BLOCO
Blog dos Coordenadores ou Blog Comunitário
da ComUnidade WirelessBrasil

Novembro 2009               Índice Geral do BLOCO

O conteúdo do BLOCO tem forte vinculação com os debates nos Grupos de Discussão  Celld-group e WirelessBR. Participe!

10/11/09

• Crimes Digitais (87) - Marco Regulatório da Internet (4) - Roteiro para acompanhamento da "Consulta" + Contribuições sobre "Guarda de Logs"

de Helio Rosa <rosahelio@gmail.com>
para Celld-group@yahoogrupos.com.br, wirelessbr@yahoogrupos.com.br
data 10 de novembro de 2009 11:06
assunto Crimes Digitais (87) - Marco Regulatório da Internet (4) - Roteiro para acompanhamento da "Consulta" + Contribuições sobre "Guarda de Logs"

Olá, ComUnidade WirelessBRASIL!

01.
O Ministério da Justiça lançou em 29 de outubro, uma consulta pública - o "Marco Regulatório Civil da Internet" - em formato de blog que vai definir os direitos e responsabilidades básicas no uso da rede mundial. O programa vai criar regras para orientar as ações de indivíduos e organizações que utilizam a web.

O lançamento da consulta aconteceu na Fundação Getúlio Vargas, no Rio de Janeiro, com a presença do ministro da Justiça, Tarso Genro, além de representantes do Ministério da Cultura, Congresso Nacional, Comitê Gestor da Internet no Brasil e de organizações da sociedade civil. A iniciativa do projeto é da Secretaria de Assuntos Legislativos, do Ministério da Justiça, em parceria com a Escola de Direito do Rio de Janeiro da FGV.

A elaboração do marco ocorrerá em duas etapas. A primeira terá duração prevista de 45 dias com um debate em torno de idéias, princípios e valores. O blog apresenta um texto base contextualizando os principais temas pendentes de regulação e cada parágrafo estará aberto para inserção de comentários.

Na segunda etapa, a discussão terá o mesmo formato, mas ocorrerá em torno da minuta de anteprojeto de lei. Mais uma vez, cada artigo, parágrafo, inciso ou alínea estará aberto para apresentação de comentário por qualquer interessado. Também os foros de discussão serão usados para o amadurecimento de idéias e para uma discussão irrestrita. A duração desta fase do processo será de mais 45 dias.

02.
Apesar de não acreditar nas boas intenções democráticas do ministro da Justiça creio que esta é uma oportunidade preciosa para se discutir amplamente alguns temas que afligem a sociedade informatizada.

Mesmo aqueles que não estejam dispostos a participar diretamente do debate, poderão dar uma enorme contribuição acompanhando os comentários do "Blog da Consulta" e ajudando na necessária avaliação do seu desenvolvimento.

Continuo criticando fortemente a curta duração da Consulta e a época totalmente desfavorável (férias, "festas", Confecom, campanha antecipada, etc).
Continuo também perguntando se precisamos de um "Marco Regulatório da Internet"!

Recebi as primeiras observações sobre as "contribuições" já registradas.
O formato de fórum favorece a fuga dos temas e a perda da objetividade.
Poucos participantes podem fazer um grande "agito" aparentando grande repercussão e participações mais ríspidas podem inibir novas contribuições.
Questiona-se também se há ou não necessidade de "moderadores" nesta fase.

Creio que o Ministério da Justiça e os idealizadores da Consulta têm obrigação de manter o tema sob os holofotes da mídia.
A descontinuidade na divulgação pode invalidar todo o processo por falta de participação da sociedade e colocar a "Consulta" sob forte suspeição.

Para permitir o acompanhamento objetivo, fiz mais um "dever de casa".
Acrescentei ao "Roteiro" com links para os "textos contextualizados", o endereço das páginas onde estão as contribuições, e também a quantidade de comentários já registrados.

Mais abaixo relacionei (e já peço desculpas por alguma omissão ou repetição) as contribuições sobre "Guarda de Logs", tema já muito debatido em nossos fóruns.
É uma boa oportunidade para retomada da discussão!
Os nossos "participantes provedores" poderão dar uma grande contribuição!

Vamos visitar, contribuir e debater?

03.
"Posts" anteriores:
09/11/09
Crimes Digitais (86) - Marco Regulatório da Internet (3) - Primeiras contribuições sobre "Intimidade e vida privada, direitos fundamentais"
02/11/09
Crimes Digitais (85) - Marco Regulatório da Internet (2) - Msg de Luiz Nacinovic + 2 notícias
01/11/09
Crimes Digitais (84) - Marco Regulatório da Internet (1) - Precisamos de uma Internet regulada?

Boa leitura!
Um abraço cordial
Helio Rosa

---------------------------------------------

Atualização em 10/11/09

Fonte: Cultura Digital
[29/10/09]   Marco Civil da Internet - Seus direitos e deveres em discussão - Consulta
Início » Consulta

1. Direitos individuais e coletivos (Eixo 1)

2. Responsabilidade dos atores (Eixo 2)
  • 3. Diretrizes governamentais (Eixo 3)
     

    ----------------------

    1.1.3 Guarda de logs --> (47 Contribuições aqui)

    Jayr Henrique de Carvalho Porto

    Escrito 30 de outubro de 2009
     
    O caminho está certo, a forma de entedimento errado, no meu entender. A guarda de log é o ponto central de toda essa discussão pois, é a partir dela (da obrigatoriedade da guarda) que a segurança jurídica almejada pode ser alcançada.
    Concordo no ponto que diz que a lei deverá prever o tempo mínimo de guarda do log e da obrigatoriedade de ordem judicial para sua análise, mas discordo do restante e justifico.
    A guarda de dados pessoais é fruto de acordo livre entre o provedor e seu cliente direto. Assim, guardados os logs, é possível que, trilhando o caminho dos provedores, se chegue até o ofensor. Esse ofensor deverá ter, no acordo com seu provedor, ter fornecido dados mínimos que permitam que este seja localizado, sendo que, volto a frizar, SOB ORDEM JUDICIAL, responderá pelos seus atos na medida de sua culpa.
    Assim, se falar em tempo máximo de guarda dos logs, não faz o menor sentido.
    Falar sobre quais dados se guardar, não faz sentido pois os dados necessários para se estabelecer o infrator, são os já previstos em lei, ou seja, a qualificação do mesmo.
    Quanto a privacidade dos dados, outro ponto totalmente desnecessário, pois, além da legislação já abordar esse ponto, basta dizer que APENAS SOB ORDEM JUDICIAL já esgota o tema.
    Dizer sobre segurança ou qualquer outra forma interna de armazenamento dos dados, é assunto entre o provedor e seu cliente. Não há porque abordar tal tema na legislação, basta frisar que qualquer levantamento se dá por ordem judicial.
    Falta nesse ponto, linkar a responsabilidade do provedor que é discutida em outro tópico, pois caso este não tenha ou não guarde os arquivos de log, deverá responder, no meu entender, criminalmente.

    ------------------------

    Luiz Gustavo Frozi de Castro e Souza

    Escrito 30 de outubro de 2009
     
    Concordo com o Jayr, em suas palavras.
    Acredito que a guarda de logs deva ser provocada por uma ordem judicial e, somente a partir daí, é que os logs de navegação de um determinado usuário devem ser armazenados.
    O fator ORDEM JUDICIAL já esgota essa discussão.

    -------------------------------


    jczucco

    Escrito 30 de outubro de 2009
     
    Dizer que o log pode ser fornecido apenas sob ordem judicial não esgota o tema de maneira nenhuma, conforme os comentários de Luiz Gustavo Frozi de Castro e Souza e Jayr Henrique de Carvalho Porto.
    Conforme o text, devem ser previstas punições em caso do vazamento desses logs, sem ordem judicial, e condiões para o armazenamento seguro do mesmo. Basta ver o que hoje já acontece com escutas telefônicas ilegais ou vazamento de informações.

