O que é uma conexão? E quem precisa guardar os dados?

O problema de verdade com o artigo 22 está na parte que fala que é a “conexão efetuada por meio de rede de computadores” a que precisa ser registrada. Tecnicamente falando, um acesso ao site da Linha Defensiva pode ser considerado uma conexão. Um especialista que ler o projeto o entenderá desta forma.

Se os provedores tiverem que armazenar cada conexão que um internauta realiza, aí sim os custos seriam enormes. É possível dizer que, neste caso, a conta da Abranet seria até conservadora.

As explicações dadas pela Agência Senado sobre o projeto dizem que isso não é necessário, no entanto. Mas, se o texto quisesse realmente dizer isto, “por meio” deveria ser substituído por algo que deixasse claro que se trata apenas do acesso inicial, e não dos acessos a recursos específicos da rede. Caso contrário, é possível um entendimento de que o acesso à Linha Defensiva é uma “conexão efetuada por meio da rede” e que deveria ser registrado… (O projeto não define “conexão”.)

Além disso, a descrição de provedor de acesso do artigo 22 é vaga (“responsável pelo provimento de acesso a rede de computadores mundial”).

Na minha universidade, tem um café onde é possível acessar gratuitamente a internet, via wi-fi. Neste contexto, eles são os “responsáveis pelo provimento de acesso” e, embora exista um provedor acima deles que mantenha os relatórios, uma vez definido que foi um computador de lá que efetuou uma determinada tarefa, não é possível determinar quem o fez, a não ser que eles mantenham um registro deste tipo. Tal restrição poderia praticamente eliminar a viabilidade legal de um serviço útil como o acesso wireless gratuito — teria eu que tomar um café e deixar meu CPF e RG lá para ir ler notícias na web por 15 minutos?

Provedores de Internet via rádio que alocam IPs privados (10.x, 192.168.x, 172.16.x) aos seus usuários possuem o mesmo problema. Para a rede externa, todas as conexões feitas por usuários daquele provedor vêm de um mesmo endereço.

A única maneira de registrar a atividade dos usuários, neste caso, é por meio do registro da atividade das “conexões” efetuadas dentro da rede, isto é, IP Y visitou a Linha Defensiva em tal horário T. Isto não é o que diz as explicações dadas pelo Senado e é inaceitável, pois, além de ter custos altos — por requerer um registro por site visitado –, viola profundamente a privacidade dos usuários comuns da rede, enquanto criminosos ainda terão o conhecimento para usar criptografia, proxies e outros recursos para defenderem-se destes registros.

O máximo que o provedor de internet que aloca IPs internos pode fazer é dizer quem estava online em um determinado horário. Assim, vários outros clientes do provedor serão considerados suspeitos e a investigação será dificultada.

Existe também a questão de usuários com conexões sem fio inseguras que podem ser abusadas por criminosos. Seriam estas pessoas consideradas culpadas apenas por não colocarem uma senha boa o suficiente em seu roteador? Se não, poderíamos culpar o café lá da universidade? Se também não, é bom deixar isso claro. Para se definir o culpado, é bom deixar claro quem é o inocente.

Para finalizar, não existe consenso se o armazenamento destas informações — qualquer que seja a interpretação certa — irá dificultar a vida dos criminosos de imediato, pois estes sempre podem fazer uso de outros computadores — inclusive máquinas infectadas — em vez de acessar a rede diretamente. Porém, se outros países tivessem políticas semelhantes a estas que o projeto está tentando impor aqui no Brasil, tal argumento não existiria. E a inoperância alheia não pode justificar a nossa.

Próxima página: As críticas ao projeto

Escrito por Altieres Rohr

Jornalista e tradutor. Editor dos sites Linha Defensiva e Garagem 42 e colunista de Segurança Digital no portal G1 da Rede Globo.

9 comentários

  1. O grande problema deste projeto, além de chegar justamente na hora em que as conexões e o acesso dos comuns à Internet começa a aumentar e ele com certeza vai frear isso, afinal que sempre paga o pato é quem vota, é o fato dele estar muito comfuso e genérico, o que vai dar margem para que muita gente interpretá-lo da forma que mais lhe convir.

    Teremos uma nova cetegoria de especialistas, parecida com a dos advogados de porta de cadeia, preparada para tentar tirar dinheiro de qualquer um que não siga as regras dos mais fortes. Tudo com base na lei, que é ambigua e vaga.

