Recomendações para Desenvolvimento e Operação da Internet/Br

tipo: Documentos
publicado em: 19 de agosto de 1999
por: CGI.br
idiomas:

Recomendações


Recomendações para o Desenvolvimento e Operação da Internet no Brasil
(19/08/1999)

O Comitê Gestor Internet Brasil (CGI.br) dentro das suas atribuições apresenta as recomendações a seguir que visam trazer à discussão temas de grande relevância para o desenvolvimento e a operação da Internet no País, estabelecendo condições para possibilitar uma maior segurança e melhor desempenho, bem como proporcionar meios adequados para identificação de práticas ilícitas na Internet/Br.

As recomendações estão agrupadas em três grandes blocos: aspectos gerais, provedores de backbone e provedores de acesso.

1. Aspectos Gerais
2. Provedores de Backbone
3. Provedores de Acesso


1. Aspectos Gerais

Dada as dimensões atuais da Internet/Br, faz-se necessária a adoção de padrões mínimos que permitam que todas as redes já conectadas à Internet brasileira desenvolvam-se simultânea e produtivamente em todos os setores.

1.1 Identificação de Origem de Chamada/Conexão

O acesso à Internet/Br é estabelecido em proporção significativamente maior via rede telefônica discada. A falta de identificação do número telefônico que origina as chamadas dificulta o rastreamento da origem de muitos ataques à segurança da rede e seus serviços.

Recomendação: Que fornecedores de meios de acesso (telefonia, cabos e outras tecnologias a serem empregadas) reservem, para o serviço de provimento de acesso, centrais que permitam a identificação inequívoca da origem da chamada, de modo que os provedores de acesso à Internet possam identificar sua origem.

A implementação desta recomendação deve ser precedida de uma ampla discussão pública com a participação das entidades de classe dos provedores de acesso, empresas de telecomunicações, ANATEL e usuários, visando, em um prazo de noventa dias, estabelecer um plano de implantação deste serviço de identificação.

1.2 Código de Ética

Dada a competitividade acirrada, natural da atividade econômica associada à Internet, e o pouco tempo da Internet comercial no país, faz-se necessária a existência de condutas éticas a serem seguidas por todos os envolvidos na Internet/Br.

Recomendação:
O Comitê Gestor preconizará a adoção de um Código de Ética a ser seguido na Internet/Br, elaborado a partir de sugestões emanadas das associações de provedores e usuários.

1.3 Proteção aos Usuários

Uma série de ataques, antes dirigidos aos computadores dos provedores de acesso (servidores), têm sido redirecionados para os computadores dos usuários finais. Os prejuízos causados por estes ataques variam desde a desconexão ou degradação dos serviços até a invasão e apropriação de dados ou destruição das condições de acesso do consumidor. Culturalmente a visão de segurança dos administradores das redes brasileiras têm utilizado filtros de acesso apenas para proteger seus equipamentos, arcando o usuário ou consumidor final com o ônus de sua especialização para prevenção e proteção.

A atividade de administração de uma rede multiusuário conectada à Internet implica também em fornecer condições mínimas de segurança ao consumidor final.

Recomendação:
Os provedores de acesso devem fornecer, além do serviço de conexão, informações e mecanismos necessários à proteção mínima dos usuários a eles conectados, por exemplo: filtrar portas que são utilizadas por serviços reconhecidamente nocivos, conforme divulgação de órgãos oficiais de suporte à Internet/Br ("NIC Br Security Office - NBSO" e "Computer Emergency Reponse Team - CERT").

1.4 Serviços DNS Configurados Corretamente

Visando prover identificação imediata dos computadores ligados à Internet brasileira, seguindo um padrão mundial de operação com registros direto e reverso de "Domain Name System" (DNS), faz-se necessário que todas as redes conectadas à Internet/Br implementem tais serviços.

Recomendação:
Todas as redes conectadas à Internet brasileira devem operar com registros direto e reverso de DNS corretamente configurados.