    --------------------------


    Luiz Gustavo Frozi de Castro e Souza

    Escrito 30 de outubro de 2009
     
    jczucco acredito que o levantamento e armazenamento de qualquer informação sobre um indivíduo, inclui-se aí desde o endereço, número de cartões de crédito, telefone, e os lugares onde esteve, o que ele fez (os chamados logs) sem a expressa autorização do mesmo é uma violação da privacidade.
    A autorização judicial requerida para o armazenamento de logs evita abusos e possível mau uso da informação.
    Atualmente já é possível comprar CDs com cadastros completos de várias pessoas, senhas do Infoseg, entre outros “produtos” em plena avenida Santa Ifigênia no centro de SP. Daqui a pouco também poderemos incluir nessa “cesta de produtos” os LOGs de várias pessoas “importantes” que poderão ser facilmente chantageadas.
    Uma outr grande questão que surge é se o poder público está realmente preparado para proteger os dados dos cidadãos caso o armazenamento à revelia seja obrigatório. A ordem judicial diminuiria o número de LOGs que poderiam ser vazados e protegeriam as pessoas contra eventuais abusos dos provedores.
    Mais uma coisa, o eventual armazenamento de logs NÃO PODE GERAR MAIS CUSTOS PARA O CONSUMIDOR.

    --------------------------------


    glaydsonlima

    Escrito 30 de outubro de 2009
     
    Penso que NUNCA um log de ação de usuário deva ser fornecido. Se, em alguma página, há uma violação de direito, deve-se fornecer o IP e dados que possam identificar (versão do browser, sistema operacional,etc) daquele ato.
    Por exemplo: João publica um texto tipificado com calúnia. Deve-se solicitar ao provedor de conteúdo o IP do usuário,data e informações adicionais, e nunca o log que informe quais páginas visitas e ações tomadas por não é importante para a identificação do ato em questão.
    Em nome da defesa de um direito ofendido não se pode invadir demasiadamente a vida digital das pessoas.

    ---------------------------


    amazingxtreme

    Escrito 30 de outubro de 2009
     
    Guarda de logs? Big Brother?
    Sou contra esse tipo de atitude.
    E o nosso direito a privacidade?
    Muitos desses político não sabem, que se for aprovada alguma lei nesse sentido, uma lei que seja obrigatório a arquivação de logs, muitos políticos terão seus logs divulgados por alguma pessoa mal intencionada dentro do provedor de internet quem sabe até a mando de algum inimigo politico. Que as escutas telefonicas ilegais que sirvam de exemplo. Palhaçada.
    Seria engraçado…
    Estou de acordo com o Luiz Gustavo Frozi de Castro e Souza, caso não fosse possivel evitar essa palhaçada de arquivação de logs.
    Caso fosse aprovada alguma lei para a arquivação de logs, que pelo menos fossse somente depois de ORDEM JUDICIAL, em último caso, e só a partir daí. E não uma arquivação de logs pelo simples fato de usarmos a internet. Não confio em terceiros guardando tudo o que fazemos na internet, pois serviços bancários onlines, não são 100% seguros, assim como lojas onlines, provedores de internet e até sites do governo ja foram invadidos. Vários provedores de internet tiverem seu banco de dados invadidos e informações de dados, como contas de emails, contas de assinante e por ai vai.

    ------------------------------

    amazingxtreme

    Escrito 30 de outubro de 2009
     
    Acho que querem fazer quem nem aquela opção do Windows Live Messenger que guarda nossos logs…
    Um Orkut do Governo para espionar a nossa vida privada.
    Um Big Brother, A Fazenda…
    Twitter?

    ----------------------------

    redericopandolfo
    Escrito 30 de outubro de 2009
     
    Observação: quando falo, neste post, em logs por parte de provedor, estou falando de proedor de conexão, como os que proveem serviços de ADSL e de CableModem.
    E não provedores de conteudo, como google, terra, etc. A esses, entendo que deve ser facultativo o log – se para eles for importante, logue, se nao for, não logue.

    --------------------------

    Renyer

    Escrito 30 de outubro de 2009
     
    Isso tem que existir.
    Os provedores de acesso a internet devem guardar registros de conexão de cada usuário (IP, data, hora, ano), só nesse nível e nada mais. Mas esses dados devem ser guardados com extremo sigilo e só violados com autorização judicial, com uma ordem judicial como já foi dito.

    --------------------------

    fredericopandolfo

    Escrito 30 de outubro de 2009
     
    O uso de LOGS é algo polemico:
    Logar TODOS os usuários é o mesmo que considerar todos suspeitos, ao menos que se prove o contrario.
    A grande questão é: O QUE LOGAR e QUANDO LOGAR, e se este log vai ser util.
    O log NÃO deve ser feito pelos provedores de serviço de internet.
    Nenhum log sobre ação de usuário deve ser criado, nem mesmo sob ordem judicial.
    A mera implementação de um sistema de logs por parte do provedor permitirá o uso indevido e não autorizado do mesmo, sendo que, neste caso, a propria justiça incentivará a criação de uma “industria criminosa de quebra de sigilo”.
    O log poderá ser feito, de forma voluntaria, por empresas que desejam proteger seus sistemas. De fato, isto ja é feito pelas empresas sérias.
    Caso seja criado um sistema de log, ele deverá ser rigidamente auditado por membros de confiança do governo, pois, analizem as seguintes linhas de log, referente ao servidor de ssh em um servidor de um cliente meu:
    Oct 28 15:42:33 borda01 sshd[9295]: Received disconnect from 211.98.168.198: 11: Bye Bye
    Oct 28 15:42:37 borda01 sshd[25792]: Failed password for root from 211.98.168.198 port 48733 ssh2
    Oct 28 15:42:37 borda01 sshd[16368]: Received disconnect from 211.98.168.198: 11: Bye Bye
    Oct 28 15:42:41 borda01 sshd[14790]: Failed password for root from 211.98.168.198 port 48874 ssh2
    Oct 28 15:42:42 borda01 sshd[3533]: Received disconnect from 211.98.168.198: 11: Bye Bye
    Provavelmente seja uma maquina zumbi atacando meu sistema… felizmente o sistema é protegido e bloqueou o acesso desta ip por 1 dia apos as falhas de autenticação.
    Se digitarmos:
    whois 211.98.168.198
    Obtemos como resposta:
    inetnum: 211.98.128.0 – 211.98.255.255
    netname: CRTC
    country: CN
    descr: CHINA RAILWAY TELECOMMUNICATIONS CENTER
    admin-c: LQ112-AP
    tech-c: LM273-AP
    status: ALLOCATED PORTABLE
    mnt-by: MAINT-CNNIC-AP
    changed: ****
    changed: ****
    changed: ****
    source: APNIC
    E descobrimos que este sistema esta localizado na china.
    Pois bem, se a auditoria do sistema de logs nao for bem feita e auditado por uma entidade 100% idonea, acompanhada pela justiça e 101% transparente para a sociedade, basta que um funcionario corrupto digitasse:
    cat log_legitimo | sed ’s/211.98.168.198/201.54.48.105/g’ > log_fraude
    para que seja criado um arquivo “log_fraude” que é o log legitimo, alterado para:
    Oct 28 15:42:33 borda01 sshd[9295]: Received disconnect from 201.54.48.105: 11: Bye Bye
    Oct 28 15:42:37 borda01 sshd[25792]: Failed password for root from 201.54.48.105 port 48733 ssh2
    Oct 28 15:42:37 borda01 sshd[16368]: Received disconnect from 201.54.48.105: 11: Bye Bye
    Oct 28 15:42:41 borda01 sshd[14790]: Failed password for root from 201.54.48.105 port 48874 ssh2
    Oct 28 15:42:42 borda01 sshd[3533]: Received disconnect from 201.54.48.105: 11: Bye Bye
    ….
    Se digitarem o comando
    whois 201.54.48.105
    obtemos a seguinte resposta:
    inetnum: 201.54.48/20
    aut-num: AS28629
    abuse-c: PCR7
    owner: SENADO FEDERAL
    ownerid: 000.530.279/0004-68
    responsible: Paulo César de Araújo Rêgo
    country: BR
    owner-c: PCR7
    tech-c: PCR7
    inetrev: 201.54.48/20
    nserver: *****
    nsstat: 20091030 UDN
    nslastaa: 20070827
    nserver: *****
    nsstat: 20091030 UDN
    nslastaa: 20070901
    created: 20060130
    changed: 20060130
    nic-hdl-br: PCR7
    person: Paulo César de Araújo Rêgo
    e-mail: pc * * *nado.gov.br
    created: 19980203
    changed: 20080214
    (essa informação é publica, podendo ser obtida, também, no site do registro.br)
    OBS: Conchas e conchinhas… nomes ridiculos para servidores! hehehehe.
    Descobriremos que esta IP pertence ao senado federal (www.senado.gov.br), ou seja: Se a justiça considerar “cegamente” os dados do log, sem uma auditoria EXTREMAMENTE RIGIDA, será possivel gerar provas contra inocentes. No caso do senado, os proprios sistemas deles possuem logs de aditoria que detectarão a farsa que fiz acima – porém usuários domesticos não dispoem de tais mecanismos. Será criada toda uma rede de corrupção destinada a culpar inocentes, e os proprios provedores passarão a ser alvos de ataques, uma vez que tornou-se legalmente possivel cometer um ato ilicito incriminando inocentes.
    O mesmo caso ocorreria com logs de navegação:
    10.0.1.102 – - [19/Oct/2008:17:09:56 -0300] “GET h t t p : / / n e w s . g o o g l e . c o m . b r / n e w s ? HTTP/1.0″ 200 1974 TCP_MISS:DIRECT
    Log de um cliente meu. O funionario dele acessou o google news. Com o mesmo comando, eu poderia acusar ele de acessar pornografia:
    10.0.1.102 – - [19/Oct/2008:17:09:56 -0300] “GET h t t p : / / w w w . y**p*rn.com/watch/32726/secretary-in-office-gets-****-r e a l/ HTTP/1.0″ 200 1974 TCP_MISS:DIRECT
    e até mesmo demitir ele por justa causa caso isto seja legalmente valido.

