[GTER] Solicitacao de Informacoes de usuarios por Autoridades Policiais

Marco marcodefreitas at gmail.com
Fri Jan 8 16:36:17 -03 2021 

Isso é muito importante.
Devemos lembrar que as autoridades, ao contrário da cultura do "você sabe
com quem está falando?", também precisam cumprir as leis.

Em sex., 8 de jan. de 2021 às 14:36, Fernando Frediani <fhfrediani at gmail.com>
escreveu:

> Prezados
>
> Quero voltar à este assunto e fazer um apelo a todos os Gestores
> Técnicos para que NÃO entreguem informações cadastrais de
> usuários/clientes para autoridades policiais de imediato mesmo que
> pareça correto fazê-lo, mas que consultem antes o Jurídico da sua
> empresa e embase ele com as informações que foram colocadas neste
> discussão.
>
> Tenho visto um crescente número de casos de Delegados de Polícia
> (Federal ou Civil) solicitando "dados cadastrais" de clientes baseado no
> endereço IP/data/horário e argumentando previamente que não precisam de
> autorização para isso. Citam leis anteriores ao Marco Civil para terem
> acesso à esses dados sem a devida autorização de um juiz.
>
> E pior ainda do que isso é que em alguns casos essas autoridades
> policiais estão exigindo a lista completa de usuários atrás de um CGNAT,
> o que é um absurdo do ponto de vista que se estará quebrando o sigilo de
> diversas outras pessoas que nada tem a ver com o crime investigado
> tornando-as suspeitas desnecessariamente.
> As empresas de conteúdo tem obrigação legal (já confirmado pelo Superior
> Tribunal de Justiça) de guardar _também a informação da porta de origem_
> e cabe à autoridade policial requisitar também isso à essas empresas
> para que o Provedor de Acesso possa realizar a identificação única dos
> usuários.
>
> Porém como falado aqui anteriormente existe uma diferença importante que
> essas autoridades policiais não compreendem que é a diferença entre
> "*solicitar dados cadastrais de alguém já conhecido*" e "*solicitar a
> quebra do sigilo de um usuário para então poder enviar os dados
> cadastrais dele*". Para o primeiro caso leis como a L12850/13 e
> L12683/12 garantem esse direito, porém para o segundo caso que trata-se
> de uma quebra de sigilo (afinal a autoridade policial não conhece ainda
> a identidade do usuário daquele endereço IP) o Marco Civil (L12965/14)
> no Art. 22 estipula muito claramente que é necessária a autorização
> judicial e não isenta as autoridades policiais disso.
>
> O Art. 15 da L12850/13 diz: "... /terão acesso, independentemente de
> autorização judicial, _apenas_ aos dados cadastrais do investigado/
> /.../", ou seja, não garante a quebra do sigilo do usuário baseado no
> endereço IP utilizado quando a autoridade não conhece a identidade dele
> ainda.
> De igual maneira o Art. 17-B da L12683/12 diz: " .../terão acesso,
> _exclusivamente_, aos dados cadastrais do investigado/ ..."
>
> Não se deixem levar por um possível abuso de autoridade, mesmo sob
> ameaça de desobediência.
> Se você é responsável técnico pela empresa não tome este decisão sozinho
> sem antes consultar a Diretoria e a principalmente o Jurídico da empresa
> embasando-os com essas informações. Se você proprietário ou Diretor da
> empresa consulte o Jurídico antes de qualquer maneira para evitar criar
> um passivo jurídico para a empresa.
>
> É função social de toda empresa colaborar com investigações criminais em
> curso, porém mesmo que pareça nobre e justo jamais sem violar o que a
> lei estipular à respeito da quebra de sigilo às quais os provedor de
> internet estão sujeitos.
>
> Espero que seja útil aos colegas
> Fernando
>
>
> On 21/09/2020 10:01, Fernando Frediani wrote:
> > Colaborar com uma investigação por mais correto e nobre que possa ser
> > ainda sim deve ser feito seguindo a legislação vigente e não apenas
> > baseado em pontos de vista pessoais do que parece ser ou não certo.