1.5 Contato de Segurança

Os procedimentos necessários para a solução de problemas de segurança têm sido prejudicados pela ausência de informações que levem à identificação de um responsável nas instituições envolvidas.

Recomendação:
Para toda rede conectada à Internet/Br deverá ser definido um profissional que será o responsável por todos os eventos e incidentes relacionados a segurança de redes e abuso de política de uso, definida em contrato de prestação de serviços. Os dados desse profissional devem ser tornados públicos e divulgados para que possam ser acessados quando necessário, tal como definido na RFC 2142: Mailbox names for Common Services, Rules and Functions(Mai/1997)


2. Provedores de Backbone

Para efeito deste documento, entende-se como provedores de backbone as entidades que transportam tráfego agregado de seus clientes, detêm blocos de endereços IP por delegação do Comitê Gestor Internet Brasil e vendam conectividade para acesso à rede Internet.

2.1 Serviços de Informação rwhois e whois

Os serviços de informação rwhois e whois caracterizam-se como bases de dados de acesso público que permitem a identificação, de forma rápida e direta, de nomes de domínios e blocos de números IP e seus respectivos responsáveis. Esses serviços já são oferecidos em diversos países.

Recomendação:
Os provedores de backbone INTERNET no Brasil devem oferecer, serviços públicos rwhois/whois que disponibilizem informações atualizadas sobre: a) identificação da rede, contendo a razão social e o endereço da empresa cliente; b) nome do domínio principal associado ao IP, conforme registrado no Serviço de Registro do Comitê Gestor (FAPESP) e c) identificação das pessoas responsáveis pelo contrato de prestação do serviço IP junto ao provedor de backbone, com nome e endereço completos (e não aliases).

2.2. Servidores NTP de Referência

Os Servidores NTP - "Network Time Protocol" provêm referência de tempo que permite aos clientes a sincronização dos relógios de seus computadores. Em diversos incidentes não tem sido possível determinar certos eventos ocorridos em redes distintas devido à falta de sincronização dos relógios dos computadores.

Recomendação:
Todo provedor de backbone no País deve oferecer o serviço de NTP a todos os seus clientes, de forma gratuita.

2.3 Equipe de Segurança

Em virtude da rápida evolução da Internet no Brasil a identificação e atendimento de incidentes de segurança têm sido tratados muitas vezes por equipes que acumulam outras funções, não respondendo com a agilidade necessária à solução desses problemas.

Recomendação:
Todo provedor de backbone deve criar uma equipe de segurança de redes IP dedicada a atender incidentes relacionados a backbone com origem ou destino em redes clientes de seu serviço. Esta equipe deve ser tornada pública e divulgada entre clientes e público externo, tal como definido na RFC 2350 - "Expectations for Computer Security Incident Response" e no documento Expectativas quanto a Grupos de Resposta a Incidente de Segurança em Computador (Jan/1999).

2.4 Contratos Com Política de Uso Aceitável

A Internet brasileira, apesar de seu crescimento expressivo nos últimos quatro anos, ainda opera com base em práticas herdadas de sua origem acadêmica ou herdadas de outros serviços de comunicações de dados. Em ambos os casos o resultado prático é que alguns contratos de prestação de serviço são omissos ou desatualizados para a realidade da Internet. Desvios graves de utilização da rede tem sido observados nos últimos anos e não puderam ser corrigidos em virtude das falhas dos termos contratuais.

Recomendação:
Revisar os termos dos contratos de forma a contemplar cláusulas mínimas que permitam aos provedores de backbone adotar medidas restritivas quanto ao uso indevido da rede.

2.5 Pontos de Troca de Tráfego

Com o crescimento do número de backbones para acesso à Internet no País, surge a necessidade de interconectá-los com o objetivo de racionalizar o uso dos recursos da rede, otimizando a troca de tráfego entre eles. A ausência deste serviço pode degradar o tempo de resposta associado às transações realizadas através da rede ou mesmo inviabilizá-las, sempre que o usuário e o provedor da informação estiverem conectados a distintos backbones. Este problema deve ser resolvido com a implantação de múltiplos e bem dimensionados Pontos de Troca de Tráfego - PTT entre os backbones.

