[GTER] Solicitacao de Informacoes de usuarios por Autoridades Policiais

Fernando Frediani fhfrediani at gmail.com
Fri Jan 8 12:52:33 -03 2021 

Prezados

Quero voltar à este assunto e fazer um apelo a todos os Gestores 
Técnicos para que NÃO entreguem informações cadastrais de 
usuários/clientes para autoridades policiais de imediato mesmo que 
pareça correto fazê-lo, mas que consultem antes o Jurídico da sua 
empresa e embase ele com as informações que foram colocadas neste discussão.

Tenho visto um crescente número de casos de Delegados de Polícia 
(Federal ou Civil) solicitando "dados cadastrais" de clientes baseado no 
endereço IP/data/horário e argumentando previamente que não precisam de 
autorização para isso. Citam leis anteriores ao Marco Civil para terem 
acesso à esses dados sem a devida autorização de um juiz.

E pior ainda do que isso é que em alguns casos essas autoridades 
policiais estão exigindo a lista completa de usuários atrás de um CGNAT, 
o que é um absurdo do ponto de vista que se estará quebrando o sigilo de 
diversas outras pessoas que nada tem a ver com o crime investigado 
tornando-as suspeitas desnecessariamente.
As empresas de conteúdo tem obrigação legal (já confirmado pelo Superior 
Tribunal de Justiça) de guardar _também a informação da porta de origem_ 
e cabe à autoridade policial requisitar também isso à essas empresas 
para que o Provedor de Acesso possa realizar a identificação única dos 
usuários.

Porém como falado aqui anteriormente existe uma diferença importante que 
essas autoridades policiais não compreendem que é a diferença entre 
"*solicitar dados cadastrais de alguém já conhecido*" e "*solicitar a 
quebra do sigilo de um usuário para então poder enviar os dados 
cadastrais dele*". Para o primeiro caso leis como a L12850/13 e 
L12683/12 garantem esse direito, porém para o segundo caso que trata-se 
de uma quebra de sigilo (afinal a autoridade policial não conhece ainda 
a identidade do usuário daquele endereço IP) o Marco Civil (L12965/14) 
no Art. 22 estipula muito claramente que é necessária a autorização 
judicial e não isenta as autoridades policiais disso.

O Art. 15 da L12850/13 diz: "... /terão acesso, independentemente de 
autorização judicial, _apenas_ aos dados cadastrais do investigado/ 
/.../", ou seja, não garante a quebra do sigilo do usuário baseado no 
endereço IP utilizado quando a autoridade não conhece a identidade dele 
ainda.
De igual maneira o Art. 17-B da L12683/12 diz: " .../terão acesso, 
_exclusivamente_, aos dados cadastrais do investigado/ ..."

Não se deixem levar por um possível abuso de autoridade, mesmo sob 
ameaça de desobediência.
Se você é responsável técnico pela empresa não tome este decisão sozinho 
sem antes consultar a Diretoria e a principalmente o Jurídico da empresa 
embasando-os com essas informações. Se você proprietário ou Diretor da 
empresa consulte o Jurídico antes de qualquer maneira para evitar criar 
um passivo jurídico para a empresa.

É função social de toda empresa colaborar com investigações criminais em 
curso, porém mesmo que pareça nobre e justo jamais sem violar o que a 
lei estipular à respeito da quebra de sigilo às quais os provedor de 
internet estão sujeitos.

