Cryptorave 2014: A quem interessa a guarda de logs?

Em abril de 2014, aconteceu a Cryptorave 2014. Uma de suas apresentações foi “A quem interessa a guarda de logs?”, que pode ser assistida no YouTube. Para comodidade dos interessados, trago aqui um resumo do que é apresentado. Assim, os 103 minutos são comprimidos em apenas 4 (>96% de compressão)!

Palestrante: Paulo Rená.

Resumo

Logs são registros. Podem ser registros de conexão à internet, quando um dispositivo ganha um endereço IP para se comunicar, ou registros de acesso a serviços online, quando por exemplo, um IP acessa o e-mail ou o Skype. Todos esses são meta-dados, ou seja, dados sobre os dados. Quando você baixa algo, por exemplo, você diz qual seu IP, e o servidor ou o peer envia o(s) arquivo(s) para esse endereço. Além disso, existem outros dados destinados a ordenar os fragmentos (pacotes) de informação quando alcançarem a máquina final.

Mesmo se você tiver um nome de usuário de um serviço, tais metadados ainda existem: os usuários do Twitter têm um IP cada um, que faz a conexão entre os servidores do Twitter e os computadores individuais dos usuários. O problema é que os usuários não têm como saber quais metadados e como estes estão sendo armazenados e processados pelos provedores de serviços.

Quando uma pessoa não tem controle sobre quais dados vão ser capturados/produzidos sobre ela, ela tem sua liberdade reduzida, ela tem menos poder de decisão, ela tem mais informação incontrolável sobre si. Tá, o prefeito pode monitorar a movimentação dos cidadãos pelo celular para ver onde precisa de linha de ônibus, mas é mesmo necessário invadir essa área privada da vida da pessoa para prestar esse serviço? Quando uma empresa decide produzir/capturar metadados sobre alguém, esse alguém não participa das decisões. As escolhas são feitas a portas fechadas dentro de empresas, geralmente pelo diretor.

Rubens: o Marco Civil pecou ao ordenar a guarda de log nas duas pontas, ou seja, nos provedores de serviço E provedores de conexão. Aí deixam de ser metadados sem importância e passam a ser registros muito exatos de quem viu o quê, e quando. E “partes interessadas” (sem esclarecer limites) podem solicitar esses logs todos! – Artigos 13, 15 e 22. Se alguém tiver que pegar alguma informação mesmo, se for realmente necessário, vai ter acesso a muito mais informações do que o que busca, dá pra ver a vida inteira da pessoa ali.

Sérgio Amadeu: é muito difícil uma pessoa não deixar um log, um rastro, quando fizer um ataque. Seria preciso atacar, e depois destruir o log. Mas quando alguém invade um banco, ele dá o endereço IP usado, se não não tem comunicação, e sem comunicação entre as máquinas não tem ataque. É preciso ter técnica para conseguir esconder isso, não é qualquer pessoa que faz. Mesmo quem tem a técnica, pode ser levado a uma armadilha, “comer mosca” em algum ponto, esquecer de fazer algo, e ser rastreado. Então, até que ponto se justifica tratar todo mundo como culpado e manter sob vigilância por logs? As pessoas comuns deixam rastro por todo lado! As pessoas comuns é que estão na mira.

Quanto ao “quem não deve não teme”… Eu sou um cara legal, não roubo, não faço na errado. Então eu quero a chave da sua casa. Só quero entrar, saber o que você vê na TV, o que tem na sua geladeira, se você usa cartão de crédito ou cheque e aonde deixa, esse tipo de coisa. Mas não é pra te roubar não, tá? Deixa? NÃO! Ué, e porquê deixa o Google, a Microsoft, o Putin, o Obama, o 1º ministro da China saberem? Esse tratamento desigual entre pessoas físicas e jurídicas me chateia.

Lucas Bastos: existe a ideia de não guardar os IPs inteiros dos usuários, para evitar problemas de privacidade.

Paulo Rená outra vez:
Existe uma loja no exterior, tipo uma Casas Bahia, mas mais de nicho: Target. Ela, através do hábito de compras dos consumidores, consegue definir com uns 89% de previsão se a mulher vai engravidar. Por exemplo, ao trocar cerveja e preservativos por vinho e nada para evitar gravidez, ou idas ao cinema, etc. Aí, por exemplo, aos 6 meses começa a receber anúncios de produtos para grávidas, e aos 8 produtos para bebês. Ótimo?

Não necessariamente… Uma casa começou a receber estes anúncios, e o pai foi nervoso à loja mais próxima pois sua filha tinha 16 anos (menor de idade) e os anúncios chegando no nome dela estavam incomodando. Algum tempo depois, ele voltou, e pediu desculpas, dizendo que “aconteceram coisas em sua casa de que ele não estava plenamente ciente“. Parece que nem a filha sabia que tinha engravidado ainda! E se ela quisesse aguardar um momento mais opotuno para contar à família? Será que ela gostou de descobrir a gravidez dessa forma? Não se está invadindo a liberdade/privacidade da pessoa? Isso é feito em massa!

Deixe uma resposta

O seu endereço de e-mail não será publicado.

*