    Como estando lidando com elementos que podem acabar com a vida de uma pessoa, é importante uma auditoria em quem faz os logs precisa ser extremamente rigida, o ideal mesmo seria que os equipamentos de logs fossem de propriedade do governo federal, em que, para qualquer ato de manutenção de equipamentos ou ativação de logs seja necessaria a presença fisica de 1 representante da justiça, 1 representante dos usuários da internet, 1 representante da policia federal, e de toda a imprensa formal bem como cameras de alta qualidade transmitindo para todos os internautas interessados o que acontece naquela sala. Seria a unica forma de garantir que o sistema fosse auditado permanentemente por todos os cidadãos brasileiros e internautas.

    Para receber os logs, os dados devem ser filtrados eletronicamente – sendo que os comandos de filtragem só deverão ser executados apos a conferencia de membros da sociedade civil sorteados aleatoriamente, nao ligados ao governo ou as empresas de telecomunicação, com titulos minimos de bacharel em informatica (para saberem o que cada comando faz), e os dados relevantes – que serão usados no processo – devem ser impressos em papel com marcas especiais e folhas com numero de série (nada de formato digital), auditados também por representantes da justiça, internautas, policia federal, imprensa e cameras na internet, com conversas audiveis e uma televisão sintonizada em um canal de TV aberta como prova de que a ação é realmente ao vivo – para garantir que não houve nenhuma adulteração durante este procedimento.

    E mesmo assim, o sistema seria propenso a falhas e criminalização de inocentes – o criminoso pode, simplesmente, usar um wireless mal protegido ou um software malicioso em algum computador de inocente, e assim, fugir da policia e da justiça.

    Ou seja, em minha opinião, qualquer forma de logar informações de navegação de internet deve ser evitada, e caso seja implementada, é necessária uma auditoria extremamente rigida sobre os sistemas de auditoria. Para crimes convecionais em que a itnernet atuou como meio de comunicação, exitem outras formas da “vida real” (isto é: Que nao dependam da infraestrutura de internet) para tal auditoria.

    Para crimes digitais, provavelmetne o atacante, sabendo que pode ser auditado pelo governo, ja terá usado formas de burlar os sistema de logs.
    Outro problema e a questão do NAT: Um grupo de X computadores conecta-se na internet usando um mesmo endereço de IP.

    Se o ataque for feito apartir de uma lanhouse ou escola ou entidade que não tenha uma auditoria de informatica interna rigida, nunca chegarão ao verdadeiro culpado.
    Como o amazingxtreme comentou: “Acho que querem fazer quem nem aquela opção do Windows Live Messenger que guarda nossos logs…” Mais ou menos nesse sentido, porém se o governo possuir capacidade de capturar e ler mensagens das pessoas, os criminosos usarão sistemas criptografados, e adeus logs governamentais.

    Portanto, minha opiniao final: Nenhum log em rede publica deve ser feito, sob qualquer circunstancia – não vejo sentido em auditar inocentes, e incentivaria o criminoso a codificar suas informações e usar maquinas de pessoas sem conhecimento em informatica. O criminoso poderia construir um tunel entre seu pc e um servidor locado fora do brasil, e assim também burlar auditoria judicial.
    PS: Removi todos os links.
    Moderadores, por favor, apaguem o post anterior, que é (quase) igual a este.

    ---------------------------------

    marcuspessoa

    Escrito 31 de outubro de 2009
     
    Não sei a que log os comentadores estão se referindo. Me parece lógico que os logs que deveriam ser guardados pelos provedores de acesso são apenas os logs de acesso, isto é, a que horas tal máquina conectou, e qual o numero IP que recebeu.
    Logs que registrem a navegação do usuário deveriam ser expressamente proibidos, porque são uma invasão intolerável na privacidade do usuário.

    -------------------------

    zefonseca
    Escrito 31 de outubro de 2009
     
    Não vejo motivo pro Estado micro-gerenciar a Internet ao ponto de legislar sobre logs de acesso. Deve ser garantida a privacidade de uma forma geral. O usuário final saberá julgar se deve ou não confiar em determinada empresa para utilizar seus serviços.

    -----------------------------

    fredericopandolfo

    Escrito 3 de novembro de 2009
     
    Emerson Wendt, eu discordo de qualquer log na rede publica pelos motivos que eu mesmo citei abaixo. Simplesmente não é necessário acabar com a privacidade dos internautas sob justificativa de “da proteção juridica” ou “ahhh, tem muito pedofilo, vamo pegar eles via internet!”.
    LOGs, todos os sites fazem. A seguinte linha de LOG é um log do APACHE (servidor web), que utilizo em um cliente. É o mesmo servidor usado em 90% dos sites de itnerent.
    10.1.1.17 – - [03/Nov/2009:11:15:59 -0200] “GET /advert/List.npc HTTP/1.1″ 404 1675
    observe esta linha:
    10.1.1.17 é a IP de origem.
    O promeiro hifem (-) seria a identificaão do usuário se acordo com o serviço de IDENTD da intenret – como este serviço não é confiavel, gera riscos de segurança e a ninguem usa ele, por padrão, o apache nem tenta pegar esta informação – existe no log so por compatibilidade.
    O segundo hiphen seria o nome de usuário que acessou o documento. Como o acesso não requer autenticação, vira outro hifen
    Depois vem a data do acesso.
    o GET blablablabla ali é o comando enviado ao servidor
    o 404 é a repsosta (no caso, arquivo nao encontrado), e o ultimo numeor é o tamanho da resposta.
    Só para matar a curiosidade este log ai pertence a um servidor que não esta na rede publica – ele está em um firewall com um proxy, e toda e qualquer tentativa de navegar em qualquer página sem usar o proxy é respondida com uma página dizendo “Acesso negado” e instruções de configurar o proxy. (pelo menos evita que o usuário me ligue dizendo que “A internet não esta funcionando”).

    Qual é o problema deste log? ESTE log em especifico nenhum:
    Quem acessa este log possui informações sobre é a IP de origem, o que acessou e quando acessou.
    Poderá, apartir desta informções, gerar estatisticas de quais paginas foram mais visitadas, ou a posição geografica aproximada de seus clientes e direcionar seu site a este publico.

