[GTER] Sobre Logs de Identificação de Usuários em CGNAT

[Rubens Marins Schner]

O marco civil determina que seja feito guarda dos registros de conexão, mas
não especifica a forma.
*"Na provisão de conexão à internet, cabe ao administrador de sistema
autônomo respectivo o dever de manter os registros de conexão, sob sigilo,
em ambiente controlado e de segurança, pelo prazo de 1 (um) ano, nos termos
do regulamento."*

Então se eu guardo os registros de conexão, pelo período de 1 (um) ano como
esta no regulamento, mas para consultar a informação no registros de
conexão, é necessário Endereço de IP de origem, porta lógica de origem
juntamente com a data e hora, estou cumprindo o que manda a legislação, mas
a autoridade que requisita informações esta me fornecendo dados
insuficientes para que a pesquisa seja feita de modo satisfatório.
Seria o mesmo que eles terem a foto de um veiculo de um criminoso, mas não
tem a placa, só sabe o modelo do carro e a cor do mesmo.

Isso quer dizer que se a autoridade mandar um requisito de informação, mas
de forma "incompleta", não será possível individualizar, exemplo:
- Quero identificar quem usou o IP XXX.YYY.ZZZ.AAA no dia 01/01/2019.
Como não foi informado data/hora assim como fuso horário, mesmo com IPV4
sobrando, possivelmente dezenas de pessoas poderiam ter usado esse IP no
mesmo dia.
Mesmo que forneça a hora e minuto, se não especifica o segundo, é
possível que duas pessoas usavam o IP no mesmo minuto.
Se não especificar o Fuso Horário, o requisito está incompleto, por que
existem estados que não seguem o fuso horário de Brasilia ou que não tem
horário de verão, além do fato que a base de logs que eles estão utilizando
pode ser em UTC.

Em vários casos de GCNAT, seria necessário a autoridade informar o
enderenço IP de origem em conjunto porta lógica de origem, assim mesmo que
a autoridade informa a data e hora detalhada, os dados são incompletos para
quem utiliza CGNAT para fornecer uma informação individualizada, em alguns
provedores é necessário que a autoridade que requisite as informações
forneça:

- Endereço IP de Origem
- Data e Hora com fuso horário
- Porta de Origem

Outro ponto, sobre enviar dados de usuário que não tinham nada a ver com
aquela demanda, eu não sei quem tem ligações com a demanda ou não. Uma
autoridade, requisitou saber quem usou endereço IP em determinado momento,
eu mando os dados que eu tenho. A quantidade de pessoas afetadas vai
depender do buraco da peneira, se foi requisitado um dia inteiro,
possivelmente  milhares de pessoas usaram o mesmo IP no mesmo dia, se foi
fornecido a hora, esse número cai para centenas e por ae vai,isso não tem
relação com GCNAT.

Se o pedido da autoridade caiu sobre dezenas de pessoas, eu cumpro a lei
mandando os dados de dezenas de pessoas.

Rubens Marins
Administrador de Sistemas
rubens.marins at gmail dot com


On Thu, Jan 17, 2019 at 2:22 PM Fernando Frediani <fhfrediani at gmail.com>
wrote:

> Prezados colegas
>
> Volto a este assunto pois chegou ao meu conhecimento que vários ISPs
> sobre orientação de outras pessoas e até mesmo de Profissionais da área
> do Direito tem recomendado aos provedores que implementam CGNAT para que
> guardem os registros apenas dos grupo de usuários que está vinculado à
> um IP Público e quando receber a solicitação de um juiz entregar a
> relação daquele grupo de usuários, seja ele 32, 64, etc.
>
> Infelizmente esta orientação esta duplamente errada. Peço aos
> interessados que leiam com atenção como também procurem outras fontes de
> informação **jurídica e técnica** para se embasarem e evitar que a
> empresa que você é responsável seja advertida ou até mesmo multada por
> não estar cumprindo corretamente o que Lei determina.
>
> Como é um assunto que tenho acompanhado bem de perto, inclusive tomando
> ciência de decisões judiciais baseadas no Marco Civil tenho podido
> observar em muitas delas que o entendimento que tem se consolidado é de
> que uma das essências da Lei é a Identificação do Usuário
> (individualmente) e não de um "grupo de usuários".
> Quando o provedor fornece uma lista de usuários à autoridade legal
> solicitante acreditando estar cumprindo sua obrigação e colaborando para
> a resolução de um ilícito na verdade não está, pois fica muito difícil,
> senão impossível utilizar aquela informação como prova de que era aquele
> usuário especificamente que cometeu o ato.
>
> Além disso quando o provedor envia informações de outros usuários que
> nada tinham a ver com aquela demanda está violando a privacidade de
> pessoas que não são investigadas e nada devem. Podem com isso estar
> violando diversos artigos do Marco Civil como o Art. 3 e Art. 11. Com a
> sanção recente da LGPD (Lei Geral de Proteção de Dados) isso pode se
> complicar ainda mais.
>
> O argumento usado por aqueles que defendem ser correto informar apenas o
> grupo de usuários atrás de um IP Público é que isso "se deve à uma
> limitação técnica imposta pela escassez de endereços IPv4" o que nós
> sabemos que não é verdade.
> A necessidade de utilização do CGNAT é sim uma imposição decorrente de
> uma limitação de endereços IPv4, porém a possibilidade de identificação
> **individual** do usuário não é.
>
> Tanto nas modalidades de alocação de portas Fixas ou Dinâmicas em CGNAT
> é plenamente possível identificar individualmente o usuário a qualquer
> momento desde que o CGNAT e a guarda de logs sejam configurados da
> maneira correta.
>
> Não se deixem levar pelo caminho mais fácil e confortável que dá uma
> falsa sensação de cumprimento da exigências. Na hora que o situação
> complicar e aparecer um juiz ou um promotor público que não concordam
> com isso (e reitero que este não é o entendimento majoritário) não vai
> adiantar explicar que seguiu a recomendação de fulano porque parecia
> muito crível.
>
> Espero que isso ajude ISPs ainda estão em dúvida sobre este assunto ou
> os que estão seguindo esta orientação equivocada a adequarem seus
> sistemas para passarem a fazer da maneira correta.
>
> Fernando Frediani
>
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>