[GTER] CGNAT, Logs de Conexão e Portas Lógicas

Paulo Henrique paulohenriquef at gmail.com
Mon Nov 19 08:17:22 -02 2018


Até então os pedidos convergiam para assinantes que faziam uso de endereço
ip público direto (sem CGNAT) e por isso o fato de não terem informado a
porta de origem não causou impacto negativo na identificação dos clientes.
Mas isso nos deixou preocupados porque utilizamos CGNAT em outras áreas da
rede - e em crescimento.

Ao enviarmos estas resposta ao solicitante aproveitavamos a oportunidade
para solicitar respeitosamente que nas próximas requisições (se e quando
houverem), seja informada a porta de origem, tendo em vista possíveis
limitações técnicas de cada rede envolvida.

Att.

Em dom, 18 de nov de 2018 às 20:43, Tiago SR <listas at tiagosr.com> escreveu:

> Como responderam a essas solicitações contendo apenas endereço IP?
>
> Se tiverem afirmado a impossibilidade de identificar o assinante com
> apenas essa informação, teve algum tipo de problema judicial, algo do tipo
> de obstrução das investigações?
>
> []'s
>
>
>  ---- On Fri, 16 Nov 2018 08:02:34 -0200 Paulo Henrique <
> paulohenriquef at gmail.com> wrote ----
>  > Trabalho em um ISP e até hoje não recebemos nenhuma ordem judicial
>  > solicitando a identificação de um assinante através de endereço IP de
>  > origem + Porta.
>  > Até alguns meses, todas as requisições recebidas traziam apenas o
> enderçeo
>  > IP de origem.
>  >
>  > Curiosidade: Alguém no grupo já recebeu alguma ordem judicial contendo
> IP +
>  > PORTA de origem?
>  >
>  > Att.
>  >
>  > Em qua, 14 de nov de 2018 às 17:28, Fernando Frediani <
> fhfrediani at gmail.com>
>  > escreveu:
>  >
>  > > Olá a todos.
>  > >
>  > > É crescente o número de Provedores de Internet que têm recorrido à
>  > > técnica do CGNAT como forma de continuar oferecendo acesso em IPv4.
>  > >
>  > > Desde que comecei a estudar este assunto assim como as implicações do
>  > > Marco Civil da Internet, tenho acompanhado de perto discussões e
> debates
>  > > a respeito de detalhes, tanto técnicos quanto legais que devem ser
>  > > levados em conta quando se adota esta estratégia. Quero compartilhar
> com
>  > > vocês um dos pontos que é bastante importante notar desde o início de
>  > > qualquer implantação de CGNAT. Existem vários outros que são
> igualmente
>  > > importantes mas neste texto vou me ater a apenas um, os Logs Conexão.
>  > >
>  > > Já é ponto passivo que há a necessidade legal para qualquer Sistema
>  > > Autônomo, imposta principalmente pelo Marco Civil da Internet, de se
>  > > guardar o registro de conexão dos usuários, independente da utilização
>  > > de CGNAT ou IPv4/IPv6 Público. Isto é, o registro de qual endereço IP
>  > > foi entregue a um determinado cliente no momento que ele se autenticou
>  > > permitindo assim a sua identificação. Algumas pessoas confundem isso
> com
>  > > registrar todas conexões abertas pelo usuário no decorrer do uso da
>  > > Internet. Não se trata disso e inclusive é vedado sob pena de se
> violar
>  > > a privacidade do usuário dependendo de como feito. Via de regra você
>  > > precisa apenas ter registrado o endereço IP utilizado por ele para
>  > > posterior identificação, caso haja uma demanda legal para tal.
>  > >
>  > > O problema, como a maioria aqui sabe, é que quando se utiliza CGNAT
>  > > somente o registro de 1 endereço de IP Público não é suficiente para
>  > > identificar o usuário. É necessário guardar também a porta de ORIGEM
> por
>  > > ele utilizada.
>  > > O pessoal da área jurídica costuma se referir à isso como "Portas
>  > > Lógicas", talvez você já tenha ouvido falar.
>  > >
>  > > E é nesse ponto que ainda existem divergências à respeito desta
>  > > obrigatoriedade. Alguns dizem que a interpretação literal da Lei não
>  > > fala nada sobre as "Portas Lógicas", outros no entanto dizem que é
>  > > necessário também interpretar a Lei e se perguntar: "Qual é a essência
>  > > da Lei ?". E uma das essências da Lei para muitos é justamente a
>  > > identificação do usuário, portanto neste ponto de vista ela obriga
> sim a
>  > > guarda também das portas de origem.
>  > >
>  > > Lendo a lei de maneira fria de fato ela não cita nada específico sobre
>  > > portas lógicas, porém ela dá uma série de indicações sobre isso como
> por
>  > > exemplo quando cita termos como "código atribuído a um terminal da uma
>  > > rede para permitir a sua identificação".
>  > > Ademais uma Lei, sobretudo regulando questões que envolvem tecnologia,