    Mas, se for tornada a obrigatoriedade de associar pessoas a ips nas provedoras de internet para que a justiça possa ter acesso a estes dados, será criada uma industria criminosa para o vazamento destas informações.

    Para serem uteis, os logs precisam ser criados o tempo inteiro, para serem judicialmente sigilosos, somente o que é relevante para a justiça deve ser fornecido. Se os logs passarem a ser criado somente APOS decisão judicial, estes não serão capazes de indentificar crimes ja ocorridos – apenas os futuros crimes. Isso funcionará bem para crimes como pedofilia, aonde o investigado continuará acessando os dados. Porém no caso de roubo de informações, dificilmente o atacante voltará ao servidor compriometido após ter a informação desejada – o que torna um log que seja gerado somente depois de mandato judicial é inutil.

    Ocorrerá também que as empresas com sites de grande visitação e empresas de publicidade teriam grande interesse em obter estas listas – se elas tem a IP de origem, e uma lista que associe quem usava aquela IP em um determinado periodo de tempo, basta pagar para um funcionario corrupto da empresa de telecom para que este forneça os logs, e em pouco tempo milhares de brasileiros começarão a receber propagandas super-direcionadas nas suas caixas de correio!! O lado bom: Os correios vão lucrar mais ainda e haverá todo mes concursos e contratações emergenciais para carteiro – fim do desemprego! ehhehe. O lado ruim: Adeus floresta amazonica (vai virar tudo panfleto publicitário), e, principalmente ADEUS PRIVACIDADE! TUDO o que for acessado, será usado para analizar teu perfil.

    Hoje em dia, basta ter um amigo ou parente que trabalhe na area técnica da empresa de telecomunicações para obter as ligações telefonicas de alguém ou grampear o telefone de alguém. Na pratica, basta qualquer um subir no poste para grampear um telefone fixo – decisão judicial? sigilo de justiça, etc? bobagem. Tão bobagem quanto sigilo bancário: Basta ter um amigo com algum cargo que lide com essas informações dentro de uma instituição bancária e pronto, adeus sigilo. E o cargo pode ser até mesmo estagiario! Ou como é que a America Express obteve meu telefone fixo e me ofereceu cartão logo após eu colocar uma boa quantia em dinheiro, referente a um serviço que fiz, em um banco estadual aqui do RS? Detalhe: A AMEX não poderia usar a lista telefonica, pois meu telefone fixo está no nome do meu pai! Segredo de justiça funciona no discurso, na pratica, não.
    Isso de marketing direcionado via internet ja é feito, porém usando outros métodos: Cookies no navegador, ou autenticação voluntaria (como vocês acham que o google ficou rico? Marketing direcionaod!) servem para direcionar as propagandas que existem na internet para o perfil de consumo do usuário, obtendo melhores resultados.

    Estas “coisas”, no entanto, só vão saber o endereço do usuário se ele digitar nos campos de cadastro.
    Porém, basta com que o usuário apague os cookies ou se “deslogue” do sistema para voltar ao anoniumato, e basta configurar mecanismos de filtragem para eliminar as propagandas.Com excessão do método de login (que é um ato voluntario do usuário), os outros métodos coletam dados de forma 100% anonimos – direcionam para um usuario em especifico, mas, uma vez que o cookie seja excluido, toda a informação de associação é deletada.

    Querem fazer um teste? Apaguem TODOS os cookies do navegador e nao acessem orkut e gmail ou serviços autenticados do gogole, e comecem a acessar SOMENTE sites de computação. Façam pesquisas no google sobre computadores, naveguem em site de informatica. Em pouco tempo, grande parte das propagandas do google ads será somente sobre computação.

    Com as listas de ip associadas as pessoas, é impossivel com que o usuário tenha qualquer escolha sobre isto, ou que apague seu cadastro.
    E subornar alguém é relativamente fácil.

    Há 5 anos atras eu fui estágiario de uma empresa de desenvolvimento de software – meu primeiro estagio com desenvolvimento, queria aprender… mas a empresa era tão boa de trabalhar, mas tão boa, que não aguentei 3 meses com eles- ambiente de trabalho HORRIVEL – se a justiça do trabalho fosse la, iria encontrar um mundo de irregularidades- desde estagiarios trabalhando horas extras sem receber ou estagiarios prestando serviços externos ao ambiente da empresa, ou funcionarios trabalhando com desvio de função e funcionarios sem carteira assinada ou com valor na carteira menor q o valor real.
    Bem, na 2a semana que eu estava la, a concorrente me ofereceu 20mil para dar o código fonte deles. Eu nao aceitei pois estava motivado a aprender e a ajudar e a dar o meu melhor.

    Meu amigo e colega – também estagiario, mas a 1 ano na empresa – vendeu por 25mil. A empresa picareta teve 4 anos de desenvolvimento roubado, e meu colega, que assim como eu, ganhava R$ 600, ganhou o equivalemnte a 41 meses de trabalho, e gastou somente 1 CD virgem! Com certeza estes foram 25mil mais bem investidos na história da concorrente, que ja contratava funcionarios desta picaredata como forma de obter informações (esta picaredata é bem grande no mercado gaúcho). Depois da experiecia que tive com aquela empresa, acho que meu amigo foi burro: Ele poderia ter pedido 50mil – o software valia muito mais.

    Ou seja: Se um técnico ganha R$ 1500 liquidos, basta oferecer 36000 e ele certamente venderá a lista. 2 anos de trabalho para copiar um arquivo? Se a pessoa esta endividade e no SPC ou esta muito insatisfeito com o trabalho, esta oferta será irrecusavel!
    E é por isso que qualquer forma de LOG que associe pessoas a IPs deve ser proibido – nem mesmo sob ordem judicial.

    Nao vai aingir o criminoso hi-tech, vai gerar toda uma industria do crime, e os crimes ao qual ela ajudaria a investigar podem ser muito bem investigados sem o uso destes logs – o pedofilo, o traficante, o marginal comum, podem até usar internet como forma de comunicação, mas seus atos serão sempre feitos na vida real.

    ---------------------------

    fredericopandolfo

    Escrito 31 de outubro de 2009
     
    Renyer, Acredito que nem essas informações devam ser guardadas.
    Podem, sim, ser guardadas informações como data de conexão e tempo de conexão , para fins contratuais e de auditoria do proprio usuário (quero saber quanto tempo naveguei na internet), porém, a informação “IP” nunca deve ser logada.
    Estas informações permitem o diagnostico de problemas e a identificação de “roubo de conta”, mantendo o anonimato.

    ---------------------

    Emerson Wendt

    Escrito 3 de novembro de 2009
     
    Prezados,
    Lendo atentamente os tópicos, concordo com aqueles que, por questão de segurança jurídica de todo e qualquer cidadão brasileiro, preconizam a guarda de logs pelos provedores de serviços de internet, os quais só podem ser fornecidos mediante ordem judicial (ou, se for o caso, quando constar no “contrato” entre o provedor e o usuário que aquele pode fornecer informações a pedido de autoridade governamental e mediante procedimento instaurado).
    O ponto a ser discutido mesmo é por quanto tempo deve haver esta guarda e como ela deve ser fornecida. Também, deve haver previsão de que sem atendimento aos ditames legais um log não deve ser fornecido, sob pena de responsabilidade civil e/ou criminal.
    Abraço a todos.

