O caso do Planalto, identificação na internet e o Marco Civil

Existem muitos temas complicados quando se trata de internet. E, por isso, para mim chega ser dolorido quando especialistas resolvem colocar lenha na fogueira de fatos que são, no máximo, cortina de fumaça — só deixam tudo meio cinza e borrado, mas pouco importam.

É caso da edição dos artigos de dois jornalistas, na Wikipédia, através da rede do Palácio do Planalto, ou seja, da Presidência da República.

O primeiro erro, e o que transformou esse fato em algo aparentemente importante, é supor que a Presidência da República teve alguma relação com as alterações. Não mesmo. Se queremos provar isso, precisamos de um documento, uma conversa, uma instrução por parte da presidência para que essa crítica seja feita aos referidos perfis. Não temos isso. O que temos é um endereço IP, que alterou duas páginas da Wikipédia num período de 4 dias (10-13 de maio de 2013). Não parece algo sistemático.

Isolar as alterações que foram feitas pela rede da presidência do constante vandalismo que as páginas dos jornalistas já sofriam – de endereços de toda a internet brasileira – pouco contribui para se compreender a realidade. Vou repetir, em termos claros: o vandalismo feito a partir da rede da presidência era só mais um entre tantos. Isso é sistemático.

Sabendo, então, que esse vandalismo é corrente (não só nessas páginas da Wikipédia, vale dizer), vamos analisar: é possível que o Planalto identifique quem fez essa alteração?

Eis aí o segundo erro: o acesso foi feito há mais de um ano, quando o Marco Civil da Internet não estava em vigor. Mas, se estivesse, o Planalto não tem obrigação de ter registro algum ou, ainda, pode ser completamente proibido de ter qualquer registro.

Querer exigir qualquer coisa do Planalto agora – mais de um ano depois do fato ocorrido, e quando a legislação atual já decide por não punir nesses casos -, é, pra resumir, mimimi.

O provedor e o registro de conexão

Para acessos normais à web, a identificação de um internauta é feita de maneira simples. Um provedor de conexão (Oi, GVT, Vivo, NET, etc) mantém um registro que associa um IP conectado em um horário a um usuário. Quando você se conecta, o provedor marca que o IP tal foi associado à sua conta de internet. Quando você desconecta, esse evento também é marcado.

Quando alguém precisa identificar um usuário, o provedor verifica em seu registro qual era o usuário que estava on-line em determinado período. Assim, o usuário é identificado. Mas nem sempre tudo é tão bonitinho.

NAT e redes internas

O problema começa quando há redes internas, ou melhor, redes com a tecnologia de Network Address Translation — NAT. Uma padaria que oferece Wi-Fi aos seus clientes, por exemplo. Um cliente de ADSL que configurou um Wi-Fi aberto e deixou todos os vizinhos utilizarem a rede. Nesse caso, a identificação do provedor levará apenas ao “dono da linha” e não a quem realmente usou a conexão, porque o provedor forneceu apenas um IP e há mais usuários do que IPs, o que resulta no compartilhamento do endereço.

Aqui, muita gente tenta colocar “lenha na fogueira” dizendo que o Marco Civil não deixa claro se a presidência da República, ao fornecer o acesso à internet, precisa manter a guarda dos registros. Diz o Marco Civil:

Art. 13. Na provisão de conexão à Internet, cabe ao administrador de sistema autônomo respectivo o dever de manter os registros de conexão, sob sigilo, em ambiente controlado e de segurança, pelo prazo de um ano, nos termos do regulamento.

Vamos começar pelo fim. O que é o registro de conexão? É aquela informação que o provedor armazena, somente com IP, data e hora:

VI – registro de conexão: conjunto de informações referentes à data e hora de início e término de uma conexão à Internet, sua duração e o endereço IP utilizado pelo terminal para o envio e recebimento de pacotes de dados;

Quem é o “administrador de sistema autônomo”? Sistema autônomo não se trata de um juridiquês. É termo técnico. Sistemas autônomos são redes independentes de livre conexão e podem ou não receber um número (chamado de ASN – Número de Sistema Autônomo, em inglês).

Em definições antigas, a rede do Palácio do Planalto não seria um sistema autônomo, porque não possui seu próprio ASN. Em definições mais novas, a rede se encaixa como sistema autônomo, tendo, portanto, a responsabilidade descrita no artigo 13.

O problema é que, apesar disso, o Planalto não é provedor de internet. Armazenar os “registros de conexão” solicitados pelo Marco Civil iria somente identificar quais funcionários e/ou computadores estão on-line em determinado momento. Na “saída” para a internet, todos os computadores apresentam um mesmo endereço IP.

Os sites de internet não conseguem ver essa informação. Logo, o Planalto poderia nos dar uma lista com algumas centenas de suspeitos. Não ajudaria muito.

Identificando o usuário por registro de aplicação

Eis como o Planalto poderia identificar o autor das alterações. Primeiro, teria de ser criado um sistema de cadastro e um banco de dados idêntico àquele que os provedores mantêm, com o IP de cada usuário. Existem diferentes maneiras técnicas de fazer isso.

