Confiabilidade e dados transparentes nos domínios da internet

📃 Legislação, Normas e Políticas
1

Toda vez que entramos num site com supostas informações públicas confiáveis (ex. acesso ao inteiro teor das leis do seu município), ou com supostos serviços privados confiáveis (ex. o seu internet banking), a única e principal garantia de que não estamos entrando “numa roubada” é o nome de domínio — por exemplo esta página está sob o domínio dadosAbertos.social.

Quem é responsável pelas informações e pelos serviços online é o “dono do domínio”. Se for um site institucional, provavelmente o “dono” vai se revelar numa página do tipo “Quem somos”… Mas quem garante que ele é quem diz que é? Ou como obter a ficha completa se a página não indica o CPNJ?

No Brasil quem cuida dos nomes de domínio .br é o http://Registro.br , e tem sido um grande aliado da transparência: exige confirmação do CNPJ e, além disso, publica todos os dados no seu “diário oficial” — antes conhecido como WHOIS, o “protocolo dedo duro” do nome de domínio ficou obsoleto, agora em 2020 está (aos poucos) sendo substituído pelo RDAP (Registration Data Access Protocol).

Mas e os nomes de domínio que não são "final .br", quem garante?
São de fato um grande problema, ainda muito utilizados por “sites oficiais” brasileiros (de bancos, prefeituras, etc.), a autoridade desses nomes (top-level domains tais como .com, .org, .social, etc.) não obriga a transparência.

Conforme já comentado antes aqui, a URL de um Portal de Leis da prefeitura, por exemplo, precisa ser .gov.br e, quando por algum motivo bem justificado não o for, precisa ser transparente (no mínimo .br). A URL é a “casa dos dados oficiais”, é estratégica para o cidadão e a prefeitura: sem transparência, legitimidade e responsabilização, não se pode dizer que o dado publicado é confiável, e não deveríamos aceitar que seja tido como “oficial”.

Sugestão de discussão

O novo protocolo RDAP, que trouxe muitos benefícios tecnológicos se comparado ao WHOIS, “morre na praia” se não tiver a contrapartida de exigência de transparência nos sites de serviços públicos de dados oficiais e “serviços seguros” (afetados pela LGPD). É importe como comunidade de dados abertos, por um lado exigir que se publiquem informações no RDAP, e por outro, exigir que Leis e normas técnicas também façam as exigências cabíveis.

NOTAS:

  • Também cabe a nós, como comunidade interessada, fazer a preservação digital dos dados resgatados do RDAP de sites do governo, dos bancos, etc. Ou seja, fazer e manter um backupizão desses dados.

  • Para estarmos mesmo seguros de não sermos vítimas de ataques (pharming), há que se exigir de fornecedores de dados oficiais (ex. Diário Oficial) que certifiquem seu domínio com DNSSEC. Hoje o Registro.br exige isso apenas de bancos… O DNSSEC ficou mais simples e barato, é hora de ampliar a exigência.

  • A “roubada” mais comum é conhecida como phishing. São páginas ou e-mails bem maquiados, com visual convincente, em geral se passando por grandes empresas (bancos por exemplo), mas cujo domínio (na URL da página ou no remetente do e-mail) não bate com a identidade de quem diz ser.

2

Interessante a discussão que você levantou, Peter. Não sabia desse novo protocolo para informações sobre domínios, nem da sua exigência a partir de agora.

Nesse contexto, é relevante destacar que há alguns anos o governo federal, responsável pela gestão do registro dos domínios .gov.br (mesmo que seja site de governo estadual ou prefeitura) publica as informações sobre a quem pertence cada domínio neste dataset:

Entretanto, já faz um tempo (no mínimo, alguns meses) que ele está retornando um arquivo CSV vazio, ou seja, apenas com o cabeçalho. É importante provocar pela ouvidoria e/ou e-SIC para que os dados sejam restabelecidos.

1 curtida
3

Problema corrigido! Entrei em contato com os responsáveis e o dataset dos domínios .gov.br voltou a funcionar. Porém com a observação de que, com o disposto no Decreto n.º 9.756, de 11 de abril de 2019, o registro de domínios ficou mais burocratizado e parece que não estão autorizando novos registros:

Art. 3º A Secretaria de Governo Digital da Secretaria Especial de Desburocratização, Gestão e Governo Digital do Ministério da Economia coordenará os processos de solicitação e autorizará o registro de domínios na internet e de aplicativos móveis nas lojas de aplicativos.

§ 1º Fica vedado, a partir de 1º de julho de 2019, o registro de novos domínios “.gov.br” na internet e de aplicativos móveis em lojas de aplicativos pelos órgãos e pelas entidades da administração pública federal a que se refere o art. 1º sem autorização prévia e análise de conformidade, a ser disciplinada em ato do Secretário de Governo Digital da Secretaria Especial de Desburocratização, Gestão e Governo Digital do Ministério da Economia.

Não sei como está a questão dos domínios de estados, municípios e distrito federal que usam domínios debaixo do .gov.br. Provavelmente têm um domínio principal que é a sigla da uf.gov.br, e debaixo dele colocam os subdomínios, registrados com a empresa estadual de TI. Pode ser que valha a pena tentar pedidos de acesso à informação, via LAI, junto aos estados, para obter as listas de domínios estaduais.

1 curtida
4

O dado é de 2015, conforme indicado pela página descritiva. De fato, contém domínios tais como eafars.gov.br que já não existem mais.

Outro elemento importante a investigar é a integridade, ou seja, o uso de DNSSEC em domínios tais como receita.gov.br, que apresenta seu Digest DS (FF3DB52E115835C19EFA057374C5B53E78C2A506DA7B3EFD7C5AA97569064D10) para name-servers bsa1.serpro.gov.br e bsa2.

Em função da LGPD muitos outros domínios GOV.BR agora deveriam fazer uso de DNSSEC… Podemos aqui no fórum eleger critérios para decidir quais são e conferir (e denunciar) quais ainda não o fizeram.

5

Peter,

Não é isso que está escrito nos metadados da página. Lá diz que o dataset foi criado em 2015, mas atualizado em 2020.

Screenshot_2021-03-05 Domínios Gov br - Portal Brasileiro de Dados Abertos
Screenshot_2021-03-05 Domínios Gov br - Portal Brasileiro de Dados Abertos771×69 8.54 KB

De fato consta o domínio eafars.gov.br com data de última atualização 2020-05-05, e que esse domínio não existe mais. É provável que o domínio tenha sido excluído após essa data.

Concordo que os domínios governamentais deveriam obrigatoriamente usar DNSSEC. De fato, ele já é obrigatório para os domínios B.BR, DEF.BR, JUS.BR, LEG.BR, MP.BR e TC.BR.

Todavia, no governo federal já é norma desativar os demais domínios e concentrar tudo no portal gov.br. Por isso, se for provocado a agir para mudar alguma configuração, provavelmente vão responder que estão em processo de desativação do domínio. Por isso, pode ser mais produtivo cobrar os governos estaduais e municipais para que passem a usar o DNSSEC.

Não entendi a relação com a LGPD. Embora essa seja uma medida que traga mais segurança, não há menção na lei à questão de domínios na internet. Poderia elaborar mais o raciocínio que o levou a essa conclusão?

1 curtida