    -------------------------------

    fredericopandolfo

    Escrito 3 de novembro de 2009
     
    “Para que registrar o log do que foi escrito em um teclado se tenho registrado todos os movimentos que os tendões e musculos da mão do usuário e assim posso reconstituir via Software precisamente suas ações?”
    Se esta técnologia existisse, basta que este teclado não siga um padrão conhecido e a captura de nada adiantará.
    Ja que citastes uma idéia absurda, vou tomar a liberdade de pensar absurdamente:
    Se, todos humanos fossem “chipados” com chips localizadores ao nascer, sob a justificativa de acabar com crimes de sequestro, usando a técnologia atual, basta uma forte emissão de microondas (qualquer forno de microondas domestico serve) por pouco tempo (1, 2, 3 segundos) e este chip vai sofrer danos antes que as microondas causem problemas aos tecidos- toda a tecnologia atual sofre com este problema. Existe blindagens que protegem – mas elas nao caberiam dentro do corpo humano.
    Um chip “injetado” em alguém pode ser destruido – e assim os logs.
    O fato é que, TODA técnologia é burlavel, e sempre que ela for burlada, e se ela for usada tendo como justificativa “combater o crime”,ela sera usada para beneficio do proprio crime.
    O fato chave é o seguinte: Em um regime democrático, LOGS na rede publica é a coisa mais anti-democratica possivel.
    Logs na internet publica é algo inadmissiel em uma nação democrática.
    O foco deve ser a liberdade absoluta. Sempre.
    É preferivel não ter nenhum controle para preservar a liberdade, do que não ter liberdade alguma para obter controle.
    A china é o maior exemplo de que o controle da internet não funciona.

    ----------------------------------

    gaiogrimald

    Escrito 3 de novembro de 2009
     
    Em breve humanos aceitarão pelas circunstâncias usarem uma versão pessoal de “Caixa preta” mantendo registros de log de tudo o que fizermos. Com o Chip certo, é possível gerar log de tudo o que é elétrico, como cada ação de um músculo ou orgão humano e medir a atividade em cada zona cerebral etc..
    Ex.: Para que registrar o log do que foi escrito em um teclado se tenho registrado todos os movimentos que os tendões e musculos da mão do usuário e assim posso reconstituir via Software precisamente suas ações? qual seria a prova irrefutável? Então é certo que, conforme o avanço das necessidades de segurança , serão indispensáveis estas contra-provas biológicas.
    Temos um curto tempo para mudar o foco e pensar como manter a segurança dos registros sem sacrificar nossa liberdade. O foco será garantir a liberdade ou o controle?

    ------------------------------

    fredericopandolfo

    Escrito 4 de novembro de 2009
     
    So uma explicação rápida de como seria uma analise de logs sem que haja tentativa do atacante de se esconder.
    Imagine que o atacante esteja em uma Lan House, e o alvo seja o site do cultura digital
    O atacante faz o ataque.
    O administrador da servidor do cultura digital ve no log: “A conexão veio da IP 6.5.4.1 as 14:30:21″.
    Apartir desta informação, ele vai na operadora e pergunte: “Tche, olha só: Quem é q tava com a IP 6.5.4.1 as 14:30:21″? E ai a operadora diria: “Ah, é a lanhouse xingling!”
    Ai ele vai la na lan house xingling, fala com o dono e pergunta: “Olha só, quem é o cliente que acessou o meu site E enviou tais informaçõeas as 14:30:21?”… “Ah sim, ta aqui registrado, essa conexão veio da máquina 5… Ah, o pedro usava esta máquina nessa hora! O Rg dele é 123456, o CPF é 54321″
    E ai sim os logs acusariam o pedro, e ele vai para a cadeia.
    Isso funcionaria, mas, vamos supor que o atacante tentou se esconder:
    Uma pericia mais detalhada revelou que a Switch da lanhouse não tem proteções contra ataques do tipo arpspoof (permite que uma máquina intercepte e altere a comunicação entre 2 pontos da mesma rede local).
    Uma outra pericia mostrou a presença de um Trojan na máquina 10, e a presença de um software de arpspoof nesta maquina….
    …. esta maquina poderia ser usada para impersonalizar a maquina do pedro.
    Entao: Foi o pedro quem atacou, foi o cara da maquina 10, ou foi alguem remotamenmte? Qualquer um dos 3 pode ser. Quem vai par a cadeia? O pedro, o cara da maquina 10? Ou ninguém (ja que o remoto é um anonimo).
    Pensem nestes exemplo e nas possibilidades.

    -------------------------------

    fredericopandolfo

    Escrito 4 de novembro de 2009
     
    glaydsonlima:
    Em resposta a:
    “Ponto importante a se esclarecer é: o que é provedor de acesso? É a empresa de telefonia ou qualquer ponto de acesso (restaurante, hotel, clínica, etc)?”
    Estes logs são referentes as empresas que fornecem a conectividade com a rede publica, como Brasil telecom, Oi, Vivo, Claro, Embratel, Net, entre outras.
    Um restaurante, hotel ou clinica, fornece acesso a sua rede interna, e é esta rede interna que fornece acesso externo. Aos olhos da internet, todo o acesso é feito pelo proprietario da rede interna.

    ------------------------------

    glaydsonlima

    Escrito 4 de novembro de 2009
     
    Ponto importante a se esclarecer é: o que é provedor de acesso? É a empresa de telefonia ou qualquer ponto de acesso (restaurante, hotel, clínica, etc)?
    Solicitar gravação de logs e impor responsabilidade pela não existência destes para pequenos pontos de acesso, retirará diversos destes de acessos gratuitos. Trata-se de uma medida desproporcional porque quem quer fazer ilícito na rede utilizará de mecanismos para burlar estes logs (proxys, por exemplo).
    A desculpa de diminuir crime não deve ser utilizada sem ponderação. O bem mais valioso é a vida, e nem por isso justificaria uma lei que obrigasse todos a utilizar tornozeleiras com GPS. Diminuiria os homicídios, mas a que preço?

    ---------------------------

    handerson
    Escrito 5 de novembro de 2009
    A justica ja eh cega …
    bom o exemplo anterior … quando uma pessoa utiliza uma maquina de outra para atacar ou invadir que seja …
    Se ja eh cega com seus meios fisicos normais .. imagina com os virtuais …

