|
Acessibilidade do site
Recomendações para o Desenvolvimento
e Operação da Internet no Brasil
O Comitê Gestor Internet Brasil (CGI.br) dentro das suas atribuições apresenta as
recomendações a seguir que visam trazer à discussão temas de grande relevância para o
desenvolvimento e a operação da Internet no País, estabelecendo condições para
possibilitar uma maior segurança e melhor desempenho, bem como proporcionar meios
adequados para identificação de práticas ilícitas na Internet/Br.
As recomendações estão agrupadas em três grandes blocos: aspectos gerais, provedores
de backbone e provedores de acesso.
1.
Aspectos Gerais
2. Provedores de Backbone
3.
Provedores de Acesso
1.
Aspectos Gerais
Dada as dimensões atuais da Internet/Br, faz-se necessária a adoção de padrões
mínimos que permitam que todas as redes já conectadas à Internet brasileira
desenvolvam-se simultânea e produtivamente em todos os setores.
1.1 Identificação de Origem de Chamada/Conexão
O acesso à Internet/Br é estabelecido em proporção significativamente maior via rede
telefônica discada. A falta de identificação do número telefônico que origina as
chamadas dificulta o rastreamento da origem de muitos ataques à segurança da rede e seus
serviços.
Recomendação: Que fornecedores de meios de acesso (telefonia,
cabos e outras tecnologias a serem empregadas) reservem, para o serviço
de provimento de acesso, centrais que permitam a identificação inequívoca
da origem da chamada, de modo que os provedores de acesso à Internet
possam identificar sua origem.
A implementação desta recomendação deve ser precedida de uma ampla discussão pública
com a participação das entidades de classe dos provedores de acesso, empresas de
telecomunicações, ANATEL e usuários, visando, em um prazo de noventa dias, estabelecer
um plano de implantação deste serviço de identificação.
1.2 Código de Ética
Dada a competitividade acirrada, natural da atividade econômica associada à Internet, e
o pouco tempo da Internet comercial no país, faz-se necessária a existência de condutas
éticas a serem seguidas por todos os envolvidos na Internet/Br.
Recomendação: O Comitê Gestor preconizará a adoção de um Código
de Ética a ser seguido na Internet/Br, elaborado a partir de sugestões
emanadas das associações de provedores e usuários.
1.3 Proteção aos Usuários
Uma série de ataques, antes dirigidos aos computadores dos
provedores de acesso (servidores), têm sido redirecionados para os computadores dos
usuários finais. Os prejuízos causados por estes ataques variam desde a desconexão ou
degradação dos serviços até a invasão e apropriação de dados ou destruição das
condições de acesso do consumidor. Culturalmente a visão de segurança dos
administradores das redes brasileiras têm utilizado filtros de acesso apenas para
proteger seus equipamentos, arcando o usuário ou consumidor final com o ônus de sua
especialização para prevenção e proteção.
A atividade de administração de uma rede multiusuário conectada à Internet implica
também em fornecer condições mínimas de segurança ao consumidor final.
Recomendação: Os provedores de acesso devem fornecer, além do serviço de conexão,
informações e mecanismos necessários à proteção mínima dos usuários a eles
conectados, por exemplo: filtrar portas que são utilizadas por serviços reconhecidamente
nocivos, conforme divulgação de órgãos oficiais de suporte à Internet/Br ("NIC
Br Security Office - NBSO" e "Computer Emergency Reponse Team - CERT").
1.4 Serviços DNS Configurados Corretamente
Visando prover identificação imediata dos computadores ligados à Internet
brasileira, seguindo um padrão mundial de operação com registros direto e reverso de
"Domain Name System" (DNS), faz-se necessário que todas as redes conectadas à
Internet/Br implementem tais serviços.
Recomendação: Todas as redes conectadas à Internet
brasileira devem operar com registros direto e reverso de DNS corretamente configurados.
1.5 Contato de Segurança
Os procedimentos necessários para a solução de problemas de segurança têm sido
prejudicados pela ausência de informações que levem à identificação de um
responsável nas instituições envolvidas.
