Confiabilidade e dados transparentes nos domínios da internet

ppkrauss · Setembro 18, 2020, 9:32am

Toda vez que entramos num site com supostas informações públicas confiáveis (ex. acesso ao inteiro teor das leis do seu município), ou com supostos serviços privados confiáveis (ex. o seu internet banking), a única e principal garantia de que não estamos entrando “numa roubada” é o nome de domínio — por exemplo esta página está sob o domínio dadosAbertos.social.

Quem é responsável pelas informações e pelos serviços online é o “dono do domínio”. Se for um site institucional, provavelmente o “dono” vai se revelar numa página do tipo “Quem somos”… Mas quem garante que ele é quem diz que é? Ou como obter a ficha completa se a página não indica o CPNJ?

No Brasil quem cuida dos nomes de domínio .br é o http://Registro.br , e tem sido um grande aliado da transparência: exige confirmação do CNPJ e, além disso, publica todos os dados no seu “diário oficial” — antes conhecido como WHOIS, o “protocolo dedo duro” do nome de domínio ficou obsoleto, agora em 2020 está (aos poucos) sendo substituído pelo RDAP (Registration Data Access Protocol).

Mas e os nomes de domínio que não são "final .br", quem garante?
São de fato um grande problema, ainda muito utilizados por “sites oficiais” brasileiros (de bancos, prefeituras, etc.), a autoridade desses nomes (top-level domains tais como .com, .org, .social, etc.) não obriga a transparência.

Conforme já comentado antes aqui, a URL de um Portal de Leis da prefeitura, por exemplo, precisa ser .gov.br e, quando por algum motivo bem justificado não o for, precisa ser transparente (no mínimo .br). A URL é a “casa dos dados oficiais”, é estratégica para o cidadão e a prefeitura: sem transparência, legitimidade e responsabilização, não se pode dizer que o dado publicado é confiável, e não deveríamos aceitar que seja tido como “oficial”.

Sugestão de discussão

O novo protocolo RDAP, que trouxe muitos benefícios tecnológicos se comparado ao WHOIS, “morre na praia” se não tiver a contrapartida de exigência de transparência nos sites de serviços públicos de dados oficiais e “serviços seguros” (afetados pela LGPD). É importe como comunidade de dados abertos, por um lado exigir que se publiquem informações no RDAP, e por outro, exigir que Leis e normas técnicas também façam as exigências cabíveis.

NOTAS:

Também cabe a nós, como comunidade interessada, fazer a preservação digital dos dados resgatados do RDAP de sites do governo, dos bancos, etc. Ou seja, fazer e manter um backupizão desses dados.
Para estarmos mesmo seguros de não sermos vítimas de ataques (pharming), há que se exigir de fornecedores de dados oficiais (ex. Diário Oficial) que certifiquem seu domínio com DNSSEC. Hoje o Registro.br exige isso apenas de bancos… O DNSSEC ficou mais simples e barato, é hora de ampliar a exigência.
A “roubada” mais comum é conhecida como phishing. São páginas ou e-mails bem maquiados, com visual convincente, em geral se passando por grandes empresas (bancos por exemplo), mas cujo domínio (na URL da página ou no remetente do e-mail) não bate com a identidade de quem diz ser.

herrmann · Setembro 18, 2020, 5:04pm

Interessante a discussão que você levantou, Peter. Não sabia desse novo protocolo para informações sobre domínios, nem da sua exigência a partir de agora.

Nesse contexto, é relevante destacar que há alguns anos o governo federal, responsável pela gestão do registro dos domínios .gov.br (mesmo que seja site de governo estadual ou prefeitura) publica as informações sobre a quem pertence cada domínio neste dataset:

Entretanto, já faz um tempo (no mínimo, alguns meses) que ele está retornando um arquivo CSV vazio, ou seja, apenas com o cabeçalho. É importante provocar pela ouvidoria e/ou e-SIC para que os dados sejam restabelecidos.

herrmann · Setembro 22, 2020, 11:50am

Problema corrigido! Entrei em contato com os responsáveis e o dataset dos domínios .gov.br voltou a funcionar. Porém com a observação de que, com o disposto no Decreto n.º 9.756, de 11 de abril de 2019, o registro de domínios ficou mais burocratizado e parece que não estão autorizando novos registros:

Art. 3º A Secretaria de Governo Digital da Secretaria Especial de Desburocratização, Gestão e Governo Digital do Ministério da Economia coordenará os processos de solicitação e autorizará o registro de domínios na internet e de aplicativos móveis nas lojas de aplicativos.

§ 1º Fica vedado, a partir de 1º de julho de 2019, o registro de novos domínios “.gov.br” na internet e de aplicativos móveis em lojas de aplicativos pelos órgãos e pelas entidades da administração pública federal a que se refere o art. 1º sem autorização prévia e análise de conformidade, a ser disciplinada em ato do Secretário de Governo Digital da Secretaria Especial de Desburocratização, Gestão e Governo Digital do Ministério da Economia.

Não sei como está a questão dos domínios de estados, municípios e distrito federal que usam domínios debaixo do .gov.br. Provavelmente têm um domínio principal que é a sigla da uf.gov.br, e debaixo dele colocam os subdomínios, registrados com a empresa estadual de TI. Pode ser que valha a pena tentar pedidos de acesso à informação, via LAI, junto aos estados, para obter as listas de domínios estaduais.

ppkrauss · Março 5, 2021, 10:57am

O dado é de 2015, conforme indicado pela página descritiva. De fato, contém domínios tais como eafars.gov.br que já não existem mais.

Outro elemento importante a investigar é a integridade, ou seja, o uso de DNSSEC em domínios tais como receita.gov.br, que apresenta seu Digest DS (FF3DB52E115835C19EFA057374C5B53E78C2A506DA7B3EFD7C5AA97569064D10) para name-servers bsa1.serpro.gov.br e bsa2.

Em função da LGPD muitos outros domínios GOV.BR agora deveriam fazer uso de DNSSEC… Podemos aqui no fórum eleger critérios para decidir quais são e conferir (e denunciar) quais ainda não o fizeram.

herrmann · Março 5, 2021, 12:35pm

Peter,

Não é isso que está escrito nos metadados da página. Lá diz que o dataset foi criado em 2015, mas atualizado em 2020.

De fato consta o domínio eafars.gov.br com data de última atualização 2020-05-05, e que esse domínio não existe mais. É provável que o domínio tenha sido excluído após essa data.

Concordo que os domínios governamentais deveriam obrigatoriamente usar DNSSEC. De fato, ele já é obrigatório para os domínios B.BR, DEF.BR, JUS.BR, LEG.BR, MP.BR e TC.BR.

Todavia, no governo federal já é norma desativar os demais domínios e concentrar tudo no portal gov.br. Por isso, se for provocado a agir para mudar alguma configuração, provavelmente vão responder que estão em processo de desativação do domínio. Por isso, pode ser mais produtivo cobrar os governos estaduais e municipais para que passem a usar o DNSSEC.

Não entendi a relação com a LGPD. Embora essa seja uma medida que traga mais segurança, não há menção na lei à questão de domínios na internet. Poderia elaborar mais o raciocínio que o levou a essa conclusão?