    -------------------------

    fredericopandolfo
    Escrito 5 de novembro de 2009

    Marino: Li seu comentario, mas mantenho minha posição de que Logs na rede publica são a cois mais anti-democratica possivel.
    “A forma de se garantir privacidade e liberdade na web, está justamente no acordo entre Individuo X Estado para que sejam “omitidos” seus dados durante a relação com os provedores de acesso e informação e outros usuarios da www. Ao Estado cabe a detenção de Dados Pessoais bem como sua proteção.”
    A solução para isso é simples: É só a empresa que me presta serviço de conectividade (embratel, telefonica, brasiltelecom, etc) não manterem logs que associem o meu nome de usuário a ip. Só isso torna impossivel a associação de quem eu sou realmente na web, garantindo o anonimato mesmo em caso de corrupção dentro da prestadora de serviço. A Lei deve, simplesmente, proibir logs que associem o cliente a uma ip nestas empresas – deve haver, o “dispositivo legal” que, em tempos de paz, proiba os logs e torne automáticamente inválidas qualquer ordem judicial (ou qualquer outra coisa legal que obrigue alguem a fazer algo) para sua criação. A operadora pode manter logs do tipo: “Usuario X conectou a tal hora” – isto é válido, mantem anonimato e mostra transparencia no serviço, porém nunca o log deve ser do tipo: “O usuario X conectou a tal hora com a IP Y”. Até porque em uma rede com mais de uma máquina, todas usarão a mesma ip na rede publica. ISTO pode ser usado para quebrar o anonimato. Entende aonde quero chegar? A lei não deve obrigar os logs, a lei deve PROIBIR os logs. A não existencia de algo impede o uso deste algo incorretamente.
    Existem métodos que permitem identificar um usuário sem a necessidade de associar ele a ip: Este proprio forum é um exemplo: Login e senha. Se o governo quiser fazer um portal do cidadão em que o cidadão tenha que ser identificado para acessar serviços publicos, não tenho nada contra – afinal de contas, segue o mesmo principio do home banking – é um ato não compulsório. Mas, ter que se identificar para navegar na internet para que fique registrado um log de tudo o que eu acessei é um absurdo, uma ação abusiva, absurda, imoral, irracional, e todo e qualquer ato, de qualquer natureza será justificavel se o objetivo for impedir este atentado a democracia, a liberdade, a igualdade e a humanidade – isto é o mesmo que ter que pedir permissão para o governo para urinar sob o risco de ir para o xadres! “Olha, tua licença para urinar venceu, leva 15 dias para ficar pronta a nova, até lá, da um jeito de segurar!”. A democracia e a liberdade total em primeiro lugar. Todo o resto – inclusive a propria constituição – é secundário. Se falharmos em manter a internet anonima e livre, estaremos entregando ao governo a nossa unica arma que temos para que 1964 não se repita.
    O que deve ser entendido é que, em um ambiente de anonimato (como a internet), o anonimato é garantido, porém, se a qualquer momento eu quiser me autenticar para qualquer finalidade, eu posso. E é EXATAMENTE assim que a internet funciona atualmente. Se o governo nao fizer nada, seu ponto de “A forma de se garantir privacidade e liberdade na web, está justamente no acordo entre Individuo X Estado para que sejam `omitidos` seus dados durante a relação com os provedores de acesso e informação e outros usuarios da www.” será garantido através da proibição total de logs que associem usuários a ip. simplesmente, a informação não deve ser logada nunca, sob hipotese alguma, nem sob ordem judicial, nem sob pedido do presidente, nem que o papa venha ao brasil pedir esta informação – ela simplesmente, não deve existir.
    Como vocês percebem, a internet é anonima, porém posso me autenticar para um determinado sistema. Este post aqui só tem meu nome porque eu me autentiquei. Se o governo quisesse ter dados como cpf, rg de quem posta aqui, era so ter solicitado no cadastro e pronto.
    Porém é errado que “Ao Estado cabe a detenção de Dados Pessoais bem como sua proteção.”. O estado pode emitir cpf, rg, etc, mas ele não deve ser babá de ninguém.
    Se uma compra online é realizada, a empresa dona do site deve garantir que meus dados de identificação e de pagamento não vazem – e esta proteção faz parte dos custos associados a manter o negócio. O governo deve punir esta empresa caso estes dados vazem desta empresa, porém o governo nao deve fazer absolutamten nada para impedir que eles vazem desta empresa. O governo deve, sim, impedir que os dados vazem de seus proprios sistemas (algo que ultimamente ele tem falhado…). Mas isto não é uma caracteristica da internet, isto é uma caracteristica que deve ser aplicada em tudo – desde cadastro de lojas, bancos, etc.
    A transferencia dos dados entre o meu computador e o site que deseja meus dados pessoais é feita via criptografia SSL – dificilmente será quebrada – não há falhas conhecidas no algoritmo usado e um ataque de força bruta – ao qual toda criptografia é fraca – é inviavel (levaria bilhoes de anos usando todo o poder computacional do planeta combinado) – e ISSO SIM evita o vazamento dos dados durante o trafego deles na web.
    Portanto, não há necessidade de interferencia estatal no que diz respeito a trafego de dados particulares. O governo pode determinar que a empresa que detem cadastro de clientes deve prezar pelo sigilo e inviolabilidade dos dados, e punir caso estes vazem, mas nao fazer mais nada alem disto.
    Entendo e mantenho a minha opinião – a unica função de logs na rede publica será a de quebrar o anonimato, e portanto, os Logs na rede publica servirão somente para tolir a liberdade, dar poder para o governante perseguir inimigos politicos no ambiente virtual , além de incentivar toda a criação e uma industria criminosa para a quebra do sigilo.

    ----------------------------------

    marino
    Escrito 5 de novembro de 2009
    .
    O “mascaramento” acima citado é o que possibilita o exercicio legal da anonimidade. Desconheço o procedimento técnico para realizá-lo. Tudo o que posso “imaginar” é o reconhecimento biométrico para determinadas ações na web como forma de autenticação, e uma vez que se deve manter a privacidade, acredito que o procedimento autenticatório deva passar por quem detém a tutela de tais dados.

    -------------------------


    marino
    Escrito 5 de novembro de 2009
    .
    Caro colega fredericopandolfo, sua afirmação categórica de que “Em um regime democrático, LOGS na rede publica é a coisa mais anti-democratica possivel.” é equivocada a meu ver.
    Pelo aspecto democratico, se deve defender a liberdade de expressão ao mesmo tempo que protejer os direitos à privacidade. Não cabe à empresa prestadora de acesso, aos sites e nem mesmo ao individuo prover essa proteção, isso é responsabilidade do Estado, e ele deve regulamentar nesse sentido.
    Como regulamentar um sistema onde segundo voce mesmo (e concordo) os registros de log informam tão “acertadamente” a ponto de as investigações levarem invariavelmente à um leque de possibilidades cada vez maior? Se o proprio sistema de registros de logs dos sites e provedores de acesso não apontam a um usuario, não vejo motivo para regulamentar a manutenção de tais registros exceto no caso de existir um momento na “transação” de acesso e navegação, em que o USUARIO seja identificado.
    O fato de devermos zelar pela Privacidade, nos leva e refletir não apenas sobre a obrigatoriedade de mantenimento desses registros por parte de empresas privadas, mas sim sobre o “mascaramento” de dados particulares durante esses processos.
    Oras, mas como evitar o trafego de dados pessoais? Parece ilogico e até impossivel, mas o fato é que esses dados são fruto de registros de autenticidade e titularidade inerentes da relação entre o Individuo e o Estado, logo se o Estado detem a “ficha” do cidadão e lhe cabe atestá-lo e assegurar sua privacidade, a relação virtual deve contar com um momento onde se ateste autenticidade à identidade individual para que se possa exercer determinados direitos democraticos. Entre esses direitos está a Liberdade de expressão em anonimia, o que so pode ocorrer se o individuo for identificável.
    A forma de se garantir privacidade e liberdade na web, está justamente no acordo entre Individuo X Estado para que sejam “omitidos” seus dados durante a relação com os provedores de acesso e informação e outros usuarios da www. Ao Estado cabe a detenção de Dados Pessoais bem como sua proteção.
    Mas como evitar que haja vazamento de tais dados durante essas transações? Acredito que dada a necessidade de proteçao à privacidade, simultaneamente à responsabilidade estatal em atestar aos individuos, não há outra forma senão a de “mascarar” os dados individuais através de um “log” que substituirá os mesmos por um código (variavel) de autenticação. Mantendo os bancos de dados sempre separados, e os dados pessoais concentrados e unificados sob tutela do Estado, os simples registro de autenticidade não poderá apontar ao individuo exceto em casos que se faça juz a quebra de sigilo.
    Portanto, os “logs” na rede pública vem a garantir direitos democraticos no lugar de tolhi-los.
    Cabendo apenas ao Estado assegurar privacidade e atestar aos individuos, sua presença durante tais transações digitais é inevitavel se pretendemos usar a rede como Instrumento Democrático, e para tanto em algum momento deverá existir um “log” oficial e regulamentado.
    Infelizmente os costumes na web vão na contramão da garantia aos exercicios de direitos fundamentais. É preciso entender que para se manter a liberdade na www, se faz necessária a omissão de dados pessoais ao mesmo tempo que os mesmos precisam ser atestados.