> > Não importa se alguns sistemas auxiliam ou dificultam nesta tarefa.
> > Isso é problema da empresa se adequar à legislação e prover somente a
> > informação que possui respaldado na Lei.
> >
> > O fato é que existe procedimento técnico ao alcance de qualquer
> > empresas grande ou pequena, independente do tipo de CGNAT escolhido
> > (portas fixas ou bulk port allocation) que permite a identificação
> > inequívoca do usuário e cabe a cada um se adequar e cumprir sua parte:
> > provedores de aplicação guardarem o registro também da porta de origem
> > e fornecê-los às autoridades e provedores de acesso de possa dessas
> > informações informar os dados exatos do suspeito.
> >
> > Fernando
> >
> > On 21/09/2020 09:48, Marco wrote:
> >> Pode não ser fácil, e não é, mesmo porque sos sistemas de
> >> gerenciamento não
> >> facilitam a tarefa, que precisa ser feita diretamente na base da
> >> dados do
> >> RADIUS. Mas com a "solução" que unicamente utiliza portas de acesso se
> >> torna impossível.
> >> É muito melhor entregar uma lista que seja de 16 ou 32 usuários e
> >> esperar
> >> que a polícia faça seu trabalho, solicitando mais detalhes sobre os
> >> assinantes de interesse, do que entregar 0 (zero) nomes porque a
> >> "solução"
> >> não solucionou o problema.
> >> Nisso eu vejo mais vantagem na solução (sem aspas) da A10, que limita as
> >> portas de origem do assinante, reescrevendo os pacotes se necessário. Me
> >> parece muito mais racional do que gerar terabytes de logs que serão
> >> inúteis
> >> caso o protocolo solicitado não esteja na lista criada previamente. A
> >> solução da A10 mantém a relação de 1:n assinantes de forma
> >> previsível, que
> >> ainda permite que o cruzamento de dados de conexão reduza a lista de
> >> assinantes a um mínimo razoável.
> >>
> >> Em seg., 21 de set. de 2020 às 09:18, Uesley Correa
> >> <uesleycorrea at gmail.com>
> >> escreveu:
> >>
> >>> Marco,
> >>>
> >>> Não conheço o seu cenário e longe de mim julgar o que você está
> >>> dizendo.
> >>> Mas o cenário ISP é um cenário muito específico. 1:32 é praticamente
> >>> impensável para um ISP enorme que tem apenas um /22 de range IPv4 e já
> >>> entrega dual-stack. O mais comum a ver aí é 1:64 ou 1:128 até. E
> >>> não, os
> >>> sistemas de ISP não pecam nesse sentido (ao menos a grande maioria).
> >>> É o
> >>> cenário que é específico mesmo. Uma coisa é saber dentro de uma grande
> >>> empresa quem fez alguma coisa. Outra completamente diferente é saber
> >>> num
> >>> ISP de milhares / dezenas de milhares / centenas de milhares de
> >>> clientes
> >>> (que poderiam se traduzir em 3 ou 4x mais usuários se olhamos 3 ou 4
> >>> usuários em uma mesma residência). Óbvio que a intenção não é
> >>> localizar o
> >>> usuário em si, o cliente apenas acho que já atende à requisição da
> >>> Polícia.
> >>> Mas infelizmente eu queria que fosse "mais fácil" como você disse.
> >>> Mas como
> >>> todos os amigos apresentaram acima, não. Não o é.
> >>>
> >>> Um abraço,
> >>>
> >>> Uesley Corrêa - Analista de Telecomunicações
> >>> CEO Telecom Consultoria, Entrenamiento y Servicios
> >>> CEO Telecom Fiber Solutions
> >>>
> >>>
> >>> On Mon, Sep 21, 2020 at 8:11 AM Marco <marcodefreitas at gmail.com>
> wrote:
> >>>
> >>>> Questionável.
