[GTER] Solicitacao de Informacoes de usuarios por Autoridades Policiais

Fernando Frediani fhfrediani at gmail.com
Mon Sep 21 10:01:21 -03 2020


Colaborar com uma investigação por mais correto e nobre que possa ser 
ainda sim deve ser feito seguindo a legislação vigente e não apenas 
baseado em pontos de vista pessoais do que parece ser ou não certo.
Não importa se alguns sistemas auxiliam ou dificultam nesta tarefa. Isso 
é problema da empresa se adequar à legislação e prover somente a 
informação que possui respaldado na Lei.

O fato é que existe procedimento técnico ao alcance de qualquer empresas 
grande ou pequena, independente do tipo de CGNAT escolhido (portas fixas 
ou bulk port allocation) que permite a identificação inequívoca do 
usuário e cabe a cada um se adequar e cumprir sua parte: provedores de 
aplicação guardarem o registro também da porta de origem e fornecê-los 
às autoridades e provedores de acesso de possa dessas informações 
informar os dados exatos do suspeito.

Fernando

On 21/09/2020 09:48, Marco wrote:
> Pode não ser fácil, e não é, mesmo porque sos sistemas de gerenciamento não
> facilitam a tarefa, que precisa ser feita diretamente na base da dados do
> RADIUS. Mas com a "solução" que unicamente utiliza portas de acesso se
> torna impossível.
> É muito melhor entregar uma lista que seja de 16 ou 32 usuários e esperar
> que a polícia faça seu trabalho, solicitando mais detalhes sobre os
> assinantes de interesse, do que entregar 0 (zero) nomes porque a "solução"
> não solucionou o problema.
> Nisso eu vejo mais vantagem na solução (sem aspas) da A10, que limita as
> portas de origem do assinante, reescrevendo os pacotes se necessário. Me
> parece muito mais racional do que gerar terabytes de logs que serão inúteis
> caso o protocolo solicitado não esteja na lista criada previamente. A
> solução da A10 mantém a relação de 1:n assinantes de forma previsível, que
> ainda permite que o cruzamento de dados de conexão reduza a lista de
> assinantes a um mínimo razoável.
>
> Em seg., 21 de set. de 2020 às 09:18, Uesley Correa <uesleycorrea at gmail.com>
> escreveu:
>
>> Marco,
>>
>> Não conheço o seu cenário e longe de mim julgar o que você está dizendo.
>> Mas o cenário ISP é um cenário muito específico. 1:32 é praticamente
>> impensável para um ISP enorme que tem apenas um /22 de range IPv4 e já
>> entrega dual-stack. O mais comum a ver aí é 1:64 ou 1:128 até. E não, os
>> sistemas de ISP não pecam nesse sentido (ao menos a grande maioria). É o
>> cenário que é específico mesmo. Uma coisa é saber dentro de uma grande
>> empresa quem fez alguma coisa. Outra completamente diferente é saber num
>> ISP de milhares / dezenas de milhares / centenas de milhares de clientes
>> (que poderiam se traduzir em 3 ou 4x mais usuários se olhamos 3 ou 4
>> usuários em uma mesma residência). Óbvio que a intenção não é localizar o
>> usuário em si, o cliente apenas acho que já atende à requisição da Polícia.
>> Mas infelizmente eu queria que fosse "mais fácil" como você disse. Mas como
>> todos os amigos apresentaram acima, não. Não o é.
>>
>> Um abraço,
>>
>> Uesley Corrêa - Analista de Telecomunicações
>> CEO Telecom Consultoria, Entrenamiento y Servicios
>> CEO Telecom Fiber Solutions
>>
>>
>> On Mon, Sep 21, 2020 at 8:11 AM Marco <marcodefreitas at gmail.com> wrote:
>>
>>> Questionável.
>>> Em nenhum ponto a legislação exige a identificação inequívoca, ou as
>>> operadoras teriam que autenticar cada dispositivo do assinante, o que
>> seria
>>> um transtorno para ambos.
>>> Eu nunca recebi um ofício que tivesse apenas um IP. Assim como nunca
>> recebi
>>> um ofício que listasse portas de acesso.
>>> No caso dos IP, quanto mais IPs e mais espaçados no tempo mais fácil é
>>> reduzir a lista de suspeitos ao ideal de apenas um. Alguns equipamentos
>> têm
>>> facilidades para isso, como sempre entregar um IP (RFC 6598) diferente e
