[GTER] RES: Bloqueio a sites por ordem judicial
Fernando Frediani
fhfrediani at gmail.com
Tue May 3 14:35:24 -03 2022
Este é outro problema que pode facilmente causar confusão.
O custo computacional para se aplicar regras de layer 7 em todo o
tráfego agregado de um ISP da ordem de dezenas ou centenas de Gbps torna
essa opção totalmente inviável.
Não se pode sequer ter o vislumbre que a empresa tenha que gastar rios
de dinheiro que a inviabilize economicamente para adquirir equipamentos
superdimensionados para tal atividade excepcionalíssima.
Aplicar essas regras em um firewall de escritório é bem tranquilo, mas
no tráfego agregado de um provedor é totalmente inviável e uma utopia.
Se o Judiciário optou por uma maneira exótica de aplicar esse bloqueio
no conteúdo através dos provedores de acesso e banda larga ao invés de
ir na origem onde está hospedado o conteúdo que é mais trabalhoso, o que
ele pode contar é com bloqueio no DNS Recursivo e nada muito além disso.
Por que o provedor tem que fazer malabarismo para tentar bloquear de
outras maneiras inviáveis técnica ou economicamente e o Judiciário não
precisa se esforçar para buscar outras maneiras mais razoáveis de dar
mais efetividade à esse bloqueio como notificar quem hospeda ?
Fernando
On 03/05/2022 14:14, Alexandre Aleixo via gter wrote:
>>> Não recebi notificação alguma mas como ISP jamais bloquearia por IP.
>>> Utilizaria apenas DNS Recursivo e no firewall aplicaria uma regra em
> layer 7 !
>
> Se essa regra em layer 7 (desconheço tecnicamente o funcionamento) for
> eficaz mesmo se o usuário usar DNSs de terceiros, penso que estaria
> perfeito.
>
> O que não dá é pra usar apenas o DNS Recursivo, porque é fraco para o
> propósito da ordem judicial e deixaria o provedor juridicamente vulnerável
> às penalidades pelo seu descumprimento.
>
> Atte.,
> Alexandre Aleixo
> Advogado
> OAB/SC 62.964
>
>
>
> Em ter., 3 de mai. de 2022 às 13:58, Luiz Bauer Jr via gter <
> gter at eng.registro.br> escreveu:
>
>> Olá
>>
>> Não recebi notificação alguma mas como ISP jamais bloquearia por IP.
>> Utilizaria apenas DNS Recursivo e no firewall aplicaria uma regra em layer
>> 7 !
>>
>> Att.
>>
>> Luiz Bauer Junior
>>
>> -----Mensagem original-----
>> De: gter <gter-bounces at eng.registro.br> Em nome de Alexandre Aleixo via
>> gter
>> Enviada em: terça-feira, 3 de maio de 2022 11:45
>> Para: Grupo de Trabalho de Engenharia e Operacao de Redes <
>> gter at eng.registro.br>
>> Assunto: Re: [GTER] Bloqueio a sites por ordem judicial
>>
>> Bom dia,
>>
>> Não vou entrar no mérito da decisão de bloqueio em si, mas apenas na forma
>> de execução da decisão:
>>
>> O Judiciário não tem como determinar, de forma eficaz, que o provedor de
>> hospedagem estrangeiro cumpra determinação de bloqueio à um site/aplicativo
>> para os acessos oriundos do Brasil. Seria até possível requerer a
>> cooperação do órgão judiciário do país estrangeiro, mas é algo bastante
>> complexo e normalmente com baixa eficácia.
>>
>> Assim, a proibição direcionada aos provedores, para que inibam o alcance
>> do destino, se demonstra acertada e mais eficaz.
>>
>> Contudo, cada provedor teria que ser intimado pessoalmente, e como existem
>> centenas deles, seria uma missão difícil ao próprio Judiciário.
>>
>> É aí que entra a Anatel, pois tratando-se de órgão regulador das empresas
>> de comunicação, e sendo a Internet uma das formas de comunicação
>> comercializadas pelas empresas reguladas pelo órgão, seria relativamente
>> mais simples que a mesma fizesse a notificação aos provedores regulados em
>> sua base, para que promovessem o cumprimento da ordem, sob pena de o
>> provedor descumpridor da ordem sofrer sanções administrativas do próprio
>> órgão (multa, suspensão da autorização para operar, etc).
>>
>> Contudo, a aplicação das multas fixadas na decisão judicial em si, aos
>> provedores descumpridores da ordem, geram uma grande discussão, já que a
>> notificação por meio da Anatel não está inclusa no rol de formas que são
>> consideradas válidas para intimação/citação na legislação.
>>
>> Mas, o direito não é uma matemática exata, de modo que nem sempre o que
>> está escrito é cumprido e nem sempre o que é cumprido está escrito.
>>
>> Quanto à forma técnica de bloqueio, o que eu já vi ser feito em uma grande
>> operadora é uma rotina a cada X horas verificando qual(is) é(são) o(s)
>> IP(s) para onde o domínio resolve e então a criação de uma regra de
>> bloqueio do mesmo (na mesma rotina).
