[GTER] Sobre Logs de Identificação de Usuários em CGNAT

Gabriel Siena tecgsiena at gmail.com
Fri Jan 18 22:43:54 -02 2019


Boa noite a todos,
Fernando, mais uma duvida, referente ao pedido dos registros de conexão por
autoridades,
Ja vi casos do pedido de identificação do usuario chegar ao provedor, vindo
de autoridades municipais (delegacia de policia, promotoria)
Todos sem porta de origem... contendo apenas o IP, solicitado com um
simples oficio, sem um numero de processo na justiça ou algo do tipo.
Como proceder nesses casos? Posso estar errado, mas até onde fui informado
somente há obrigação de fornecer os dados mediante processo Judicial.
Delegacias de Policia tem essa autonomia de solicitar o log de conexão , o
provedor é obrigado informar nesse caso ?



Em sex, 18 de jan de 2019 às 18:54, Fernando Frediani <fhfrediani at gmail.com>
escreveu:

> Um adendo à primeira mensagem
>
> Sobre, essa questão de "registros de conexão" obrigar ou não o registro
> das portas, isso tem sido uma argumentação de alguns operadores do
> direito que ignoram a questão da essência da Lei e bastante confortável
> para quem não quer fazer o serviço completo de logar também as portas de
> origem.
> A Lei não especifica a forma e nem deve fazer isso e ter tamanha
> especificidade ou engessamento, mas o judiciário a quem cabe interpretar
> tem esclarecido isso. Felizmente existem decisões que vão no sentido
> contrário a isso e reafirmam a necessidade de guarda também da porta de
> origem.
>
> Reproduzo abaixo dois despachos um do TJ/SP e outro do TJ/AM discorrendo
> à respeito deste assunto. Peço desculpas pelo juridiquês que obviamente
> não é de minha autoria.
>
> TJ/SP - "/Para que se concretize a guarda dos registros de acesso a
> aplicações de internet determinada pelo caput do artigo 15 da lei
> 12.965/14, possibilitando que o provedor de conexão identifique o
> usuário final dos serviços de internet, faz-se necessário o registro não
> somente dos elementos trazidos no artigo 5º, inciso VIII (endereço IP e
> da data e hora de utilização), mas também a identificação da porta
> lógica de origem. Marco Civil da Internet que, dada sua natureza
> intimamente ligada à tecnologia da informação, não pode ser interpretado
> de forma restritiva, sob pena de inviabilizar a identificação de um
> usuário que está fazendo uso de um determinado IP compartilhado
> inteligência do artigo 6º da lei 12.965/14. Decisão mantida./"
>
> TJ/AM - "/1. Ao  exigir  a  identificação  das  "portas lógicas de
> origem" o juízo a quo não excedeu os limites do pedido, mas apenas
> adotou providência necessária  à  obtenção  do resultado  prático
> perseguido pela demandante .//.. //3. As  "portas  lógicas  de  origem"
> integram  os "registros de   acesso"   cujo   dever   de
> guarda/exposição é consagrado pelo artigo 22 do Marco  Civil  da
> Internet  (Lei  n. 12.965/14). Interpretação contextualizada e voltada
> ao fim social  da  norma,  em  atenção  ao  artigo  5º  da LINDB //...//
> //Por  derradeiro,  consoante  o  sobredito  relatório elaborado  pela
> ANATEL,  agência  regulamentadora  com  amplo e profundo conhecimento
> técnico sobre a matéria, há sim condições técnicas para a identificação
> e consequente fornecimento destes dados./"
>
> Fernando Frediani
>
> On 17/01/2019 16:58, Rubens Marins Schner wrote:
> > O marco civil determina que seja feito guarda dos registros de conexão,
> mas
> > não especifica a forma.
> > *"Na provisão de conexão à internet, cabe ao administrador de sistema
> > autônomo respectivo o dever de manter os registros de conexão, sob
> sigilo,
> > em ambiente controlado e de segurança, pelo prazo de 1 (um) ano, nos
> termos
> > do regulamento."*
> >
> > Então se eu guardo os registros de conexão, pelo período de 1 (um) ano
> como
> > esta no regulamento, mas para consultar a informação no registros de
> > conexão, é necessário Endereço de IP de origem, porta lógica de origem
> > juntamente com a data e hora, estou cumprindo o que manda a legislação,
> mas
> > a autoridade que requisita informações esta me fornecendo dados
> > insuficientes para que a pesquisa seja feita de modo satisfatório.
> > Seria o mesmo que eles terem a foto de um veiculo de um criminoso, mas
> não
> > tem a placa, só sabe o modelo do carro e a cor do mesmo.
> >
> > Isso quer dizer que se a autoridade mandar um requisito de informação,
> mas
> > de forma "incompleta", não será possível individualizar, exemplo:
> > - Quero identificar quem usou o IP XXX.YYY.ZZZ.AAA no dia 01/01/2019.
> > Como não foi informado data/hora assim como fuso horário, mesmo com IPV4
> > sobrando, possivelmente dezenas de pessoas poderiam ter usado esse IP no
> > mesmo dia.
> > Mesmo que forneça a hora e minuto, se não especifica o segundo, é
> > possível que duas pessoas usavam o IP no mesmo minuto.
> > Se não especificar o Fuso Horário, o requisito está incompleto, por que
> > existem estados que não seguem o fuso horário de Brasilia ou que não tem