>>> pseudo-aleatório.
>>> Os sistemas de gerenciamento de provedor ainda pecam nesse quesito, assim
>>> como os sistemas de log, que são implantados sem que o método de extração
>>> da informação seja ao menos definido.
>>>
>>> Em seg., 21 de set. de 2020 às 08:57, Gondim <gondim at linuxinfo.com.br>
>>> escreveu:
>>>
>>>> Buenas,
>>>>
>>>> Em CGNAT sem portas de origem o máximo que vou entregar vai ser uma
>>>> lista enorme de assinantes, o que não vai ajudar em nada a
>> investigação.
>>>> Eu já digo logo: se o assinante estava em CGNAT, só tenho como
>>>> identificá-lo se tiver o log mínimo para isso: IP público, porta
>> origem,
>>>> data/hora e timezone do log.
>>>>
>>>> Em 18/09/2020 15:59, Marco escreveu:
>>>>> Nunca façam isso.
>>>>> A lei é clara a respeito da guarda dos logs de conexão, que devem ser
>>>>> entregues somente mediante ordem judicial.
>>>>> A colaboração legal e segura é apurar os dados (que não, nunca virão
>>> com
>>>>> portas) o quanto antes e aguardar a ordem judicial.
>>>>>
>>>>> Em sex., 18 de set. de 2020 às 13:35, Elizandro Pacheco [ NextHop
>>>> Solutions
>>>>> ® ] <elizandro at pachecotecnologia.net> escreveu:
>>>>>
>>>>>> Ontem mesmo tive um caso, o velho bom e conhecido caso do TV com o
>>>>>> NetFlix logado. O delegado civil apresentou seu próprio oficio
>>> contendo
>>>>>> apenas o ipv4.
>>>>>>
>>>>>> Em uma conversa branda, expliquei pra ele a necessidade da porta de
>>>>>> origem, e como ele deveria proceder para obter tal informação, e que
>>>>>> somente assim seria possível eu realizar a identificação.
>>>>>>
>>>>>> Expliquei também, que precisaria do ofício para ter um resguardo
>> legal
>>>>>> caso o usuário se sinta "violado" e venha querer tirar aquele
>>>>>> dinheirinho com um processo contra meu cliente.
>>>>>>
>>>>>> No final das contas, ele tinha o endereço e como um gesto de
>>>>>> colaboração, entregamos os dados do assinante no referido endereço.
>>>>>>
>>>>>> O que eu tenho feito na maioria dos casos, ainda que eu não tivesse
>> a
>>>>>> obrigação legal de entregar os dados pra ele naquele momento, é ser
>>>>>> colaborativo. Afinal de contas, mesmo que seja o delegado local e
>>> mesmo
>>>>>> que ele não tenha todas as informações, ninguém quer bronca com
>>> polícia
>>>>>> não é mesmo? Muito menos acobertar crimes simplesmente pelo usuário
>>> ser
>>>>>> cliente.
>>>>>>
>>>>>> Então, eu geralmente explico essas situações ( e geralmente os
>>> delegados
>>>>>> são leigos nesse nível técnico ) e assim temos uma colaboração de
>>> ambas
>>>>>> as partes.
>>>>>>
>>>>>> No caso de ontem, ele se prontificou inclusive a fazer um documento
>>>>>> específico sobre os dados que ele tava fornecendo e o que estava
>>>>>> solicitando ( mas nesse caso ele tinha o endereço, acho que queria
>>>>>> apenas uma confirmação ).
>>>>>>
>>>>>> Então, sendo obrigado ou não, particularmente recomendo sempre
>>>>>> colaborar. Afinal de contas, o usuário em questão pode ser realmente
>>> um
>>>>>> criminoso e não conheço algum caso em que esse tipo de entrega, de
>>> fato,
>>>>>> tenha dado problema pro provedor.
>>>>>>
>>>>>> Acho que ainda há um longo caminho até podermos simplesmente dizer:
>> -
>>>>>> Sem isso ou sem ser um ofício do Juíz, não posso entregar.
>>>>>>
>>>>>> Principalmente, com jurisprudência para a argumentação, para que ao
>>>>>> menos, o solicitante não se sinta ofendido ou sinta sua "autoridade"
>>>>>> ferida.
>>>>>>
>>>>>> Eu, opto pela colaboração sempre.
>>>>>>
>>>>>> Mas é realmente um ponto que levanta muitas dúvidas em muitos
>>>>>> profissionais e provedores, o que não vale mesmo é tentar usar esse
>>> tipo
>>>>>> de desculpa pra acobertar uma falha interna sua ( Ex: Um provedor
>>>>>> querendo utilizar esse tipo de informação simplesmente porque o
>>>>>> CGNAT/ACCOUNTING tá mal implementado, ou é inexistente, e ele não
>> quer