>>
>> A mera adição do domínio no DNS Recursivo é bastante ineficaz, pois muitos
>> usuários utilizam DNSs diversos, tais como 8.8.8.8 ou 1.1.1.1, e o ponto da
>> ordem normalmente é o impedimento à alcançabilidade da forma mais eficaz
>> possível e não à criação de uma regra "só pra inglês ver".
>>
>> Até porque, uma coisa é o usuário que resolve colocar uma VPN pra burlar o
>> sistema de bloqueio, que no fim irá alcançar o destino por um outro IP/AS e
>> não pelo IP/AS da sua operadora, e outra coisa, bem diferente, é o usuário
>> que inocentemente prefere usar o DNS do Google, e se alcançar o destino,
>> vai usar o IP/AS da sua operadora.
>>
>> Daí eu entendo que, bloqueando o IP, seja possível ocorrer um efeito
>> colateral do bloqueio afetando outros sites/app que compartilham o mesmo
>> IP, mas talvez não tenham relação com o site/app bloqueado. Contudo,
>> normalmente, os sites/apps objeto de bloqueio judicial são grandes e, por
>> isso, não costumam compartilhar IP com outros sites/apps.
>>
>> Abraço!
>>
>> Atte.,
>> Alexandre Aleixo
>> Advogado
>> OAB/SC 62.964
>>
>>
>> Em ter., 3 de mai. de 2022 às 00:27, Bruno Vane via gter <
>> gter at eng.registro.br> escreveu:
>>
>>> O difícil é esperar razão de um cara que manda bloquear um site fora
>>> do país e manda a ordem pro presidente da Anatel.
>>>
>>> Em seg., 2 de mai. de 2022 às 22:41, Fernando Frediani via gter <
>>> gter at eng.registro.br> escreveu:
>>>
>>>> Apesar de um método bastante exótico judiciário ter notificado o
>>>> Presidente da ANATEL (que é a Agência responsável por regular
>>>> telecomunicações e não Internet) repassar aos provedores, aqueles
>>>> que forem orientados por seus jurídicos a cumprir a decisão façam de
>>>> maneira simples e sem muita excentricidade.
>>>>
>>>> Recomendo apenas colocar entrada no DNS Recursivo apontando para
>>>> 127.0.0.x e é isso.
>>>>
>>>> Vejo algumas pessoas querendo inventar algo mais para bloquear de
>>>> outras maneiras, esquecendo-se que não é possível ao Provedor de
>>>> Banda Larga garantir o bloqueio absoluto, algo possível apenas à
>>>> quem hospeda o conteúdo. Adicionar a entrada no DNS Recursivo já é
>>>> bastante suficiente para cumprir a ordem e o usuário que se esforçar
>>>> para burlar isso não é responsabilidade do ISP tentar se antecipar à
>>>> tudo quanto é maneira possível para bloquear tentando aplicar
>>>> métodos que são tecnicamente inviáveis para o tráfego de um ISP, ou
>>>> pior, que acabem bloqueando outros conteúdos que nada tem relacionado
>> com a ordem.
>>>> Fernando
>>>>
>>>> On 02/05/2022 22:17, Vinicius Pinto Barbosa via gter wrote:
>>>>> Bloqueia no seu DNS recursivo, criando uma entrada manualmente e
>>>> apontando
>>>>> pra 127.0.0.2 (por exemplo). E monitorar se a ordem judicial
>>>>> "caiu",
>>> pra
>>>>> remover a entrada.
>>>>>
>>>>> Blackhole não recomendo, provavelmente vai bloquear outros sites,
>>>>> se o
>>>> site
>>>>> usar IP compartilhado, e se o site trocar de IP o bloqueio não
>>>>> surtirá efeito.
>>>>>
>>>>>
>>>>> Att.,
>>>>>
>>>>> Vinicius
>>>>>
>>>>> Em seg., 2 de mai. de 2022 17:48, Alexandre Ricardo Dezembro via
>>>>> gter < gter at eng.registro.br> escreveu:
>>>>>
>>>>>> Aos que trabalham em ISP:
>>>>>>
>>>>>> Como geralmente vocês fazem o bloqueio a determinados sites da
>>> Internet
>>>>>> atendendo às ordens judiciais?
>>>>>>
>>>>>> Abraço,
>>>>>>
>>>>>> Alexandre
>>>>>> --
>>>>>> gter list https://eng.registro.br/mailman/listinfo/gter
>>>>>>
>>>>> --
>>>>> gter list https://eng.registro.br/mailman/listinfo/gter
>>>> --
>>>> gter list https://eng.registro.br/mailman/listinfo/gter
>>>>
>>> --
>>> gter list https://eng.registro.br/mailman/listinfo/gter
>>>
>> --
>> gter list https://eng.registro.br/mailman/listinfo/gter
>>
>> --
>> gter list https://eng.registro.br/mailman/listinfo/gter
>>
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
More information about the gter
mailing list