Recomendação: Para toda rede conectada à Internet/Br deverá ser
definido um profissional que será o responsável por todos os eventos e
incidentes relacionados a segurança de redes e abuso de política de uso, definida em
contrato de prestação de serviços. Os dados desse profissional devem ser tornados
públicos e divulgados para que possam ser acessados quando necessário, tal
como definido na RFC 2142: Mailbox names for Common
Services, Rules and Functions (Mai/1997)
2.
Provedores de Backbone
Para efeito deste documento, entende-se como provedores de backbone as entidades que
transportam tráfego agregado de seus clientes, detêm blocos de endereços IP por
delegação do Comitê Gestor Internet Brasil e vendam conectividade para acesso à rede
Internet.
2.1 Serviços de Informação rwhois e whois
Os serviços de informação rwhois e whois caracterizam-se como bases de dados de acesso público que permitem a
identificação, de forma rápida e direta, de nomes de domínios e blocos de números IP
e seus respectivos responsáveis. Esses serviços já são oferecidos em diversos países.
Recomendação: Os provedores de backbone INTERNET no Brasil devem oferecer, serviços públicos rwhois/whois que disponibilizem informações atualizadas sobre: a)
identificação da rede, contendo a razão social e o endereço da empresa cliente; b)
nome do domínio principal associado ao IP, conforme registrado no Serviço de Registro do
Comitê Gestor (FAPESP) e c) identificação das pessoas responsáveis pelo contrato de
prestação do serviço IP junto ao provedor de backbone, com nome e endereço completos
(e não aliases).
2.2. Servidores NTP de Referência
Os Servidores NTP - "Network Time Protocol" provêm referência de tempo
que permite aos clientes a sincronização dos relógios de seus computadores. Em diversos
incidentes não tem sido possível determinar certos eventos ocorridos em redes distintas
devido à falta de sincronização dos relógios dos computadores.
Recomendação: Todo provedor de backbone no País deve oferecer o serviço de NTP a todos os seus clientes, de forma gratuita.
2.3 Equipe de Segurança
Em virtude da rápida evolução da Internet no Brasil a identificação e atendimento de
incidentes de segurança têm sido tratados muitas vezes por equipes que acumulam outras
funções, não respondendo com a agilidade necessária à solução desses problemas.
Recomendação: Todo provedor de backbone deve criar uma
equipe de segurança de redes IP dedicada a atender incidentes relacionados a backbone com
origem ou destino em redes clientes de seu serviço. Esta equipe deve ser tornada pública
e divulgada entre clientes e público externo, tal como definido na RFC 2350
- "Expectations for Computer Security Incident Response" e no
documento Expectativas quanto
a Grupos de Resposta a Incidente de Segurança em Computador (Jan/1999).
2.4 Contratos Com Política de Uso Aceitável
A Internet brasileira, apesar de seu crescimento expressivo nos últimos quatro anos,
ainda opera com base em práticas herdadas de sua origem acadêmica ou herdadas de outros
serviços de comunicações de dados. Em ambos os casos o resultado prático é que alguns
contratos de prestação de serviço são omissos ou desatualizados para a realidade da
Internet. Desvios graves de utilização da rede tem sido observados nos últimos anos e
não puderam ser corrigidos em virtude das falhas dos termos contratuais.
Recomendação: Revisar os termos dos contratos de forma a contemplar cláusulas
mínimas que permitam aos provedores de backbone adotar medidas restritivas quanto ao uso
indevido da rede.
2.5 Pontos de Troca de Tráfego
Com o crescimento do número de backbones para acesso à Internet no País, surge a
necessidade de interconectá-los com o objetivo de racionalizar o uso dos recursos da
rede, otimizando a troca de tráfego entre eles. A ausência deste serviço pode degradar
o tempo de resposta associado às transações realizadas através da rede ou mesmo
inviabilizá-las, sempre que o usuário e o provedor da informação estiverem conectados
a distintos backbones. Este problema deve ser resolvido com a implantação de múltiplos
e bem dimensionados Pontos de Troca de Tráfego - PTT entre os backbones.
