[GTER] Sobre Logs de Identificação de Usuários em CGNAT

Fernando Frediani fhfrediani at gmail.com
Thu Jan 17 16:26:16 -02 2019 

Oi Renan

Sem a porta de origem não há o que fazer e consequentemente como 
identificar o usuário individualmente.

A única recomendação que se pode fazer nesta situação é tentar explicar 
da forma mais didática possível para quem solicitou (normalmente uma 
pessoa leiga) a impossibilidade técnica para cumprir aquilo e reiterar 
que o provedor cumpre **integralmente** sua obrigação legal registrando 
sim a porta de origem de todas as conexões e apenas necessita desta 
informação por parte de quem solicita para poder dar a informação exata.

Algo que tenho visto se tornar bastante comum em processos judiciais é 
citarem o Relatório do Grupo de Trabalho para Implantação de IPv6 da 
Anatel, NIC.br e Operadoras 
(https://www.google.com/url?sa=t&rct=j&q=&esrc=s&source=web&cd=1&cad=rja&uact=8&ved=2ahUKEwiP4_brt_XfAhWLK7kGHYipC5oQFjAAegQICRAC&url=http%3A%2F%2Fwww.anatel.gov.br%2FPortal%2FexibirPortalRedireciona.do%3FcodigoDocumento%3D326004&usg=AOvVaw1hZiQAxq4vFO39-cshRsar) 
que explica a obrigatoriedade de informação da porta de origem para se 
realizar a identificação do única do usuário em CGNAT.

Fernando Frediani

On 17/01/2019 15:59, renan at trixnet.com.br wrote:
>
> Boa tarde Fernando e caros colegas participantes da Lista.
>
> Primeiramente gostaria de agradecer e parabeniza-lo, por levantar tal 
> questão tão importante para  a saúde legal dos ISPs, inclusive por 
> experiencia própria digo que aqui só no ano passado recebemos 3 
> notificações desta natureza e nossa rede nem é tao grande assim cerca 
> de 3500 assinantes, minha duvida é a seguinte, desta 3 notificações 
> que recebemos nenhuma veio com porta de origem, e quando solicitamos a 
> porta de origem para identificação única a resposta a grosso modo foi 
> que eles não tinha esta informação e que a obrigação é do provedor 
> armazenar o "tal" log.
>
> Daí vem a pergunta, o que fazer e como proceder neste caso pois sem a 
> porta de origem de nada adianta o CGNAT, que nada mais é um mapeamento 
> de portas.
>
>
>
> Em 17/01/2019 15:21, Fernando Frediani escreveu:
>
>> Prezados colegas
>>
>> Volto a este assunto pois chegou ao meu conhecimento que vários ISPs 
>> sobre orientação de outras pessoas e até mesmo de Profissionais da 
>> área do Direito tem recomendado aos provedores que implementam CGNAT 
>> para que guardem os registros apenas dos grupo de usuários que está 
>> vinculado à um IP Público e quando receber a solicitação de um juiz 
>> entregar a relação daquele grupo de usuários, seja ele 32, 64, etc.
>>
>> Infelizmente esta orientação esta duplamente errada. Peço aos 
>> interessados que leiam com atenção como também procurem outras fontes 
>> de informação **jurídica e técnica** para se embasarem e evitar que a 
>> empresa que você é responsável seja advertida ou até mesmo multada 
>> por não estar cumprindo corretamente o que Lei determina.
>>
>> Como é um assunto que tenho acompanhado bem de perto, inclusive 
>> tomando ciência de decisões judiciais baseadas no Marco Civil tenho 
>> podido observar em muitas delas que o entendimento que tem se 
>> consolidado é de que uma das essências da Lei é a Identificação do 
>> Usuário (individualmente) e não de um "grupo de usuários".
>> Quando o provedor fornece uma lista de usuários à autoridade legal 
>> solicitante acreditando estar cumprindo sua obrigação e colaborando 
>> para a resolução de um ilícito na verdade não está, pois fica muito 
>> difícil, senão impossível utilizar aquela informação como prova de 
>> que era aquele usuário especificamente que cometeu o ato.
>>
>> Além disso quando o provedor envia informações de outros usuários que 
>> nada tinham a ver com aquela demanda está violando a privacidade de 
>> pessoas que não são investigadas e nada devem. Podem com isso estar 
>> violando diversos artigos do Marco Civil como o Art. 3 e Art. 11. Com 
>> a sanção recente da LGPD (Lei Geral de Proteção de Dados) isso pode 
>> se complicar ainda mais.
>>
>> O argumento usado por aqueles que defendem ser correto informar 
>> apenas o grupo de usuários atrás de um IP Público é que isso "se deve 
>> à uma limitação técnica imposta pela escassez de endereços IPv4" o 
>> que nós sabemos que não é verdade.
>> A necessidade de utilização do CGNAT é sim uma imposição decorrente 
>> de uma limitação de endereços IPv4, porém a possibilidade de 
>> identificação **individual** do usuário não é.
>>
>> Tanto nas modalidades de alocação de portas Fixas ou Dinâmicas em 
>> CGNAT é plenamente possível identificar individualmente o usuário a 
>> qualquer momento desde que o CGNAT e a guarda de logs sejam 
>> configurados da maneira correta.
>>
>> Não se deixem levar pelo caminho mais fácil e confortável que dá uma 
>> falsa sensação de cumprimento da exigências. Na hora que o situação 
>> complicar e aparecer um juiz ou um promotor público que não concordam 
>> com isso (e reitero que este não é o entendimento majoritário) não 
>> vai adiantar explicar que seguiu a recomendação de fulano porque 
>> parecia muito crível.
>>
>> Espero que isso ajude ISPs ainda estão em dúvida sobre este assunto 
>> ou os que estão seguindo esta orientação equivocada a adequarem seus 
>> sistemas para passarem a fazer da maneira correta.
>>
>> Fernando Frediani
>>
>> --
>> gter list https://eng.registro.br/mailman/listinfo/gter
>
>

More information about the gter mailing list