>  > > não pode em deve ser tão específica que a engesse frente às rápidas
>  > > evoluções tecnológicas. O CGNAT é apenas uma solução técnica para um
>  > > problema que ainda não era tão latente à época da escrita da Lei.
> Ainda
>  > > sim não tira o mérito dela de exigir a identificação do usuário para
>  > > aqueles que a interpretam dessa maneira, em que pese a evolução
>  > > tecnológica ocorrida desde a sua entrada em vigor.
>  > >
>  > > Tenho percebido que em determinas situações há ainda certa resistência
>  > > por parte de alguns Provedores de Conteúdo de registrar a porta de
>  > > origem e é ai que existe um número razoável de contestações sobre essa
>  > > necessidade. Particularmente não creio que isso se deva à falta de
>  > > vontade de colaborar com uma investigação mas apenas com o trabalho
>  > > necessário envolvido para se adaptar um determinado sistema ou
>  > > plataforma para incluir aquele registro nos logs.
>  > > No entanto fácil ou difícil de se realizar essa adaptação, uma Lei uma
>  > > vez aprovada e sancionada não se importa com isso, ela apenas exige
> que
>  > > se cumpra.
>  > >
>  > > Outra situação que tem se mostrado comum, desta vez para Provedores de
>  > > Acesso, é não haver o registro da porta de origem e acabar se
> entregando
>  > > à autoridade solicitante a identificação de todos os usuários que
>  > > estavam compartilhando aquele endereço de IPv4 Público em determinado
>  > > momento, sejam eles 16, 32, 64 clientes. Infelizmente isso não atende
> à
>  > > solicitação por completo, não ajuda muito à solucionar um crime
>  > > eventualmente já cometido e ainda acaba suscitando dúvidas à respeito
> da
>  > > violação da privacidade de outros 31 usuários que não tinham nada à
> ver
>  > > com aquela investigação, no caso do CGNAT ser 1:32 por exemplo.
>  > >
>  > > Lembrando que caso a interpretação da Lei feita pelo juiz for de que a
>  > > essência dela é a identificação do usuário, entregar uma lista de 16,
> 32
>  > > ou 64 clientes não faz o provedor estar em acordo com a Lei e ainda
>  > > deixa em aberto a possibilidade de se aplicar sanções desde
> advertência,
>  > > multa e até outras mais graves.
>  > >
>  > > Em recente decisão o STJ (Superior Tribunal de Justiça) determinou que
>  > > deve haver o armazenamento da porta lógica (porta de origem) sob pena
> de
>  > > violação da identificação do usuário. Também já é possível encontrar
>  > > diversas decisões de Tribunais de Justiça dos Estados neste mesmo
>  > > sentido. É possível encontrar também em alguma decisões judiciais
>  > > citações ao relatório do Grupo de Trabalho para Implantação do IPv6
>  > > composto por NIC.br, ANATEL e prestadoras que diz que a guarda da
> porta
>  > > de origem é "requisito necessário" para que se viabilize a quebra do
>  > > sigilo nos casos previsos legalmente, tanto para provedores de
> conteúdo
>  > > quanto para de acesso.
>  > >
>  > > Independente da sua interpretação eu gostaria de convidá-lo à fazer um
>  > > raciocínio lógico e rápido: será que vale a pena não ter o registro
> das
>  > > portas de origem e continuar com a possibilidade de ter que lidar com
>  > > possíveis demandas legais que cedo ou tarde virão e ter que se
> explicar
>  > > para a autoridade que você não considera necessário guardá-las ?
>  > > Lembre-se que dentre essas pessoas que farão a demanda (delegados,
>  > > promotores, defensores, advogados de defesa da uma vítima de um crime
> e
>  > > até mesmo o juiz) pode haver quem não aceite bem a interpretação que
> não
>  > > é necessário guardar a porta de origem.
>  > > Ou será que é muito mais produtivo ter este detalhe extra nos seus
> logs,
>  > > entregá-los a quem solicitar sempre sob determinação do juiz e
> terminar
>  > > a sua parte por ali ?
>  > >
>  > > Lembre-se que colaborando com a investigação de um crime não significa
>  > > apenas estar de acordo com uma Lei, mas principalmente estar cumprindo
>  > > uma função social de auxiliar a trazer justiça para aquela situação.
>  > >
>  > > Saudações
>  > > Fernando Frediani
>  > >
>  > > --
>  > > gter list    https://eng.registro.br/mailman/listinfo/gter
>  > >
>  >
>  >
>  > --
>  > Paulo Henrique Fonseca
>  > paulohenriquef at gmail.com
>  > --
>  > gter list    https://eng.registro.br/mailman/listinfo/gter
>  >
>
>
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>


-- 
Paulo Henrique Fonseca
paulohenriquef at gmail.com



More information about the gter mailing list