Espero que seja útil aos colegas
Fernando


On 21/09/2020 10:01, Fernando Frediani wrote:
> Colaborar com uma investigação por mais correto e nobre que possa ser 
> ainda sim deve ser feito seguindo a legislação vigente e não apenas 
> baseado em pontos de vista pessoais do que parece ser ou não certo.
> Não importa se alguns sistemas auxiliam ou dificultam nesta tarefa. 
> Isso é problema da empresa se adequar à legislação e prover somente a 
> informação que possui respaldado na Lei.
>
> O fato é que existe procedimento técnico ao alcance de qualquer 
> empresas grande ou pequena, independente do tipo de CGNAT escolhido 
> (portas fixas ou bulk port allocation) que permite a identificação 
> inequívoca do usuário e cabe a cada um se adequar e cumprir sua parte: 
> provedores de aplicação guardarem o registro também da porta de origem 
> e fornecê-los às autoridades e provedores de acesso de possa dessas 
> informações informar os dados exatos do suspeito.
>
> Fernando
>
> On 21/09/2020 09:48, Marco wrote:
>> Pode não ser fácil, e não é, mesmo porque sos sistemas de 
>> gerenciamento não
>> facilitam a tarefa, que precisa ser feita diretamente na base da 
>> dados do
>> RADIUS. Mas com a "solução" que unicamente utiliza portas de acesso se
>> torna impossível.
>> É muito melhor entregar uma lista que seja de 16 ou 32 usuários e 
>> esperar
>> que a polícia faça seu trabalho, solicitando mais detalhes sobre os
>> assinantes de interesse, do que entregar 0 (zero) nomes porque a 
>> "solução"
>> não solucionou o problema.
>> Nisso eu vejo mais vantagem na solução (sem aspas) da A10, que limita as
>> portas de origem do assinante, reescrevendo os pacotes se necessário. Me
>> parece muito mais racional do que gerar terabytes de logs que serão 
>> inúteis
>> caso o protocolo solicitado não esteja na lista criada previamente. A
>> solução da A10 mantém a relação de 1:n assinantes de forma 
>> previsível, que
>> ainda permite que o cruzamento de dados de conexão reduza a lista de
>> assinantes a um mínimo razoável.
>>
>> Em seg., 21 de set. de 2020 às 09:18, Uesley Correa 
>> <uesleycorrea at gmail.com>
>> escreveu:
>>
>>> Marco,
>>>
>>> Não conheço o seu cenário e longe de mim julgar o que você está 
>>> dizendo.
>>> Mas o cenário ISP é um cenário muito específico. 1:32 é praticamente
>>> impensável para um ISP enorme que tem apenas um /22 de range IPv4 e já
>>> entrega dual-stack. O mais comum a ver aí é 1:64 ou 1:128 até. E 
>>> não, os
>>> sistemas de ISP não pecam nesse sentido (ao menos a grande maioria). 
>>> É o
>>> cenário que é específico mesmo. Uma coisa é saber dentro de uma grande
>>> empresa quem fez alguma coisa. Outra completamente diferente é saber 
>>> num
>>> ISP de milhares / dezenas de milhares / centenas de milhares de 
>>> clientes
>>> (que poderiam se traduzir em 3 ou 4x mais usuários se olhamos 3 ou 4
>>> usuários em uma mesma residência). Óbvio que a intenção não é 
>>> localizar o
>>> usuário em si, o cliente apenas acho que já atende à requisição da 
>>> Polícia.
>>> Mas infelizmente eu queria que fosse "mais fácil" como você disse. 
>>> Mas como
>>> todos os amigos apresentaram acima, não. Não o é.
>>>
>>> Um abraço,
>>>
>>> Uesley Corrêa - Analista de Telecomunicações
>>> CEO Telecom Consultoria, Entrenamiento y Servicios
>>> CEO Telecom Fiber Solutions
>>>
>>>
>>> On Mon, Sep 21, 2020 at 8:11 AM Marco <marcodefreitas at gmail.com> wrote:
>>>
>>>> Questionável.
>>>> Em nenhum ponto a legislação exige a identificação inequívoca, ou as
>>>> operadoras teriam que autenticar cada dispositivo do assinante, o que
>>> seria
>>>> um transtorno para ambos.
>>>> Eu nunca recebi um ofício que tivesse apenas um IP. Assim como nunca
>>> recebi
>>>> um ofício que listasse portas de acesso.
>>>> No caso dos IP, quanto mais IPs e mais espaçados no tempo mais fácil é
>>>> reduzir a lista de suspeitos ao ideal de apenas um. Alguns 
>>>> equipamentos
>>> têm
>>>> facilidades para isso, como sempre entregar um IP (RFC 6598) 
>>>> diferente e
>>>> pseudo-aleatório.