    -----------------------

    fredericopandolfo
    Escrito 6 de novembro de 2009

    Marino, não é necessário mudar nada no funcionamento atual da internet para permitir uma identificação oficial.
    O procedimento é realmente simples:
    Olha só, existem duas formas de fazer:
    A primeira delas consiste em usar certificado digital.
    O governo nao pode simplesmente mandar smartcard para todo mundo, pois não vai haver garantias de que o governo nao tenha gerado copias das chaves privadas correspondentes.
    Alem do mais, pouca gente tem leitores destes em casa – mesmo que ele mande, ninguem vai abrir. Manda um token usb, ok, mas, há outras dificuldades como uma grande variedade de sistemas operacionais e etc. Não é uma boa idéia.
    Entao o cidadão que deseja participar teria que criar um par de chaves, encaminhar a chave publica para o orgao oficial, este orgao toma as medidas de identificação adequadas e retorna um certificado digital. Este certificado sim é a garantia de que o cidadão é ele mesmo.
    Problemas:
    1) Se a chave privada nao for gerada diretamente em um smartcard, ela poderá ser roubada.
    2) É um procedimento complexo para quem não é da area.
    3) Inevitavelmente, alguem vai perder a chave privada… usuario comum tem dificuldade até mesmo de copiar arquivos do word (cansei de abrir pendrive que so tinha um atalho..), imagina quando verem o termo Certificado Digital!
    A outra alternativa – e essa eu acho mais viavel – consiste em aproveitar a infra-estrutura ja existente:
    O cidadão que deseja participar faz um cadastro online, e recebe duas cartas autenticadas pelos correios: Uma contendo um cartão magnético como os dos bancos, e o outro contendo um cartao com uma grade de chaves protegidas pela aquela tinta estilo raspadinha – exatamente como a proteção de segurança do bradesco (mas a do bradesco nao tem raspadinha eu acho).
    De posse destas informações, basta ir em qualquer agencia da caixa economica para ativar o cartão, criando uma senha, usando para isso auto-atendimento do terminal eletronico (o terminal pode tomar outras medidas de confirmação de identidade e etc).
    Por que a caixa? Porque, mesmo sendo um banco, é uma das maiores instituições publicas, age (ou diz que age) em prol do social, e tem em todo o brasil, e o mais importante – terminais de auto atendiento para facilitar a vida e evitar a perda de tempo. Poderia usar delegacias, mas causaria um aumento de demanda maior e nem toda delegacia é equipada adequadamente para isso. A caixa é um ambiente mais familiar e, ao menos tem um sistema de informatica que, bem ou mal, funciona.
    Para logar no sistema de “Participação Popular Deliverativa em Plenario Virtual”, basta usar o numero do cartao magnetico, a senha, e informar o codigo associado a uma das colunas do cartao com a matriz de codigos. É exatamente o mesmo procedimento de acessar conta no bradesco – procedimento que acho muito bem feito.
    Basta unificar os acessos desta forma aos sistemas do governo – como o google fez com o gmail e orkut – e pronto isso permitirá a autenticação do cidadão usando um unico conjunto de login e senha, sem a necessidade de milhares de logs e auditorias e etc. Mantem o anonimato da rede e permite uma fonte de autenticação confiavel ao governo. E com o cartao magnetico, é possivel até mesmo implantar pontos de auto atendimento de voto democratico em varios locais do brasil aonde internet é algo raro ou inexistente.
    Quanto ao uso destes dados por empresas privadas, há 2 problemas:
    1) alterar toda a plataforma existente custaria muito caro.
    2) Eu gostaria de ter a chance de mentir em um cadastro – muitos sites so permitem que tu veja algo depois de se cadastrar
    3) Para compras online, o simples fato de as instituições financeiras aceitarem os dados fornecidos ja é uma boa autenticação – uma vez que, enquanto para nos é uma questao de privacidade, para elas é um aquestào de sobrevivencia – ninguem deposita $$ em uma instituicao que é fraudada facilmente.
    4) Uma falha no sistema colocará em risco a autenticação de todos os brasileiros.
    Lembre-se que, um sistema de autenticação comprova que tu é tu, mas não permite que tu comprove que tu não é tu.
    Ou seja: Isso permite o que tu falou, e permite o que eu disse, de nao fazer logs nas provedoras de acesso.

    -----------------------

    marino
    Escrito 6 de novembro de 2009
    .
    Talvez aqui >> http://culturadigital.br/marcocivil/2009/10/27/1-2-2-conflitos-com-outros-direitos-fundamentais-anonimato/#comment-245 >> se esclareça um pouco do que penso sobre a relação em anonimia e a necessidade de tornar legal esse exercicio, o que leva à necessidade de autenticação de usuario.
    Atente ao fato de que não defendo a guarda de log’s no histórico dos provedores de acesso, apenas o registro de autenticação para o inicio da navegação no Banco de Dados Estatal.

    ----------------------------

    marino
    Escrito 6 de novembro de 2009
    .
    Caro colega Fredericopandolfo,
    Talvez eu não tenha me expressado bem, pois estamos em concordancia com relação à proteção dos dados individuais e sobre a necessidade da anonimia. Como voce mesmo cita “Se o governo quisesse ter dados como cpf, rg de quem posta aqui, era so ter solicitado no cadastro e pronto.” É para se evitar tal alcance/controle por parte do Estado sobre as atitudes individuais na web que se faz necessário o acordo com o mesmo.
    Pense da seguinte forma:
    Na situação que vivemos hoje é permissivel o trafego de dados individuais e tambem o acesso à nossa rotina na web por parte do Estado, que detem nossos dados. Ao mesmo tempo, empresas privadas detém dados importantes e particulares que são usados com fins comerciais e são suscetiveis ao acesso criminoso que podem gerar danos morais/materiais os quais cabem ao Estado a sanção.
    A ciencia sobre o trafego individual na web está em poder dos provedores de acesso, e não do Estado. Com o acordo, o Estado passa apenas a autenticar sua declaração de dados privados, mantendo-se-lhe VETADO o acesso ao historico de navegação. Desta forma, todo e qualquer dado pessoal que se faça necessario o preenchimento via web, passa a ser autenticado ou substituido por uma autenticação oficial. Tampouco estará o individuo expondo sua privacidade às vulnerabilidades inerentes da web, como tambem estará valendo-se de opinião autentica no exercicio democratico. É como se o agente que lhe pede verificação de documentos, receba um “ok” oficial e imediato evitando que o individuo tenha que fornecer o Nº do doc. em si, restando apenas o fornecimento de endereço se for o caso.
    Gostaria que o colega compreendesse que me volto sempre à autenticação, por conta da prevista Participação Popular Deliverativa em Plenario Virtual, forma de realizar a Democracia Direta Digital, esse é o foco a que me atenho.
    Para tanto é necessária a Autenticação Individual por parte do Estado, não se trata de um procedimento como uma “compra” ou transação bancaria on-line estou falando de Titularidade Eleitoral, e que ela possa ser exercida em um Forum Digital de Referendo Permanente.
    Com o Log de acesso autenticado, se pode desvencilhar a rastreabilidade sobre o individuo ao mesmo tempo em que se atesta sua individualidade. Simples assim. Creio que o colega tenha conhecimento técnico para realizar/programar uma transação protocolar onde os bancos de Dados sejam separados e inacessiveis, possibilitando assim a livre expressão sem a vigilancia do Estado, e a proteção aos direitos fundamentais em caso de transgressão.
    A regulamentação, se caminhar neste sentido, deverá garantir que o dominio/acesso aos registros de navegaçao sejam VETADOS ao Estado, e que o acesso/dominio sobre dados pessoais sejam RESERVADOS somente à ele, que nos deve a tutela.

    -----------------------------------

    cason
    Escrito 7 de novembro de 2009

    Concordo com a posição já posta por algumas pessoas – ao meu ver, aquelas daqueles que me parecem mais tecnicamente envolvidos com a administração de sistemas web (como é o meu caso).
    Hoje já tem-se um arcabouço suficiente para identificar possíveis crimes virtuais sem a necessidade de que sejam feitos logs de conexões realizadas, por parte dos *provedores*.
    Todos os servidores web mantém logs de acessos aos seus serviços, até por questões de segurança, estatística, para identificar falhas ou erros.
    Nestes logs tem-se o que foi consultado, a data e o IP que foi empregado para a consulta. No caso de haver necessidade de uma investigação, cabe aos investigadores descobrir quem usava aquele IP naquela ocasião, daí sim consultar os servidores, que mantém estes dados em logs.
    Estes logs dos provedores não são de acesso, não possuem informações sobre a vida daqueles que pagam para ter acesso à Internet. Eles contém somente o endereço que foi fornecido a cada conta existente, permitindo que o mapeamento reverso venha a ser realizado caso haja necessidade.
    É verdade que há como burlar este sistema, empregando artifícios da Web para acessar endereços com IP’s públicos, através de proxies, por exemplo.
    Neste caso, porém, logar acessos no provedor ao invés de no servidor não mudaria muita coisa.
    Digo, acho que vocês não conhecem o . Ele é uma rede mundial de proxies que permitiriam acesso anônimo a conteúdos da Internet. Se eu uso esta ferramenta, terei lá no meu provedor dezenas de acessos ao servidor Tor e de lá para frente só é possível descobrir o destino de minhas requisições se forem obtidos os logs dos servidores Tor que acessei.
    Isto pode não ser possível, pois a maior parte dos servidores estão no exterior e sempre haverá um país que não vai querer impor leis nazistas para o acesso Web naquele local.

