BLOCO
Blog dos Coordenadores ou Blog Comunitário
da
ComUnidade
WirelessBrasil
Dezembro 2008
Índice Geral do
BLOCO
O conteúdo do BLOCO tem
forte vinculação com os debates nos Grupos de Discussão
Celld-group
e
WirelessBR.
Participe!
19/12/08
• Crimes Digitais (45) - Msg de José Henrique
Portugal sobre o "armazenamento dos dados de conexão" previsto no PL
01.
O "Serviço ComUnitário" continua no "estudo conjunto/debate" para entender
melhor o "Projeto de Lei sobre Crimes Digitais" e sua adequação à realidade.
Mais abaixo transcrevemos os comentários de José Henrique Portugal
sobre as colocações de José Smolka.
02.
A proposta deste Debate é estudar o texto do citado PL.
Este estudo é oportuno pois o Projeto está em fase final de tramitação
na Câmara dos Deputados.
Começamos pelos artigos considerados polêmicos e demos a partida com o Art. 22
pois temos muitos "provedores de acesso" em nossos Grupos.
Apesar da pequena repercussão nos fóruns, houve muita interação em "pvt" e
estão todos atentos! :-)
Ao mesmo tempo, novos dispositivos legais
entram em vigor ou tramitação, relacionados aos "provedores de acesso".
Tudo que aprendemos aqui será utilizado na avaliação destas novas
iniciativas do Congresso.
A CPI da Pedofilia, entre outros, produziu estes
resultados:
- LEI Nº 11.829, DE 25 DE NOVEMBRO DE 2008 que alterou o Estatuto das Crianças
e dos Adolescentes;
- TERMO DE MÚTUA COOPERAÇÃO QUE ENTRE SI CELEBRAM PRESTADORAS DE SERVIÇOS DE
TELECOMUNICAÇÕES, DE PROVIMENTO DE ACESSO À INTERNET E DE SERVIÇOS DE CONTEÚDO
E INTERATIVOS NA INTERNET;
- PLS sobre
obrigações do provedores e que "Disciplina a forma, os prazos e os meios
de preservação e transferência de dados informáticos mantidos por
fornecedores de serviço a autoridades públicas, para fins de investigação de
crimes praticados contra crianças e adolescentes, e dá outras providências"
(Senador Magno Malta).
Este último item ainda não foi divulgado pela mídia mas já temos o texto;
trata-se de um novo PLS - Projeto de Lei do Senado, com origem na "CPI da
Pedofilia", que o José Henrique Portugal teve a cortesia de nos
enviar, junto com o "termo de cooperação mútua".
Estamos formatando para divulgação numa próxima mensagem.
Obrigado, Portugal!
Assim, o debate sobre o Art. 22 continua
aberto mas, na próxima mensagem iniciaremos o estudo dos Arts. 258-A e 258-B.
Sobre o Art. 22 já tenho uma opinião formada, independente de outras
considerações:
- ele não "exige que todos os provedores de acesso à Internet se tornem
delatores de seus usuários" (do texto da
Petição)
- o "negócio" do provedor não é inviabilizado
pela obrigatoriedade de um banco de "registros de acesso" com a estrutura
especificada no texto.
Na última mensagem divulgamos a "mini-biografia" do Smoka a título de
apresentação genérica. :-)
Na web encontramos esta sobre o Portugal:
José Henrique Santos Portugal (PORTUGAL@senado.gov.br)
é assessor técnico do Senado Federal e serve no Gabinete do senador
Eduardo Azeredo (PSDB/MG) desde junho de 2003.
Foi diretor do Serpro de 2000 a 2003.
Antes desse período atuou como consultor para Novos Negócios da Belgo
Mineira Sistemas; foi secretário adjunto da Secretaria de Logística e
Tecnologia da Informação (SLTI) no Ministério do Orçamento e Gestão (MOG);
exerceu cargo de secretário geral do Governo de Minas Gerais entre
1995 e 1998; foi superintendente de Informática da Prefeitura de
Contagem (MG) e também coordenador de Desenvolvimento Tecnológico da
Prodabel (empresa de informática da Prefeitura de Belo Horizonte),
além de ter sido presidente da Sucesu-MG em duas ocasiões, bem como da
Sucesu Nacional, e da Associação Brasileira das Entidades Municipais
de Informática (Asbemi).
Boa leitura!
Boas Festas!
Ótimo 2009!
Um abraço cordial
Helio Rosa
----------------------------------------------------
----- Original Message -----
From: Jose Henrique Santos Portugal
To: Helio Rosa
Cc: Isabella Duarte Tavares
Sent: Tuesday, December 16, 2008 5:31 PM
Subject: RES: Crimes Digitais (43) - Msg de José Smolka sobre o "armazenamento
dos dados de conexão" previsto no PL
Caro Hélio
Sobre a mensagem do José Smolka
tenho estes comentários:
1 - não há pedido no PL de
identificador do usuário, ficando a critério de cada provedor de rede (ou do
regulamento) o que guardar na gravação;.