Recomendação:
Que os provedores de backbone se conectem aos Pontos de Troca de Tráfego existentes atualmente no país (São Paulo), bem como aos novos PTT que venham a ser implantados como resultado dos estudos em andamento no âmbito do Comitê Gestor Internet Brasil.


3. Provedores de Acesso

Os provedores de acesso da Internet (comerciais, acadêmicos, governamentais, entidades de classe, organizações não governamentais, etc.) são os responsáveis pelo acesso final dos usuários na rede. Cabe a eles prover acesso dentro de condições mínimas de segurança, confiabilidade e privacidade, bem como providenciar meios que torne possível a identificação de práticas ilícitas ocorridas através da rede. Muitas vezes, em virtude de falhas, as contas dos usuários finais são utilizadas por terceiros implicando com isso em prejuízos e riscos desnecessários.

Por outro lado, deve-se evitar a criação de contas com dados falsos utilizadas para a prática de contravenções e crimes de natureza variada, já constatada na Internet brasileira.

3.1 Contratos com Política de Uso Aceitável e Dados Cadastrais Completos

Tendo em vista o crescimento geométrico da Internet brasileira, o registro de usuários não se deu com as informações necessárias para a perfeita identificação dos mesmos.

Recomendação:
Realizar o recadastramento das contas dos usuários, de forma a obter os dados cadastrais completos que permitam a identificação da pessoa física ou jurídica (nome ou razão social, CPF ou CNPJ e endereço completo), e definir a política de uso aceitável do serviço prestado.

3.2 Manutenção de Dados de Conexão

Os serviços de telefonia e transmissão de dados mantêm por um prazo de cinco anos os dados de conexões e chamadas realizadas por seus clientes para fins judiciais, inexistindo procedimento semelhante na Internet brasileira.

Recomendação:
Os provedores de acesso devem passar a manter, por um prazo mínimo de três anos, os dados de conexão e comunicação realizadas por seus equipamentos (identificação do endereço IP, data e hora de início e término da conexão e origem da chamada).

3.3 Fornecimento de Extrato Completo

Os serviços de telefonia, bancário e dos cartões de crédito informam em seus extratos mensais a natureza das chamadas, movimentos bancários ou os débitos do cartão de créditos. A utilização de procedimento semelhante na Internet/Br traz uma série de vantagens para os usuários que se sentem mais seguros, pois a qualquer momento poderão identificar a utilização indevida da sua conta. Essa segurança também é verificada no caso dos provedores, que passam a poder detectar a origem do uso de senhas roubadas ou acessos indevidos.

Recomendação:
Os provedores de acesso final devem disponibilizar para os seus clientes dados que permitam a estes acompanhar os acessos realizados às suas contas contendo os horários e a duração das conexões realizadas e, desde que as condições técnicas permitam, a identificação da origem da chamada.

3.4 Registro de Domínio

Vários provedores comerciais têm mantido seu registro de domínio de primeiro nível com a extensão .com; isto tem inviabilizado a identificação destes provedores pelo sistema de registro de domínio no Brasil. Dado a importância e necessidade de se conhecer a base brasileira de provedores de acesso, o Comitê Gestor criou o domínio .psi, específico para os provedores de acesso.

Recomendação:
Os provedores de acesso comerciais devem registrar-se também no domínio .psi, podendo manter o .com. O Comitê Gestor para fins de divulgação da lista de provedores de acesso considerará os inscritos no domínio .psi.

3.5 Manual de Orientação aos Usuários

Tendo em vista a necessidade de adequação à legislação de defesa do consumidor.

Recomendação:
Os provedores de acesso deverão fornecer aos usuários um manual com orientações/procedimentos para navegar na rede com mais segurança; devendo estar incluídas nesse manual, entre outras, orientações sob formas de controle de conteúdo (filtros, anti-vírus e configurações protetoras, etc.). Este manual pode ser impresso ou distribuído por qualquer meio.