> >>>> Em nenhum ponto a legislação exige a identificação inequívoca, ou as
> >>>> operadoras teriam que autenticar cada dispositivo do assinante, o que
> >>> seria
> >>>> um transtorno para ambos.
> >>>> Eu nunca recebi um ofício que tivesse apenas um IP. Assim como nunca
> >>> recebi
> >>>> um ofício que listasse portas de acesso.
> >>>> No caso dos IP, quanto mais IPs e mais espaçados no tempo mais fácil é
> >>>> reduzir a lista de suspeitos ao ideal de apenas um. Alguns
> >>>> equipamentos
> >>> têm
> >>>> facilidades para isso, como sempre entregar um IP (RFC 6598)
> >>>> diferente e
> >>>> pseudo-aleatório.
> >>>> Os sistemas de gerenciamento de provedor ainda pecam nesse quesito,
> >>>> assim
> >>>> como os sistemas de log, que são implantados sem que o método de
> >>>> extração
> >>>> da informação seja ao menos definido.
> >>>>
> >>>> Em seg., 21 de set. de 2020 às 08:57, Gondim <gondim at linuxinfo.com.br
> >
> >>>> escreveu:
> >>>>
> >>>>> Buenas,
> >>>>>
> >>>>> Em CGNAT sem portas de origem o máximo que vou entregar vai ser uma
> >>>>> lista enorme de assinantes, o que não vai ajudar em nada a
> >>> investigação.
> >>>>> Eu já digo logo: se o assinante estava em CGNAT, só tenho como
> >>>>> identificá-lo se tiver o log mínimo para isso: IP público, porta
> >>> origem,
> >>>>> data/hora e timezone do log.
> >>>>>
> >>>>> Em 18/09/2020 15:59, Marco escreveu:
> >>>>>> Nunca façam isso.
> >>>>>> A lei é clara a respeito da guarda dos logs de conexão, que devem
> >>>>>> ser
> >>>>>> entregues somente mediante ordem judicial.
> >>>>>> A colaboração legal e segura é apurar os dados (que não, nunca virão
> >>>> com
> >>>>>> portas) o quanto antes e aguardar a ordem judicial.
> >>>>>>
> >>>>>> Em sex., 18 de set. de 2020 às 13:35, Elizandro Pacheco [ NextHop
> >>>>> Solutions
> >>>>>> ® ] <elizandro at pachecotecnologia.net> escreveu:
> >>>>>>
> >>>>>>> Ontem mesmo tive um caso, o velho bom e conhecido caso do TV com o
> >>>>>>> NetFlix logado. O delegado civil apresentou seu próprio oficio
> >>>> contendo
> >>>>>>> apenas o ipv4.
> >>>>>>>
> >>>>>>> Em uma conversa branda, expliquei pra ele a necessidade da porta de
> >>>>>>> origem, e como ele deveria proceder para obter tal informação, e
> >>>>>>> que
> >>>>>>> somente assim seria possível eu realizar a identificação.
> >>>>>>>
> >>>>>>> Expliquei também, que precisaria do ofício para ter um resguardo
> >>> legal
> >>>>>>> caso o usuário se sinta "violado" e venha querer tirar aquele
> >>>>>>> dinheirinho com um processo contra meu cliente.
> >>>>>>>
> >>>>>>> No final das contas, ele tinha o endereço e como um gesto de
> >>>>>>> colaboração, entregamos os dados do assinante no referido endereço.
> >>>>>>>
> >>>>>>> O que eu tenho feito na maioria dos casos, ainda que eu não tivesse
> >>> a
> >>>>>>> obrigação legal de entregar os dados pra ele naquele momento, é ser
> >>>>>>> colaborativo. Afinal de contas, mesmo que seja o delegado local e
> >>>> mesmo
> >>>>>>> que ele não tenha todas as informações, ninguém quer bronca com
> >>>> polícia
> >>>>>>> não é mesmo? Muito menos acobertar crimes simplesmente pelo usuário
> >>>> ser
> >>>>>>> cliente.