> > horário de verão, além do fato que a base de logs que eles estão
> utilizando
> > pode ser em UTC.
> >
> > Em vários casos de GCNAT, seria necessário a autoridade informar o
> > enderenço IP de origem em conjunto porta lógica de origem, assim mesmo
> que
> > a autoridade informa a data e hora detalhada, os dados são incompletos
> para
> > quem utiliza CGNAT para fornecer uma informação individualizada, em
> alguns
> > provedores é necessário que a autoridade que requisite as informações
> > forneça:
> >
> > - Endereço IP de Origem
> > - Data e Hora com fuso horário
> > - Porta de Origem
> >
> > Outro ponto, sobre enviar dados de usuário que não tinham nada a ver com
> > aquela demanda, eu não sei quem tem ligações com a demanda ou não. Uma
> > autoridade, requisitou saber quem usou endereço IP em determinado
> momento,
> > eu mando os dados que eu tenho. A quantidade de pessoas afetadas vai
> > depender do buraco da peneira, se foi requisitado um dia inteiro,
> > possivelmente  milhares de pessoas usaram o mesmo IP no mesmo dia, se foi
> > fornecido a hora, esse número cai para centenas e por ae vai,isso não tem
> > relação com GCNAT.
> >
> > Se o pedido da autoridade caiu sobre dezenas de pessoas, eu cumpro a lei
> > mandando os dados de dezenas de pessoas.
> >
> > Rubens Marins
> > Administrador de Sistemas
> > rubens.marins at gmail dot com
> >
> >
> > On Thu, Jan 17, 2019 at 2:22 PM Fernando Frediani<fhfrediani at gmail.com>
> > wrote:
> >
> >> Prezados colegas
> >>
> >> Volto a este assunto pois chegou ao meu conhecimento que vários ISPs
> >> sobre orientação de outras pessoas e até mesmo de Profissionais da área
> >> do Direito tem recomendado aos provedores que implementam CGNAT para que
> >> guardem os registros apenas dos grupo de usuários que está vinculado à
> >> um IP Público e quando receber a solicitação de um juiz entregar a
> >> relação daquele grupo de usuários, seja ele 32, 64, etc.
> >>
> >> Infelizmente esta orientação esta duplamente errada. Peço aos
> >> interessados que leiam com atenção como também procurem outras fontes de
> >> informação **jurídica e técnica** para se embasarem e evitar que a
> >> empresa que você é responsável seja advertida ou até mesmo multada por
> >> não estar cumprindo corretamente o que Lei determina.
> >>
> >> Como é um assunto que tenho acompanhado bem de perto, inclusive tomando
> >> ciência de decisões judiciais baseadas no Marco Civil tenho podido
> >> observar em muitas delas que o entendimento que tem se consolidado é de
> >> que uma das essências da Lei é a Identificação do Usuário
> >> (individualmente) e não de um "grupo de usuários".
> >> Quando o provedor fornece uma lista de usuários à autoridade legal
> >> solicitante acreditando estar cumprindo sua obrigação e colaborando para
> >> a resolução de um ilícito na verdade não está, pois fica muito difícil,
> >> senão impossível utilizar aquela informação como prova de que era aquele
> >> usuário especificamente que cometeu o ato.
> >>
> >> Além disso quando o provedor envia informações de outros usuários que
> >> nada tinham a ver com aquela demanda está violando a privacidade de
> >> pessoas que não são investigadas e nada devem. Podem com isso estar
> >> violando diversos artigos do Marco Civil como o Art. 3 e Art. 11. Com a
> >> sanção recente da LGPD (Lei Geral de Proteção de Dados) isso pode se
> >> complicar ainda mais.
> >>
> >> O argumento usado por aqueles que defendem ser correto informar apenas o
> >> grupo de usuários atrás de um IP Público é que isso "se deve à uma
> >> limitação técnica imposta pela escassez de endereços IPv4" o que nós
> >> sabemos que não é verdade.
> >> A necessidade de utilização do CGNAT é sim uma imposição decorrente de
> >> uma limitação de endereços IPv4, porém a possibilidade de identificação
> >> **individual** do usuário não é.
> >>
> >> Tanto nas modalidades de alocação de portas Fixas ou Dinâmicas em CGNAT
> >> é plenamente possível identificar individualmente o usuário a qualquer
> >> momento desde que o CGNAT e a guarda de logs sejam configurados da
> >> maneira correta.
> >>
> >> Não se deixem levar pelo caminho mais fácil e confortável que dá uma
> >> falsa sensação de cumprimento da exigências. Na hora que o situação
> >> complicar e aparecer um juiz ou um promotor público que não concordam
> >> com isso (e reitero que este não é o entendimento majoritário) não vai
> >> adiantar explicar que seguiu a recomendação de fulano porque parecia
> >> muito crível.
> >>
> >> Espero que isso ajude ISPs ainda estão em dúvida sobre este assunto ou
> >> os que estão seguindo esta orientação equivocada a adequarem seus
> >> sistemas para passarem a fazer da maneira correta.
> >>
> >> Fernando Frediani
> >>
> >> --
> >> gter listhttps://eng.registro.br/mailman/listinfo/gter
> >>
> > --
> > gter listhttps://eng.registro.br/mailman/listinfo/gter
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>



More information about the gter mailing list