    Curtir

    Responder

  2. André Ataíde

    Toda regulamentação freia o desenvolvimento em algum nível, mas não adianta você ter um desenvolvimento enorme se o crime e outros problemas o acompanham. Frear parcialmente o desenvolvimento não é um argumento para deter um projeto de lei (é um agravante, dependendo do nível).

    Muitas leis brasileiras são ambíguas e vagas — já vi até juiz e desembargador reclamando disso na TV, não é conhecimento de poucos.

    O problema é quando você tem um trecho como o inciso I do artigo 22, que, diz o Senado, afirma uma coisa, porém usa uma linguagem que seria entendida por qualquer técnico como outra.

    Mas isso é só o problema de linguagem. O problema principal são as limitações no registro que pretende-se impor, como no caso do acesso sem fio, tanto público como privado.

    Curtir

    Responder

  3. Igor Estevam 02/08/2008 às 01:54

    Sua opinião está clara Altiere, mas esse projecto é uma revolução se tratando de Brasil!

    Curtir

    Responder

  4. Tô eu aqui tentando achar um erro na sua matematica mais é impossivel, e o que menos importa.

    É o tipo de coisa feito “nas coxas” como um bom brasileiro diria. Até acredito que a intenção é boa, mais totalmente inviável. Provavelmente muitos inocentes serão crucificados até conseguirem provar sua inocência.

    Curtir

    Responder

  5. é aqueles que crackeiam wireless? vão incriminar inocentes, e se uma criancinha baixar o cd da xuxa? ou se um gurizinho baixar os episodios do naruto?

    Curtir

    Responder

  6. vai ter muito inocente se ferando, isso não vai dar certo
    tem aqueles usam wireless crakiada

    Curtir

    Responder

  7. Na sua conta voce esqueceu completamente de incluir um detalhe muito importante. Ainda não foi definido a forma de armazenamento, e isto pode ter um impacto muito grande, e tambem não levou em conta a figura do auditor que o projeto quer criar de forma que se este projeto passar, pode inviabilzar pequenos centros de inclusão digital, e pequenos provedores. E posso garantir que este custo que voce esqueceu de incluir na conta pode superar a previsão da ABRANET.

    Curtir

    Responder

  8. João Carlos Caribé

    Como você vai colocar uma cifra em algo que não está definido? E por que a previsão da Abranet não iria considerar isso?

    O projeto diz que “os dados” e “as condições de segurança de sua guarda” serão definidos no regulamento. Mas as “condições de segurança” provavelmente serão iguais ou inferiores às praticadas em datacenters, porque estes já possuem um alto nível de segurança (restrição de acesso físico, câmeras e etc).

    Certificar uma condição mínima de segurança é importante para a proteção dos dados, pois estes só podem ser utilizados mediante ordem judicial e não por funcionários do provedor ou outras pessoas.

    E mesmo que o custo acabe sendo o dobro do estimado, R$30 milhões, isso aumentaria sua conta mensal de internet em 40 centavos. Para o mercado brasileiro, de preços altíssimos de conexão, ainda não é um custo alto.

    Pode ser que surjam serviços para terceirização de armazenamento destes dados, se houver demanda de provedores e instituições pequenas que precisam de auxílio, como hoje existe co-locations e aluguel de servidores para quem não tem condições de comprar um espaço em um datacenter.

    Já sobre os “centros de inclusão digital” foi a questão que falei na segunda página do artigo: “responsável pelo provimento de acesso a rede de computadores mundial” é vago. Pode ser que na jurisprudência os centros não sejam considerados “responsáveis” porque não mantém uma infra-estrutura própria de conexão nem se dizem “provedores de acesso”. Mas pode ser que sejam incluídos sim, e isso é um problema que reconheci na matéria.

    Curtir

    Responder

  9. pedro camilo 17/10/2008 às 12:17

    Em qualquer país sério do mundo, qualquer previsão vem de acompanhado de dados que as justifique.
    Mas como aqui tudo é feito de qualquer forma, o consumidor sempre pagará a conta.

    Qualquer valor que se fale agora é mera especulação.
    Qualquer engenheiro que já trabalhou em projetos – de grande vulto ou não – sabe que a previsão é baseada em dados de background e números, coisa que nossas leis “pulhas” não fazem, sempre deixando para posteriori estas definições – a corrupção impera!

    Curtir

    Responder

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Foto do Google

Você está comentando utilizando sua conta Google. Sair /  Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

Conectando a %s

Este site utiliza o Akismet para reduzir spam. Saiba como seus dados em comentários são processados.