> >>>>>>>
> >>>>>>> Então, eu geralmente explico essas situações ( e geralmente os
> >>>> delegados
> >>>>>>> são leigos nesse nível técnico ) e assim temos uma colaboração de
> >>>> ambas
> >>>>>>> as partes.
> >>>>>>>
> >>>>>>> No caso de ontem, ele se prontificou inclusive a fazer um documento
> >>>>>>> específico sobre os dados que ele tava fornecendo e o que estava
> >>>>>>> solicitando ( mas nesse caso ele tinha o endereço, acho que queria
> >>>>>>> apenas uma confirmação ).
> >>>>>>>
> >>>>>>> Então, sendo obrigado ou não, particularmente recomendo sempre
> >>>>>>> colaborar. Afinal de contas, o usuário em questão pode ser
> >>>>>>> realmente
> >>>> um
> >>>>>>> criminoso e não conheço algum caso em que esse tipo de entrega, de
> >>>> fato,
> >>>>>>> tenha dado problema pro provedor.
> >>>>>>>
> >>>>>>> Acho que ainda há um longo caminho até podermos simplesmente dizer:
> >>> -
> >>>>>>> Sem isso ou sem ser um ofício do Juíz, não posso entregar.
> >>>>>>>
> >>>>>>> Principalmente, com jurisprudência para a argumentação, para que ao
> >>>>>>> menos, o solicitante não se sinta ofendido ou sinta sua
> >>>>>>> "autoridade"
> >>>>>>> ferida.
> >>>>>>>
> >>>>>>> Eu, opto pela colaboração sempre.
> >>>>>>>
> >>>>>>> Mas é realmente um ponto que levanta muitas dúvidas em muitos
> >>>>>>> profissionais e provedores, o que não vale mesmo é tentar usar esse
> >>>> tipo
> >>>>>>> de desculpa pra acobertar uma falha interna sua ( Ex: Um provedor
> >>>>>>> querendo utilizar esse tipo de informação simplesmente porque o
> >>>>>>> CGNAT/ACCOUNTING tá mal implementado, ou é inexistente, e ele não
> >>> quer
> >>>>>>> expor isso ).
> >>>>>>>
> >>>>>>>
> >>>>>>> Meus 50 cents,
> >>>>>>>
> >>>>>>> Elizandro Pacheco
> >>>>>>> NextHop Solutions
> >>>>>>>
> >>>>>>> ------ Mensagem original ------
> >>>>>>> De: "Fernando Frediani" <fhfrediani at gmail.com>
> >>>>>>> Para: "Grupo de Trabalho de Engenharia e Operacao de Redes"
> >>>>>>> <gter at eng.registro.br>
> >>>>>>> Enviado(s): 18/09/2020 13:17:07
> >>>>>>> Assunto: [GTER] Solicitacao de Informacoes de usuarios por
> >>> Autoridades
> >>>>>>> Policiais
> >>>>>>>
> >>>>>>>> Olá pessoal.
> >>>>>>>>
> >>>>>>>> Quero aproveitar a oportunidade para reforçar um assunto que já
> >>>>>>>> foi
> >>>>> falado
> >>>>>>>> aqui anteriormente e que acredito tem havido um aumento dessas
> >>>>>>> solicitações
> >>>>>>>> mais recentemente.
> >>>>>>>>
> >>>>>>>> Tenho recebido relatos de colegas de ofícios provenientes de
> >>>>> Autoridades
> >>>>>>>> Policiais (Delegado de Polícia Federal ou Polícia Civil)
> >>> solicitando
> >>>> a
> >>>>>>>> identificação e os dados cadastrais de usuários baseados no
> >>> endereco
> >>>>> IP.
> >>>>>>>> Considerando que mesmo que o ofício venha com todos os dados
> >>>>> necessários
> >>>>>>>> (IPv4 + Porta de Origem ou IPv6), Data, Horário e Timezone existe
> >>> um
> >>>>> outro
> >>>>>>>> problema que pode estar passando despercebido por muitas empresas.