>>>> Os sistemas de gerenciamento de provedor ainda pecam nesse quesito, 
>>>> assim
>>>> como os sistemas de log, que são implantados sem que o método de 
>>>> extração
>>>> da informação seja ao menos definido.
>>>>
>>>> Em seg., 21 de set. de 2020 às 08:57, Gondim <gondim at linuxinfo.com.br>
>>>> escreveu:
>>>>
>>>>> Buenas,
>>>>>
>>>>> Em CGNAT sem portas de origem o máximo que vou entregar vai ser uma
>>>>> lista enorme de assinantes, o que não vai ajudar em nada a
>>> investigação.
>>>>> Eu já digo logo: se o assinante estava em CGNAT, só tenho como
>>>>> identificá-lo se tiver o log mínimo para isso: IP público, porta
>>> origem,
>>>>> data/hora e timezone do log.
>>>>>
>>>>> Em 18/09/2020 15:59, Marco escreveu:
>>>>>> Nunca façam isso.
>>>>>> A lei é clara a respeito da guarda dos logs de conexão, que devem 
>>>>>> ser
>>>>>> entregues somente mediante ordem judicial.
>>>>>> A colaboração legal e segura é apurar os dados (que não, nunca virão
>>>> com
>>>>>> portas) o quanto antes e aguardar a ordem judicial.
>>>>>>
>>>>>> Em sex., 18 de set. de 2020 às 13:35, Elizandro Pacheco [ NextHop
>>>>> Solutions
>>>>>> ® ] <elizandro at pachecotecnologia.net> escreveu:
>>>>>>
>>>>>>> Ontem mesmo tive um caso, o velho bom e conhecido caso do TV com o
>>>>>>> NetFlix logado. O delegado civil apresentou seu próprio oficio
>>>> contendo
>>>>>>> apenas o ipv4.
>>>>>>>
>>>>>>> Em uma conversa branda, expliquei pra ele a necessidade da porta de
>>>>>>> origem, e como ele deveria proceder para obter tal informação, e 
>>>>>>> que
>>>>>>> somente assim seria possível eu realizar a identificação.
>>>>>>>
>>>>>>> Expliquei também, que precisaria do ofício para ter um resguardo
>>> legal
>>>>>>> caso o usuário se sinta "violado" e venha querer tirar aquele
>>>>>>> dinheirinho com um processo contra meu cliente.
>>>>>>>
>>>>>>> No final das contas, ele tinha o endereço e como um gesto de
>>>>>>> colaboração, entregamos os dados do assinante no referido endereço.
>>>>>>>
>>>>>>> O que eu tenho feito na maioria dos casos, ainda que eu não tivesse
>>> a
>>>>>>> obrigação legal de entregar os dados pra ele naquele momento, é ser
>>>>>>> colaborativo. Afinal de contas, mesmo que seja o delegado local e
>>>> mesmo
>>>>>>> que ele não tenha todas as informações, ninguém quer bronca com
>>>> polícia
>>>>>>> não é mesmo? Muito menos acobertar crimes simplesmente pelo usuário
>>>> ser
>>>>>>> cliente.
>>>>>>>
>>>>>>> Então, eu geralmente explico essas situações ( e geralmente os
>>>> delegados
>>>>>>> são leigos nesse nível técnico ) e assim temos uma colaboração de
>>>> ambas
>>>>>>> as partes.
>>>>>>>
>>>>>>> No caso de ontem, ele se prontificou inclusive a fazer um documento
>>>>>>> específico sobre os dados que ele tava fornecendo e o que estava
>>>>>>> solicitando ( mas nesse caso ele tinha o endereço, acho que queria
>>>>>>> apenas uma confirmação ).
>>>>>>>
>>>>>>> Então, sendo obrigado ou não, particularmente recomendo sempre
>>>>>>> colaborar. Afinal de contas, o usuário em questão pode ser 
>>>>>>> realmente
>>>> um
>>>>>>> criminoso e não conheço algum caso em que esse tipo de entrega, de
>>>> fato,
>>>>>>> tenha dado problema pro provedor.
>>>>>>>
>>>>>>> Acho que ainda há um longo caminho até podermos simplesmente dizer:
>>> -
>>>>>>> Sem isso ou sem ser um ofício do Juíz, não posso entregar.
>>>>>>>
>>>>>>> Principalmente, com jurisprudência para a argumentação, para que ao
>>>>>>> menos, o solicitante não se sinta ofendido ou sinta sua 
>>>>>>> "autoridade"
>>>>>>> ferida.
>>>>>>>
>>>>>>> Eu, opto pela colaboração sempre.
>>>>>>>
>>>>>>> Mas é realmente um ponto que levanta muitas dúvidas em muitos
>>>>>>> profissionais e provedores, o que não vale mesmo é tentar usar esse
>>>> tipo
>>>>>>> de desculpa pra acobertar uma falha interna sua ( Ex: Um provedor
>>>>>>> querendo utilizar esse tipo de informação simplesmente porque o
>>>>>>> CGNAT/ACCOUNTING tá mal implementado, ou é inexistente, e ele não
>>> quer
>>>>>>> expor isso ).
>>>>>>>
>>>>>>>
>>>>>>> Meus 50 cents,
>>>>>>>