2 - sim, o art. 22 pode parecer
pouco, mas não inconsistente, veja que o mundo inteiro faz assim, pois há que
respeitar os ditames constitucionais de privacidade, sem mapear navegação ou
qualquer conteúdo como o próprio Smolka reconhece (art. 5º da CF inciso
X - são invioláveis a intimidade, a vida privada, a
honra e a imagem das pessoas, assegurado o direito a indenização pelo dano
material ou moral decorrente de sua violação;),
mas isto atende à ação da autoridade investigatória, seja a Polícia seja o
Ministério Público, que chega ao primeiro local.
A partir dai, tendo em mãos um caso concreto ou quase evidente, pode fazer a
requisição judicial de outros dados conforme o inciso II do art. 22, mas
apenas daquele caso e o crime é a exceção, e muita exceção.
Como ex-chefe de TI em diversas
e diferentes organizações posso assegurar que a soma de indícios ajuda muito.
A cada bloqueio ou pequena investigação aparecem novas evidências que o
tirocínio investigatório vai ajudando a elucidar.
3 - Nas questões das redes wifi
ou dos "pés de chinelo" a polícia ou a promotoria não vê diferença pois o
criminoso sempre volta ao local mais fácil para uma segunda oportunidade ou
comete um crime semelhante em outro local ou é serial. Quanto mais "eficiente
e eficaz" mais vaidoso o criminoso o é. E o demonstra seja por evidências
financeiras, presentes, carros, barcos, sítios, festas, jóias, falastronices,
comportamentos fora do padrão social local.
Não sou policial nem promotor e
acredito que nem o Smolka o seja.
Talvez fosse melhor consultarmos
um delegado ou um promotor.
Estamos avançando. Parabéns.
José Henrique Portugal
31 9981 2848 61 8111 4386
Olá,
ComUnidade WirelessBRASIL!
O "Serviço ComUnitário" continua no esforço
para entender melhor o "Projeto sobre Crimes Digitais" e sua adequação à
realidade.
Obrigado, José Smolka, pela preciosa
colaboração! (mensagem abaixo)
Smolka, nós já o conhecemos de longa data mas, como esta mensagem vai para
nosso BLOCO e também para alguns destinatários interessados em nosso debate,
permito-me reproduzir aqui seu mini-currículo anotado no
website com suas mensagens
mantido pela ComUnidade:
José de Ribamar Smolka Ramos (smolka@terra.com.br)
é engenheiro eletricista (UFBa 1982), com especialização em gestão da
qualidade (CETEAD/UFBa 1994) e MBA executivo (FGV RJ/Grupo Telefonica 2001). Trabalha
na área de Informática desde 1980, tendo atuado em empresas das áreas
financeira, industrial e serviços, estando desde 1989 na área de
telecomunicações. Área principal de interesse: projeto, implantação e gestão
operacional da infraestrutura e serviços de comunicação baseados na
arquitetura TCP/IP. Atualmente é
especialista técnico na Diretoria de Planejamento e Tecnologia da Vivo S/A.
Vamos às opiniões técnicas dos provedores!
Olá, "Todos"!
Ao debate! :-)
Boa leitura!
Boas Festas! Ótimo 2009!
Um abraço cordial
Helio Rosa
-------------------------------------------------
----- Original Message -----
From: José de Ribamar Smolka Ramos
To:
wirelessbr@yahoogrupos.com.br
Sent: Tuesday, December 16, 2008 2:08 PM
Subject: [wireless.br] Re: Crimes Digitais (42) - Msgs de Chiaradia, Smolka,
Nacinovic e Portugal + 02 notícias --> Fw: "Historinha" para entender o Art.
22 ...
Oi Hélio,
Alguns posts atrás me lembro que vc transcreveu
(ou apenas comentou, não tenho certeza) uma observação do José Henrique
Portugal, que os dados de conexão a armazenar, de acordo com o previsto no
inciso I, representavam pouca coisa em termos de bytes.
E vc transcreveu agora uma mensagem do Luiz
Nacinovic, da qual destaco um trecho:
O problema não é a quantidade de
bits ou bytes a serem armazenados. O problema é modelar o banco de dados para
a finalidade. O art.22 obrigará todos os provedores a acertarem a hora por um
relógio atômico central, no sentido de que hora, data e referência GMT sejam
únicas. Qualquer diferença alimentará questões judiciais.
Em termos gerais o José Henrique está certo,
porque são mesmo poucos bytes.