> >>>>>>>>
> >>>>>>>> Muitos desses ofícios citam o Art. 17-B da Lei 12.683/12 que diz o
> >>>>>>>> seguinte: "*A autoridade policial e o Ministério Público terão
> >>>> acesso,
> >>>>>>>> exclusivamente, aos dados cadastrais do investigado que informam
> >>>>>>>> qualificação pessoal, filiação e endereço, independentemente de
> >>>>>>> autorização
> >>>>>>>> judicial, mantidos pela Justiça Eleitoral, pelas empresas
> >>>> telefônicas,
> >>>>>>>> pelas instituições financeiras, pelos provedores de internet e
> >>> pelas
> >>>>>>>> administradoras de cartão de crédito.*”
> >>>>>>>>
> >>>>>>>> No entanto o § 5º Art. 13 da Lei 12.965/14 (Marco Civil da
> >>> Internet)
> >>>>> que
> >>>>>>>> diz: "*Em qualquer hipótese, a disponibilização ao requerente dos
> >>>>>>> registros
> >>>>>>>> de que trata este artigo deverá ser precedida de autorização
> >>>> judicial,
> >>>>>>>> conforme disposto na Seção IV deste Capítulo.*"
> >>>>>>>>
> >>>>>>>> Perceba que no primeiro caso a autoridade policial *não possui
> >>> ainda
> >>>> a
> >>>>>>>> identificação do investigado* e está pedindo 2 coisas: 1) que
> >>>> provedor
> >>>>> que
> >>>>>>>> quebre o sigilo do usuário baseado no endereço IP e 2) que informe
> >>> os
> >>>>>>> dados
> >>>>>>>> cadastrais.
> >>>>>>>> No entanto a Lei de 2012 apenas assegura a Autoridade Policial o
> >>>> acesso
> >>>>>>> aos
> >>>>>>>> dados cadastrais (ou seja quando o nome do investigado já é
> >>>> previamente
> >>>>>>>> conhecido) sem a necessidade de autorização judicial.
> >>>>>>>>
> >>>>>>>> Minha orientação é sempre levar esses casos para conhecido do
> >>>> jurídico
> >>>>> da
> >>>>>>>> empresa com essas informações citadas acima para que ela, caso
> >>> tiver
> >>>> o
> >>>>>>>> mesmo entendimento, responder a autoridade policia pedido a
> >>> gentileza
> >>>>> de
> >>>>>>>> que seja requerido ao juiz a quebra do sigilo do usuário.
> >>>>>>>>
> >>>>>>>> Caso isso não seja feito corre-se o risco do investigado que teve
> >>> os
> >>>>> dados
> >>>>>>>> informados sem autorização judicial questionar o provedor a
> >>> respeito.
> >>>>>>>> Fernando Frediani
> >>>>>>>> --
> >>>>>>>> gter list https://eng.registro.br/mailman/listinfo/gter
> >>>>>>> --
> >>>>>>> gter list https://eng.registro.br/mailman/listinfo/gter
> >>>>>>>
> >>>>>> --
> >>>>>> gter list https://eng.registro.br/mailman/listinfo/gter
> >>>>> --
> >>>>>    ⢀⣴⠾⠻⢶⣦⠀  Marcelo Gondim
> >>>>>    ⣾⠁⢠⠒⠀⣿⡁  Sysadmin - https://www.linuxinfo.com.br
> >>>>>    ⢿⡄⠘⠷⠚⠋   DA04 922E 78B3 44A5 3C8D 23D0 8DB5 571E E151 4E19
> >>>>>    ⠈⠳⣄⠀⠀⠀⠀  Logic will get you from A to B. Imagination will take you
> >>>>> everywhere. (Albert Einstein)
> >>>>>
> >>>>>
> >>>>> --
> >>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
> >>>>>
> >>>> --
> >>>> gter list    https://eng.registro.br/mailman/listinfo/gter
> >>>>
> >>> --
> >>> gter list    https://eng.registro.br/mailman/listinfo/gter
> >>>
> >> --
> >> gter list    https://eng.registro.br/mailman/listinfo/gter
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>

More information about the gter mailing list