Total de visualizações de página

domingo, 22 de novembro de 2020

O provedor de internet pode rastrear os sites que você visita?

=======.=.=.= =---____---------   ---------____------------____::_____   _____= =..= = =..= =..= = =____   _____::____--------------______---------   -----------____---.=.=.=.= ====


Tira-dúvidas comenta questões técnicas e legais sobre rastreamento de navegação.  
===+===.=.=.= =---____---------   ---------____------------____::_____   _____= =..= = =..= =..= = =____   _____::____-------------______---------   ----------____---.=.=.=.= +====
TOPO
Por Altieres Rohr
É fundador de um site especializado na defesa contra ataques cibernéticos
19/11/2020 07h00 Atualizado há 3 dias
Postado em 22 de novembro de 2020 às 12h35m

  *.- Post.N. -\- 3.884 -.*  

Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados etc.), envie um e-mail para g1seguranca@globomail.com. A coluna responde perguntas deixadas por leitores às terças e quintas-feiras.

Marco Civil proíbe que provedores armazenem dados de navegação dos usuários. — Foto: Mario Alberto Magallanes Trejo/FreeImages
Marco Civil proíbe que provedores armazenem dados de navegação dos usuários. — Foto: Mario Alberto Magallanes Trejo/FreeImages

Estou suspeitando que meu provedor de internet acompanha o histórico de navegação da minha casa. Isso é possível? – Paulo

É "possível", Paulo, mas há limitações técnicas, dificuldades e até ilegalidades, dependendo das circunstâncias.

Do lado jurídico, o Marco Civil da Internet (Lei 12.965/2014) estabelece que não é permitido registrar acessos a aplicações (sites) na provisão de acesso à internet.

Mas você precisa ter cuidado com serviços adicionais oferecidos pelos provedores – isso inclui apps ou programas instalados no seu computador.

Esses serviços não fazem parte do "acesso à internet" e podem ter suas próprias regras. Porém, qualquer coleta de dados deve ser prevista em contrato.

Do ponto de vista técnico, o provedor poderia registrar o endereço de domínio dos sites que você visita, mas as páginas específicas acessadas em geral não ficam visíveis na conexão.

Por exemplo: o provedor poderia saber que você visitou o G1 ("g1.globo.com"), mas não que você está lendo este texto.

De modo geral, o provedor só vai registrar a atividade dos seus usuários após receber uma ordem judicial (para monitorar um investigado, por exemplo).

Fora disso, se você achar que está sendo monitorado e tem alguma prova concreta disso, é conveniente abrir uma reclamação no Procon ou procurar o auxílio de um advogado.

Marco Civil da Internet proíbe registro

O artigo 14 da lei afirma que "na provisão de conexão, onerosa ou gratuita, é vedado guardar os registros de acesso a aplicações de internet".

Pela definição dada no texto da própria lei, "aplicações de internet" são os sites e serviços utilizados. Dessa forma, o provedor é legalmente proibido de registrar essas informações como parte da prestação de serviços de conexão.

Perceba, porém, que a proibição vale apenas para o para a "provisão de conexão". Muitos provedores oferecem pacotes ou cestas com diversos serviços que não são apenas de conexão. Se a coleta de dados for realizada a partir de um desses outros serviços, a questão jurídica já fica mais complicada.

É sempre importante conferir o contrato de serviços, mas é ainda mais importante fazer isso quando você for contratar outros serviços.

Agora que a Lei Geral de Proteção de Dados (LGPD) também está em vigor, é obrigatório obter o consentimento do consumidor antes de coletar qualquer informação, então tudo precisa estar no contrato.

Por que parte do endereço dos sites fica visível?

A maioria dos sites é acessada por meio do HTTPS (HTTP seguro), que usa criptografia para garantir a privacidade da conexão.

O HTTPS oculta o endereço completo da página visitada, de modo que apenas o nome de domínio ("g1.globo.com" ou "g1.com.br") seja visível para os intermediários da conexão, como o provedor.

Mas a ideia de capturar a navegação bisbilhotando o HTTP (com ou sem segurança) é complicada: pode ser caro realizar análise de tráfego em grandes volumes de dados para extrair essa informação.

De acordo com o Google, 87% do tráfego web no Brasil é criptografado com HTTPS, então uma grande parcela dos endereços ficaria inacessível se o rastreamento fosse realizado por essa via. Além disso, seria completamente ilegal.

É por isso que um provedor teria mais facilidade, tecnicamente falando, para realizar a coleta de dados por DNS. O DNS funciona como um "102" ou "lista telefônica" da internet, permitindo converter os "nomes" (como g1.com.br) em números (endereços de IP).

Esse serviço sempre precisa ser consultado quando você acessa um site pela primeira vez, já que a internet precisa do endereço de IP para realizar a conexão.

A não ser que você tenha personalizado a configuração de DNS, o serviço que você usa é mantido pelo seu provedor. Sendo assim, o provedor pode enxergar essas consultas e saber quais sites você está visitando. E ele não precisa realizar nenhuma análise de tráfego.

Porém, o DNS também informa apenas o nome de domínio (como "g1.com.br") e não a página específica que você está visitando.

Infelizmente, o Marco Civil da Internet não especifica se o DNS faz parte da "provisão de acesso". Na opinião deste blog, o DNS do provedor é parte integral da prestação de serviços de internet e, portanto, não deve ser permitido monitorá-lo, nem mesmo com previsão contratual para isso.

Contudo, a discussão legal permanecerá aberta até que a Justiça se manifeste. De uma forma ou de outra, o provedor deve informar contratualmente qualquer monitoramento ou alteração no DNS.

Alguns navegadores já utilizam uma tecnologia chamada DNS over HTTPS (DNS sobre HTTPS, DoH), que criptografa as solicitações de DNS e esconde esse tráfego de qualquer análise do provedor.

No Firefox, o DoH pode ser ativado em Opções > Geral > Configurar conexão... (opção no fim da página) > Ativar DNS sobre HTTPS. Essa opção é especialmente útil se você costuma utilizar redes Wi-Fi públicas.

Configuração de DNS sobre HTTPS no Firefox. — Foto: Reprodução
Configuração de DNS sobre HTTPS no Firefox. — Foto: Reprodução

Cuidado com aplicativos

Caso o provedor exija a instalação de programas ou aplicativos em seu celular, é possível que esses programas coletem informações a partir do seu próprio dispositivo.

Nesse caso, nem sempre haverá limite técnico para o que pode ser coletado.

Os limites jurídicos, porém, ainda valem. No Brasil, é obrigatório que os provedores informem quais dados serão coletados e como eles serão usados.

Em países com regimes autoritários, não é incomum que toda e qualquer medida técnica viável seja utilizada para registrar a navegação dos usuários. É por isso que o blog já comentou sobre a utilidade dos serviços de VPN ao viajar para o exterior.

Dúvidas sobre segurança digital? Envie um e-mail para g1seguranca@globomail.com

------++-====-----------------------------------------------------------------------=================---------------------------------------------------------------------------------====-++------