    -----------------------------------------

    marino
    Escrito 7 de novembro de 2009
    .
    Mais um motivo para escrever na regulamentaçao que ao Estado, deve ser VETADO o acesso às informaçoes de navegação e posicionamento geografico do Individuo. Se nao nos assegurarmos disso, entraremos na era da vigilancia plena. Nao podemos prover essa ferramenta ao Estado.
    Como “mascarar” esta rota??? é possivel? Na lei eu sei que se pode incluir o impedimento, na pratica, nao sei como evita-lo, tanto pelas possibilidades tecnicas, quando pelo poder corruptivo de governantes. Muito o que driblar.

    ------------------------

    fredericopandolfo
    Escrito 7 de novembro de 2009
    O IPv6 pode nao ter NAT especificado, porém há interoperabilidade IPv6 e IPv4 exige NAT.
    É bem possivel que, de fato, haja NAT em IPv6, uma vez que a IPv6 possui, em sua especificação, faixa de endereços privados.
    Na pratica, o NAT em IPv6 e em IPv4 funcionariam da mesma forma – muda só o tamanho dos endereços envolvidos.

    ----------------------------

    cason
    Escrito 7 de novembro de 2009
    Outro tema que não vi sendo tratado é o fato de que, provavelmente, esta lei viria tarde demais.
    Dentro de alguns anos estaremos empregando IPv6 e teremos, em prática, um IP verdadeiro para cada computador, celular, relógio, palm etc.
    Daí não teríamos mais os NAT, ou seja, um conjunto de máquinas que acessam a Internet apresentando um mesmo endereço IP…
    Assim, tendo-se o registro no servidor de qual endereço acessou determinado conteúdo, seria possível descobrir de que dispositivo veio o acesso, bastando seguir a rota para acessá-lo…

    ---------------------

    marino
    Escrito 7 de novembro de 2009
    .
    Mais uma vez pergunto: Há moderação aqui? Amigo Cason, vá floodar no Orkut, aqui não é lugar pra isso! Bastava postar em um tema só! E quer dizer que estão fugindo do tema!
    Acabo eu fazendo um carão e me expondo a reprimendas!
    Se não existe moderador, cabe à nos ter o minimo de bom senso!

    --------------------------

    cason
    Escrito 7 de novembro de 2009
    Muitos comentários e umas tantas fugas do tema.

    A Internet é inerentemente anônima: os dados são públicos, o tráfego interceptável, passível de cópia e redistribuição.
    Impedir a anonimicidade iria burocratizar a Internet e, com isto, tentar calá-la. E, o pior de tudo, seria inútil, pois seria facilmente burlável.
    E sobre a responsabilidade pelas atitudes anônimas? A responsabilidade é daqueles que provêm os serviços, ou seja, por aqueles que possuem servidores Web públicos.
    Se há riscos, se há possibilidade de se ferir leis, cabe ao administrador do sistema criar sistemas para tornar os acessos identificados, ou seja, em linguagem técnica, para autenticá-los.

    ---------------------------------

    fredericopandolfo
    Escrito 7 de novembro de 2009

    Só para lembrar a todos, que nos Estados Unidos, o Anonimato é permitido pela lei.

    ------------------------------


    cason
    Escrito 9 de novembro de 2009

    Meu caro, há problemas no sistema de postagem, não é minha culpa.
    Não há necessidade de moderação, mas as dicas de HTML poderiam estar corretas e, principalmente, deveria ser permitido ao dono de uma postagem removê-la, não?

    -----------------------


    fredericopandolfo
    Escrito 9 de novembro de 2009

    remover-la e editarla! Ja fiz umas inhacas com texto que só vi depois que postei.

    -------------------------------

    miniero
    Escrito 9 de novembro de 2009

    Ponto de vista interessante. Nesse caso, para evitar problemas do tipo, os acessos às informação precisariam ser controlados por uma “entidade virtual” composta pelos administradores de sistemas e SOC dos provedores de acesso, algo que certamente nunca será posto em discussão.

    -----------------------

    fredericopandolfo
    Escrito 9 de novembro de 2009

    Por isso, miniero, que so a favor de que, simplesmente, não hajam logs.
    Mesmo que coordenasse tudo, a corrupção é uma força “mágica”, que está acima de qualquer orgão publico. Em teoria, grampo telefonico só pode ser feito por ordem judicial, mas basta subornar um funcionario da telecom para ter o grampo, entende?
    A unica forma de manter a internet livre é não associando usuário/ip. É a unica forma de proteção do usuário contra a corrupção.

    ---------------------------

    fredericopandolfo
    Escrito 9 de novembro de 2009

    Eu sou da filosofia de que: Só acessa conteudo na internet quem qué. E acredito que ela deva ser um ambiente anonimo, sem a existencia de logs nas provedoras de acesso. Sempre há outras formas de uma investigação ocorrer.
    Só o fato de quebrar o elo da cadeia de log ja é o bastante para manter o anonimato da rede. Até pq, assim como controlar o conteudo da internet, algo impraticavel, “evitar que seja utilizada como meio para criminalidade ou disseminação de idealismos criminosos. ” não se aplica: – basta hospedar fora do Brasil.
    Se em algum site brasileiro houver conteudo “ilegal”, a justiça pode mandar tirar o conteudo e até solicitar os dados cadastrais para o provedor de hospedagem (o cara vai ter que pagar a conta do serviço de hospedagem de alguma forma).
    Mas, sabe qual é o meu medo de verdade? Politicagem ilegal: Eu explico.
    Se alguem denuncia, de forma não anonima, corrupções de algum prefeito de uma cidade do interior, as chances desta pessoa sofrer um acidente ou ser vitima de um latrocinio ficam muito mais altas do que se ela tivesse ficado queta ou tivesse feito de forma anonima. Não sei se entenderam aonde eu quis chegar.
    Se um bloqueiro denunciar atos de corrupção de um politico influente, e houver como, pela IP, identificar exatamente quem é o autor, então esta pessoa poderia sofrer um acidente…. E é isso que realmente tenho medo.

    -------------------------

    miniero
    Escrito 9 de novembro de 2009

    Lembremo-nos, primeiramente, que todos servidores/serviços/daemons utilizados na Internet geram logs em formatos padronizados pelos desenvolvedores, formatos esses que já proporcionam um conhecimento desejável sobre a saúde dos sistemas e informações básicas sobre acessos.
    Para se ter informações detalhadas sobre acessos, precisaríamos recorrer aos logs de servidores de autenticação, normalmente Radius, algo que se tem feito muito complicado, pois provedores de acesso não costumam liberar acesso para visualização dos mesmo. E nesse ponto são impactadas quaisquer investigações acerca de criminalidade digital na Internet.
    Acredito que a existência de um sistema comum entre os provedores de acesso, onde exista uma base de dados (para acesso) compartilhada de empresas “permitidas” (como fornecedores de serviços de hospedagem) e seja possível efetuar uma consulta por endereço IP e data, certamente removeria uma grande barreira na “caça aos criminosos”.
    É claro que tal sistema precisaria de um muito bem estruturado projeto de segurança, porém é algo extremamente simples de ser desenvolvido, implementado e mantido e o resultado (a médio prazo) é o de garantir melhor qualidade do conteúdo (proveniente do Brasil) na Internet, evitando a exposição de jovens à idealismos criminosos “gratuitos”.
    Seria o caso de, ao invés de tentar controlar o conteúdo da Internet (algo impraticável), evitar que seja utilizada como meio para criminalidade ou disseminação de idealismos criminosos.
     

  •  [Procure "posts" antigos e novos sobre este tema no Índice Geral do BLOCO]            ComUnidade WirelessBrasil