>>>>>> expor isso ).
>>>>>>
>>>>>>
>>>>>> Meus 50 cents,
>>>>>>
>>>>>> Elizandro Pacheco
>>>>>> NextHop Solutions
>>>>>>
>>>>>> ------ Mensagem original ------
>>>>>> De: "Fernando Frediani" <fhfrediani at gmail.com>
>>>>>> Para: "Grupo de Trabalho de Engenharia e Operacao de Redes"
>>>>>> <gter at eng.registro.br>
>>>>>> Enviado(s): 18/09/2020 13:17:07
>>>>>> Assunto: [GTER] Solicitacao de Informacoes de usuarios por
>> Autoridades
>>>>>> Policiais
>>>>>>
>>>>>>> Olá pessoal.
>>>>>>>
>>>>>>> Quero aproveitar a oportunidade para reforçar um assunto que já foi
>>>> falado
>>>>>>> aqui anteriormente e que acredito tem havido um aumento dessas
>>>>>> solicitações
>>>>>>> mais recentemente.
>>>>>>>
>>>>>>> Tenho recebido relatos de colegas de ofícios provenientes de
>>>> Autoridades
>>>>>>> Policiais (Delegado de Polícia Federal ou Polícia Civil)
>> solicitando
>>> a
>>>>>>> identificação e os dados cadastrais de usuários baseados no
>> endereco
>>>> IP.
>>>>>>> Considerando que mesmo que o ofício venha com todos os dados
>>>> necessários
>>>>>>> (IPv4 + Porta de Origem ou IPv6), Data, Horário e Timezone existe
>> um
>>>> outro
>>>>>>> problema que pode estar passando despercebido por muitas empresas.
>>>>>>>
>>>>>>> Muitos desses ofícios citam o Art. 17-B da Lei 12.683/12 que diz o
>>>>>>> seguinte: "*A autoridade policial e o Ministério Público terão
>>> acesso,
>>>>>>> exclusivamente, aos dados cadastrais do investigado que informam
>>>>>>> qualificação pessoal, filiação e endereço, independentemente de
>>>>>> autorização
>>>>>>> judicial, mantidos pela Justiça Eleitoral, pelas empresas
>>> telefônicas,
>>>>>>> pelas instituições financeiras, pelos provedores de internet e
>> pelas
>>>>>>> administradoras de cartão de crédito.*”
>>>>>>>
>>>>>>> No entanto o § 5º Art. 13 da Lei 12.965/14 (Marco Civil da
>> Internet)
>>>> que
>>>>>>> diz: "*Em qualquer hipótese, a disponibilização ao requerente dos
>>>>>> registros
>>>>>>> de que trata este artigo deverá ser precedida de autorização
>>> judicial,
>>>>>>> conforme disposto na Seção IV deste Capítulo.*"
>>>>>>>
>>>>>>> Perceba que no primeiro caso a autoridade policial *não possui
>> ainda
>>> a
>>>>>>> identificação do investigado* e está pedindo 2 coisas: 1) que
>>> provedor
>>>> que
>>>>>>> quebre o sigilo do usuário baseado no endereço IP e 2) que informe
>> os
>>>>>> dados
>>>>>>> cadastrais.
>>>>>>> No entanto a Lei de 2012 apenas assegura a Autoridade Policial o
>>> acesso
>>>>>> aos
>>>>>>> dados cadastrais (ou seja quando o nome do investigado já é
>>> previamente
>>>>>>> conhecido) sem a necessidade de autorização judicial.
>>>>>>>
>>>>>>> Minha orientação é sempre levar esses casos para conhecido do
>>> jurídico
>>>> da
>>>>>>> empresa com essas informações citadas acima para que ela, caso
>> tiver
>>> o
>>>>>>> mesmo entendimento, responder a autoridade policia pedido a
>> gentileza
>>>> de
>>>>>>> que seja requerido ao juiz a quebra do sigilo do usuário.
>>>>>>>
>>>>>>> Caso isso não seja feito corre-se o risco do investigado que teve
>> os
>>>> dados
>>>>>>> informados sem autorização judicial questionar o provedor a
>> respeito.
>>>>>>> Fernando Frediani
>>>>>>> --
>>>>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>>>> --
>>>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>>>>
>>>>> --
>>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>> --
>>>>    ⢀⣴⠾⠻⢶⣦⠀  Marcelo Gondim
>>>>    ⣾⠁⢠⠒⠀⣿⡁  Sysadmin - https://www.linuxinfo.com.br
>>>>    ⢿⡄⠘⠷⠚⠋   DA04 922E 78B3 44A5 3C8D 23D0 8DB5 571E E151 4E19
>>>>    ⠈⠳⣄⠀⠀⠀⠀  Logic will get you from A to B. Imagination will take you
>>>> everywhere. (Albert Einstein)
>>>>
>>>>
>>>> --
>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>>
>>> --
>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>
>> --
>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter


More information about the gter mailing list