Recomendação: Que os provedores de backbone se conectem aos Pontos de Troca de
Tráfego existentes atualmente no país (São Paulo), bem como aos novos PTT que venham a
ser implantados como resultado dos estudos em andamento no âmbito do Comitê Gestor
Internet Brasil.
3.
Provedores de Acesso
Os provedores de acesso da Internet (comerciais, acadêmicos, governamentais, entidades de
classe, organizações não governamentais, etc.) são os responsáveis pelo acesso final
dos usuários na rede. Cabe a eles prover acesso dentro de condições mínimas de
segurança, confiabilidade e privacidade, bem como providenciar meios que torne possível
a identificação de práticas ilícitas ocorridas através da rede. Muitas vezes, em
virtude de falhas, as contas dos usuários finais são utilizadas por terceiros implicando
com isso em prejuízos e riscos desnecessários.
Por outro lado, deve-se evitar a criação de contas com dados falsos utilizadas para a
prática de contravenções e crimes de natureza variada, já constatada na Internet
brasileira.
3.1 Contratos com Política de Uso Aceitável e Dados Cadastrais Completos
Tendo em vista o crescimento geométrico da Internet brasileira, o registro de usuários
não se deu com as informações necessárias para a perfeita identificação dos mesmos.
Recomendação: Realizar o recadastramento das contas dos usuários,
de forma a obter os dados cadastrais completos que permitam a identificação da pessoa
física ou jurídica (nome ou razão social, CPF ou CNPJ e endereço completo), e definir
a política de uso aceitável do serviço prestado.
3.2 Manutenção de Dados de Conexão
Os serviços de telefonia e transmissão de dados mantêm por um prazo de cinco anos os
dados de conexões e chamadas realizadas por seus clientes para fins judiciais,
inexistindo procedimento semelhante na Internet brasileira.
Recomendação: Os provedores de acesso devem passar a manter, por um
prazo mínimo de três anos, os dados de conexão e comunicação realizadas
por seus equipamentos (identificação do endereço IP, data e hora de início
e término da conexão e origem da chamada).
3.3 Fornecimento de Extrato Completo
Os serviços de telefonia, bancário e dos cartões de crédito informam em seus extratos
mensais a natureza das chamadas, movimentos bancários ou os débitos do cartão de
créditos. A utilização de procedimento semelhante na Internet/Br traz uma série de
vantagens para os usuários que se sentem mais seguros, pois a qualquer momento poderão
identificar a utilização indevida da sua conta. Essa segurança também é verificada no
caso dos provedores, que passam a poder detectar a origem do uso de senhas roubadas ou
acessos indevidos.
Recomendação: Os provedores de acesso final devem disponibilizar para os seus
clientes dados que permitam a estes acompanhar os acessos realizados às suas contas
contendo os horários e a duração das conexões realizadas e, desde que as condições
técnicas permitam, a identificação da origem da chamada.
3.4 Registro de Domínio
Vários provedores comerciais têm mantido seu registro de domínio de primeiro nível com
a extensão .com; isto tem inviabilizado a identificação destes provedores
pelo sistema de registro de domínio no Brasil. Dado a importância e necessidade de se
conhecer a base brasileira de provedores de acesso, o Comitê Gestor criou o domínio .psi, específico para os provedores de acesso.
Recomendação: Os provedores de acesso comerciais devem registrar-se
também no domínio .psi, podendo manter o .com. O
Comitê Gestor para fins de divulgação da lista de provedores de acesso
considerará os inscritos no domínio .psi.
3.5 Manual de Orientação aos Usuários
Tendo em vista a necessidade de adequação à legislação de defesa do
consumidor.
Recomendação: Os provedores de acesso deverão fornecer aos usuários
um manual com orientações/procedimentos para navegar na rede com mais
segurança; devendo estar incluídas nesse manual, entre outras, orientações
sob formas de controle de conteúdo (filtros, anti-vírus e configurações
protetoras, etc.). Este manual pode ser impresso ou distribuído por
qualquer meio.