Vamos supor o caso mais simples para o armazenamento dos dados de conexão
previsto pelo inciso I: arquivo flat, registros CSV, formato ASCII. Então cada
registro de conexão terá:
Data do início da conexão no formato AAAAMMDD (8
bytes) + separador (1 byte);
Hora GMT do início da conexão no formato HHMMSS (6 bytes) + separador (1
byte);
Data do final da conexão no formato AAAAMMDD (8 bytes) + separador (1 byte);
Hora GMT do final da conexão no formato HHMMSS (6 bytes) + separador (1 byte);
Identificador do usuário - variável, conforme a prática de cada ISP (vamos
supor 10 bytes) + separador (1 byte)
Endereço IP atribuído ao usuário (4 ou 16 bytes, dependendo se for IPv4 ou
IPv6) + fim de registro (1 byte)
Então temos cerca de 60 bytes por conexão, o que não é muito. Os problemas da
hora GMT e do formato do BD que vai ser montado com estes dados não são
críticos, porque:
(a) a hora GMT de início e fim da conexão podem ser obtidas por queries ao
serviço NTP (Network Time Protocol) (existem vários abertos ao
público na Internet) - o que não quer dizer que não vá dar algum trabalho
adaptar os procedimentos de login e logout dos usuários para garantir que os
registros das conexões sejam efetivamente gravadas; e
(b) não é realmente obrigação do ISP-Internet Service Provider (de
acordo com o inciso I) ter estes dados em um RDBMS (Relational Database
Management System) - tê-los em formato texto já é suficiente, quem tem
que se preocupar em como harmonizar os dados para consulta posterior são as
autoridades (se e quando elas vierem a requisitá-los).
Mas existe, sim, uma inconsistência lógica no
pedido de guarda destes dados pelo ISP. Creio que alguém achou que dava para
fazer na Internet uma analogia com o serviço telefônico. Não dá.
Uma operadora de telefonia guarda os CDRs (Call
Detail Records) das chamadas feitas pelos assinantes, primeiramente por
razões de tarifação (é dali que se extraem os dados para gerar a conta), e
depois para servir de suporte a investigações autorizadas pela justiça, porque
estes registros contém data/hora das chamadas e identificam as partes (números
dos telefones) envolvidas na conversação. Claro que não dá pra saber o que foi
falado, mas sabe-se com quem a conversa ocorreu, o que já é suficiente para
dar um bocado de pistas para a investigação.
Só que os registros "pseudo-CDR" para o ISP,
como o exemplo que eu descrevi acima, não dizem isto. Eles apenas mostram que
alguém que conhece o userid/senha corretos de um determinado usuário esteve "logado"
na rede em um determinado período de tempo. E isto não é nem mesmo prova
suficiente que o(a) legítimo(a) detentor(a) do par userid/senha utilizado era
quem estava usando a conexão.
Estes registros não mostram nada sobre que sites
foram visitados, que arquivos foram baixados, e o que mais o usuário tenha
feito durante aquela conexão. Ou seja, não ajuda em nada uma investigação. E
não adianta dizer que ele prova que o usuário tinha um determinado endereço IP
que vai ser "cruzado" com os dados de acesso obtidos em outro site. Dependendo
das circunstâncias, endereços IP podem ser forjados (e os delinquentes
realmente bons sabem muito bem como fazer isto).
Então concluo que: ou estes dados não vão servir
para nada, ou vão servir somente para prender delinquentes "pé-de-chinelo".
Considerando esta relação custo (embora não tão significativo, ainda assim
real, para os ISPs) versus benefício (limitado ou nulo para as autoridades),
será que isto realmente é uma boa idéia?
Ah sim! E voltando à questão de quem realmente
estava "logado", aumentando o registro da conexão (mais bytes, nem todos
simples para o ISP conseguir dinamicamente) com dados que registrem o meio
físico utilizado na conexão (ex.: número associado a linhas xDSL, MIN de
aparelhos celulares, etc.), ainda assim o que se prova é que a conexão foi
feita a partir de algum local específico, mas ainda não se tem certeza que a
pessoa usando o acesso era o seu legítimo detentor.
Aliás, como já foi mencionado em outro post, se
eu quisesse delinquir a primeira coisa que eu ia fazer era descobrir (via
war driving) redes WiFi (domésticas ou corporativas) desprotegidas ou
mal-protegidas, e usá-las para encaminhar o meu tráfego ilícito. Se der rolo
depois, vai ser problema do legítimo detentor da rede provar que ele não tem
nada a ver com o peixe. Eu já vou estar longe, e seguro.
[ ]'s
J. R.Smolka
ComUnidade
WirelessBrasil
Índice Geral do
BLOCO