade: Alguém no grupo já recebeu alguma ordem judicial contendo IP + PORTA de origem?

Att.

Em qua, 14 de nov de 2018 às 17:28, Fernando Frediani <fhfrediani at gmail.com>
escreveu:

> Olá a todos.
>
> É crescente o número de Provedores de Internet que têm recorrido à 
> técnica do CGNAT como forma de continuar oferecendo acesso em IPv4.
>
> Desde que comecei a estudar este assunto assim como as implicações do 
> Marco Civil da Internet, tenho acompanhado de perto discussões e 
> debates a respeito de detalhes, tanto técnicos quanto legais que devem 
> ser levados em conta quando se adota esta estratégia. Quero 
> compartilhar com vocês um dos pontos que é bastante importante notar 
> desde o início de qualquer implantação de CGNAT. Existem vários outros 
> que são igualmente importantes mas neste texto vou me ater a apenas um, os Logs Conexão.
>
> Já é ponto passivo que há a necessidade legal para qualquer Sistema 
> Autônomo, imposta principalmente pelo Marco Civil da Internet, de se 
> guardar o registro de conexão dos usuários, independente da utilização 
> de CGNAT ou IPv4/IPv6 Público. Isto é, o registro de qual endereço IP 
> foi entregue a um determinado cliente no momento que ele se autenticou 
> permitindo assim a sua identificação. Algumas pessoas confundem isso 
> com registrar todas conexões abertas pelo usuário no decorrer do uso 
> da Internet. Não se trata disso e inclusive é vedado sob pena de se 
> violar a privacidade do usuário dependendo de como feito. Via de regra 
> você precisa apenas ter registrado o endereço IP utilizado por ele 
> para posterior identificação, caso haja uma demanda legal para tal.
>
> O problema, como a maioria aqui sabe, é que quando se utiliza CGNAT 
> somente o registro de 1 endereço de IP Público não é suficiente para 
> identificar o usuário. É necessário guardar também a porta de ORIGEM 
> por ele utilizada.
> O pessoal da área jurídica costuma se referir à isso como "Portas 
> Lógicas", talvez você já tenha ouvido falar.
>
> E é nesse ponto que ainda existem divergências à respeito desta 
> obrigatoriedade. Alguns dizem que a interpretação literal da Lei não 
> fala nada sobre as "Portas Lógicas", outros no entanto dizem que é 
> necessário também interpretar a Lei e se perguntar: "Qual é a essência 
> da Lei ?". E uma das essências da Lei para muitos é justamente a 
> identificação do usuário, portanto neste ponto de vista ela obriga sim 
> a guarda também das portas de origem.
>
> Lendo a lei de maneira fria de fato ela não cita nada específico sobre 
> portas lógicas, porém ela dá uma série de indicações sobre isso como 
> por exemplo quando cita termos como "código atribuído a um terminal da 
> uma rede para permitir a sua identificação".
> Ademais uma Lei, sobretudo regulando questões que envolvem tecnologia, 
> não pode em deve ser tão específica que a engesse frente às rápidas 
> evoluções tecnológicas. O CGNAT é apenas uma solução técnica para um 
> problema que ainda não era tão latente à época da escrita da Lei. 
> Ainda sim não tira o mérito dela de exigir a identificação do usuário 
> para aqueles que a interpretam dessa maneira, em que pese a evolução 
> tecnológica ocorrida desde a sua entrada em vigor.
>
> Tenho percebido que em determinas situações há ainda certa resistência 
> por parte de alguns Provedores de Conteúdo de registrar a porta de 
> origem e é ai que existe um número razoável de contestações sobre essa 
> necessidade. Particularmente não creio que isso se deva à falta de 
> vontade de colaborar com uma investigação mas apenas com o trabalho 
> necessário envolvido para se adaptar um determinado sistema ou 
> plataforma para incluir aquele registro nos logs.
> No entanto fácil ou difícil de se realizar essa adaptação, uma Lei uma 
> vez aprovada e sancionada não se importa com isso, ela apenas exige 
> que se cumpra.
>
> Outra situação que tem se mostrado comum, desta vez para Provedores de 
> Acesso, é não haver o registro da porta de origem e acabar se 
> entregando à autoridade solicitante a identificação de todos os 
> usuários que estavam compartilhando aquele endereço de IPv4 Público em 
> determinado momento, sejam eles 16, 32, 64 clientes. Infelizmente isso 
> não atende à solicitação por completo, não ajuda muito à solucionar um 
> crime eventualmente já cometido e ainda acaba suscitando dúvidas à 
> respeito da violação da privacidade de outros 31 usuários que não 
> tinham nada à ver com aquela investigação, no caso do CGNAT ser 1:32 por exemplo.
>
> Lembrando que caso a interpretação da Lei feita pelo juiz for de que a 
> essência dela é a identificação do usuário, entregar uma lista de 16, 
> 32 ou 64 clientes não faz o provedor estar em acordo com a Lei e ainda 
> deixa em aberto a possibilidade de se aplicar sanções desde 
> advertência, multa e até outras mais graves.
>
> Em recente decisão o STJ (Superior Tribunal de Justiça) determinou que 
> deve haver o armazenamento da porta lógica (porta de origem) sob pena 
> de violação da identificação do usuário. Também já é possível 
> encontrar diversas decisões de Tribunais de Justiça dos Estados neste 
> mesmo sentido. É possível encontrar também em alguma decisões 
> judiciais citações ao relatório do Grupo de Trabalho para Implantação 
> do IPv6 composto por NIC.br, ANATEL e prestadoras que diz que a guarda 
> da porta de origem é "requisito necessário" para que se viabilize a 
> quebra do sigilo nos casos previsos legalmente, tanto para provedores 
> de conteúdo quanto para de acesso.
>
> Independente da sua interpretação eu gostaria de convidá-lo à fazer um 
> raciocínio lógico e rápido: será que vale a pena não ter o registro 
> das portas de origem e continuar com a possibilidade de ter que lidar 
> com possíveis demandas legais que cedo ou tarde virão e ter que se 
> explicar para a autoridade que você não considera necessário guardá-las ?
> Lembre-se que dentre essas pessoas que farão a demanda (delegados, 
> promotores, defensores, advogados de defesa da uma vítima de um crime 
> e até mesmo o juiz) pode haver quem não aceite bem a interpretação que 
> não é necessário guardar a porta de origem.
> Ou será que é muito mais produtivo ter este detalhe extra nos seus 
> logs, entregá-los a quem solicitar sempre sob determinação do juiz e 
> terminar a sua parte por ali ?
>
> Lembre-se que colaborando com a investigação de um crime não significa 
> apenas estar de acordo com uma Lei, mas principalmente estar cumprindo 
> uma função social de auxiliar a trazer justiça para aquela situação.
>
> Saudações
> Fernando Frediani
>
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>


--
Paulo Henrique Fonseca
paulohenriquef at gmail.com
--
gter list    https://eng.registro.br/mailman/listinfo/gter

More information about the gter mailing list