O Planalto teria também de armazenar informações sobre todos os sites acessados por cada usuário. Depois, ele poderia associar cada acesso específico a um IP interno, e o IP ao usuário.

O Marco Civil da Internet chama isso de “registro de acesso à aplicação”:

VIII – registros de acesso a aplicações de Internet: conjunto de informações referentes à data e hora de uso de uma determinada aplicação de Internet a partir de um determinado endereço de IP.

O detalhe? A Presidência da República, se for considerada “provedor de internet”, não pode armazenar esses dados.

Art. 14. Na provisão de conexão, onerosa ou gratuita, é vedado guardar os registros de acesso a aplicações de Internet.

Para uma exceção, é preciso pedido da Justiça.

Ou seja:

• Se o Planalto não for considerado provedor pela Justiça, ele não tem obrigação de ter os registros necessários para identificar o autor;
• Se o Planalto for considerado provedor pela Justiça, ele está proibido de ter os registros necessários para identificar o autor.

Diante disso, é muito claro que a aplicação do Marco Civil não pune o Planalto de nenhuma forma[1. Mas, é claro, não me responsabilizo por interpretações de tribunais que coloquem o texto da lei em plano secundário.].

Eis como a coisa deveria acontecer: a alteração no perfil a partir da rede da presidência é feita e alguém denuncia. Aí, uma ordem da Justiça obriga a presidência a guardar todos os registros de edição à Wikipédia. O usuário é então identificado numa alteração subsequente. Sim, é complicado.

A realidade é que o Marco Civil optou por uma regulamentação de internet que é menos onerosa para redes menores e quando teve de decidir entre privacidade ou identificação de crimes, pendeu para a privacidade. A alternativa era por obrigar empresas e instituições de todo tipo a realizarem espionagem prévia em todas as pessoas. O que é caro e perigoso.

Soluções bonitinhas, mas ordinárias

X-Forwarded-For

Um dia alguém pensou em todos esses problemas e inventou uma coisa chamada X-Forwarded-For (XFF). Funciona assim: um sistema intermediário (como o da Presidência) coloca uma informação extra no acesso à sites de internet. Essa informação identifica qual o endereço IP da rede interna que iniciou o acesso. Dessa maneira, a rede de origem não precisa armazenar os dados de acesso – apenas o registro de conexão.

O provedor de aplicação (nesse caso a Wikipédia), que pode e deve armazenar os registros (por seis meses[2. Se a Wikipédia apagasse os dados depois do prazo exigido pelo Marco Civil, nem saberíamos desse caso.]), teria capacidade de dizer qual o endereço IP da rede interna da Presidência fez a alteração. O Planalto então identificaria qual usuário estava com esse IP naquele dia. Caso resolvido.

O problema é que isso só funciona para sites de internet. Além disso, o X-Forwarded-For pode ser incluído por qualquer pessoa, inclusive aquelas que não acessam a internet por meio de um intermediário. Isso faz com que a confiabilidade do XFF seja muito baixa e, em muitos casos, os sistemas não armazenam essa informação por um simples fato: não vale a pena.

O XFF funciona perfeitamente para os chamados proxies reversos, balanceadores de carga e outros sistemas. Mas isso é uma conversa diferente e não nos ajuda nesse caso.

Endereço físico ou MAC

Alguns espertos dizem que uma solução para identificar as pessoas em redes Wi-Fi ou outras redes é associar o acesso ao endereço MAC — Media Access Control. Esse é um endereço usado pela própria placa de rede do computador e é mais ou menos único, o que permitiria identificar alguém.

O problema é que o endereço MAC é muito fácil de ser mudado. Inclusive, há uma opção dentro do próprio Windows para isso. Na pior das hipóteses, você pode comprar um placa de rede Wi-Fi em USB por R$ 25 – ela terá seu próprio endereço MAC.

Para que o MAC tenha qualquer chance de funcionar como controle de acesso, ele precisa estar associado a um sistema de cadastro, que vincule o endereço a um usuário específico e que haja um bloqueio de MACs não cadastrados. Assim, se o usuário tentar falsificar o MAC, ele fica sem conexão. Porém, ainda é possível usar o MAC de outro usuário e é fácil de ver todos os MACs conectados em uma rede para pegar um endereço falso. Ou seja, você pode se passar por outra pessoa.

A solução para isso é criar uma senha no cadastro e só liberar o MAC mediante a digitação da senha. Mas se vamos criar uma senha, o MAC vira artigo de decoração.

Identificar usuários de redes internas na internet de hoje é complicado. Mas não vale a pena gastar muitos esforços com isso, porque o problema deve ser resolvido em breve no IPv6. Ou pelo menos é isso que se espera.

No entanto, o Marco Civil não exige de empresas ou de nenhuma outra organização cujo negócio não seja operar serviços de internet a manutenção de qualquer registro. Logo, o problema continua, pelo menos até que esses acessos secundários sejam regulamentados.