>>>>>>> Elizandro Pacheco
>>>>>>> NextHop Solutions
>>>>>>>
>>>>>>> ------ Mensagem original ------
>>>>>>> De: "Fernando Frediani" <fhfrediani at gmail.com>
>>>>>>> Para: "Grupo de Trabalho de Engenharia e Operacao de Redes"
>>>>>>> <gter at eng.registro.br>
>>>>>>> Enviado(s): 18/09/2020 13:17:07
>>>>>>> Assunto: [GTER] Solicitacao de Informacoes de usuarios por
>>> Autoridades
>>>>>>> Policiais
>>>>>>>
>>>>>>>> Olá pessoal.
>>>>>>>>
>>>>>>>> Quero aproveitar a oportunidade para reforçar um assunto que já 
>>>>>>>> foi
>>>>> falado
>>>>>>>> aqui anteriormente e que acredito tem havido um aumento dessas
>>>>>>> solicitações
>>>>>>>> mais recentemente.
>>>>>>>>
>>>>>>>> Tenho recebido relatos de colegas de ofícios provenientes de
>>>>> Autoridades
>>>>>>>> Policiais (Delegado de Polícia Federal ou Polícia Civil)
>>> solicitando
>>>> a
>>>>>>>> identificação e os dados cadastrais de usuários baseados no
>>> endereco
>>>>> IP.
>>>>>>>> Considerando que mesmo que o ofício venha com todos os dados
>>>>> necessários
>>>>>>>> (IPv4 + Porta de Origem ou IPv6), Data, Horário e Timezone existe
>>> um
>>>>> outro
>>>>>>>> problema que pode estar passando despercebido por muitas empresas.
>>>>>>>>
>>>>>>>> Muitos desses ofícios citam o Art. 17-B da Lei 12.683/12 que diz o
>>>>>>>> seguinte: "*A autoridade policial e o Ministério Público terão
>>>> acesso,
>>>>>>>> exclusivamente, aos dados cadastrais do investigado que informam
>>>>>>>> qualificação pessoal, filiação e endereço, independentemente de
>>>>>>> autorização
>>>>>>>> judicial, mantidos pela Justiça Eleitoral, pelas empresas
>>>> telefônicas,
>>>>>>>> pelas instituições financeiras, pelos provedores de internet e
>>> pelas
>>>>>>>> administradoras de cartão de crédito.*”
>>>>>>>>
>>>>>>>> No entanto o § 5º Art. 13 da Lei 12.965/14 (Marco Civil da
>>> Internet)
>>>>> que
>>>>>>>> diz: "*Em qualquer hipótese, a disponibilização ao requerente dos
>>>>>>> registros
>>>>>>>> de que trata este artigo deverá ser precedida de autorização
>>>> judicial,
>>>>>>>> conforme disposto na Seção IV deste Capítulo.*"
>>>>>>>>
>>>>>>>> Perceba que no primeiro caso a autoridade policial *não possui
>>> ainda
>>>> a
>>>>>>>> identificação do investigado* e está pedindo 2 coisas: 1) que
>>>> provedor
>>>>> que
>>>>>>>> quebre o sigilo do usuário baseado no endereço IP e 2) que informe
>>> os
>>>>>>> dados
>>>>>>>> cadastrais.
>>>>>>>> No entanto a Lei de 2012 apenas assegura a Autoridade Policial o
>>>> acesso
>>>>>>> aos
>>>>>>>> dados cadastrais (ou seja quando o nome do investigado já é
>>>> previamente
>>>>>>>> conhecido) sem a necessidade de autorização judicial.
>>>>>>>>
>>>>>>>> Minha orientação é sempre levar esses casos para conhecido do
>>>> jurídico
>>>>> da
>>>>>>>> empresa com essas informações citadas acima para que ela, caso
>>> tiver
>>>> o
>>>>>>>> mesmo entendimento, responder a autoridade policia pedido a
>>> gentileza
>>>>> de
>>>>>>>> que seja requerido ao juiz a quebra do sigilo do usuário.
>>>>>>>>
>>>>>>>> Caso isso não seja feito corre-se o risco do investigado que teve
>>> os
>>>>> dados
>>>>>>>> informados sem autorização judicial questionar o provedor a
>>> respeito.
>>>>>>>> Fernando Frediani
>>>>>>>> -- 
>>>>>>>> gter list https://eng.registro.br/mailman/listinfo/gter
>>>>>>> -- 
>>>>>>> gter list https://eng.registro.br/mailman/listinfo/gter
>>>>>>>
>>>>>> -- 
>>>>>> gter list https://eng.registro.br/mailman/listinfo/gter
>>>>> -- 
>>>>>    ⢀⣴⠾⠻⢶⣦⠀  Marcelo Gondim
>>>>>    ⣾⠁⢠⠒⠀⣿⡁  Sysadmin - https://www.linuxinfo.com.br
>>>>>    ⢿⡄⠘⠷⠚⠋   DA04 922E 78B3 44A5 3C8D 23D0 8DB5 571E E151 4E19
>>>>>    ⠈⠳⣄⠀⠀⠀⠀  Logic will get you from A to B. Imagination will take you
>>>>> everywhere. (Albert Einstein)
>>>>>
>>>>>
>>>>> -- 
>>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>>>
>>>> -- 
>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>>
>>> -- 
>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>
>> -- 
>> gter list    https://eng.registro.br/mailman/listinfo/gter

More information about the gter mailing list