[FUG-BR] sobre a captura logs e arquivamento.
Eduardo Schoedler
listas em esds.com.br
Sexta Setembro 16 10:08:14 BRT 2011
Nao esqueça que access.log guarda somente dados de navegação... como ficam o POP3/IMAP/SMTP, alem de MSN, Skype, etc?
O ideal seria capturar ao menos os cabeçalhos ip dos pacotes da sua rede e armazenar.
Eu sou muito fã do pflog.
Abs.
--
Eduardo Schoedler
Enviado via iPhone
Em 16/09/2011, às 09:52, "Enio .'. Marconcini" <eniorm em gmail.com> escreveu:
> 2011/9/16 Marcelo Gondim <gondim em bsdinfo.com.br>
>
>> Em 16/09/2011 08:26, Enio .'. Marconcini escreveu:
>>> pessoal,
>>> estive conversando com um amigo delegado que tem acompanhado muitos casos
>> de
>>> crimes digitais, e o mesmo me havia dito que, quando algo do tipo
>> acontece,
>>> a PF (policia federal, e não o packet filter, rsrs) solicita aos
>> provedores
>>> os logs para ajudar nas investigações.
>>>
>>> minha dúvida é, neste caso, que tipos de logs devem ser mantidos, para um
>>> eventual problema desse tipo. Eu imagino que um log do tipo access.log do
>>> squid viria a ajudar em algumas coisas, porém, e nos casos de portas
>>> nateadas ou outros tipos de acessos que não são registrados pelo squid,
>> como
>>> por exemplo, conexões ftp, msn, email, etc etc
>>>
>>> o que seria a melhor saída para ter tais informações? e alguém sabe dizer
>>> por quanto tempo é necessário mantes tais logs? me parece que não existe
>> uma
>>> legislação vigente para tais casos, mas a Anatel em suas mudanças parece
>> que
>>> irá exigir que tais registros sejam mantidos.
>>>
>>>
>> Oi Enio,
>>
>> Aqui no provedor somos muitas vezes citados para problemas de justiça e
>> normalmente o que nos é pedido é para identificar o assinante que estava
>> utilizando aquele determinado IP na data e hora. O documento da justiça
>> sempre nos passa a informação:
>>
>> - IP
>> - Data
>> - Hora
>>
>> Com esses dados conseguimos identificar o indivíduo. Com relação ao
>> tempo que deve se manter os logs, nós aqui guardamos por 5 anos porque
>> nossa justiça é muiiiiiiito lenta. Já recebi aqui intimações para
>> identificar clientes que conectaram, por exemplo, à 2 anos atrás.
>> Um grande problema é relacionado quando a empresa possui acesso por NAT
>> N:1 nesse caso apenas 1 IP fica constando para a justiça e se o
>> administrador não tiver log de acesso dos IPs internos aí fica bem
>> complicado. Não é nosso caso aqui porque temos AS mas já vi muitos casos
>> assim.
>> Cuidado com logs do tipo do squid, porque as pessoas tem que saber que
>> estão sendo monitoradas, salvo se você for autorizado pela Justiça à
>> fazer esse tipo de coisa. Porque pode caracterizar uma invasão de
>> privacidade. Melhor consultar um advogado antes de fazer qualquer coisa
>> nesse sentido. Normalmente nas grandes empresas são feitos termos para
>> os funcionários lerem, ficarem cientes e assinarem que estarão sendo
>> monitorados quanto à e-mails(da empresa) e acessos. Termos de
>> Confidencialidade e outros que a empresa julgar necessários. Trabalhei
>> em uma empresa de Segurança da Informação onde tive que assinar um Termo
>> de Confidencialidade de 3 anos, onde nesses 3 anos não poderia nem falar
>> quais eram os nomes dos clientes que tínhamos. rsrsrsr
>>
>> Agora se a justiça mandar e autorizar então faça. Porque manda quem pode
>> e obedece quem tem juízo. hahahah
>>
>> Uma vez fomos processados por um advogado pois o mesmo deu uma bobeada
>> com a sua conta no gmail e entram e fizeram a festa. Ele conseguiu o IP
>> de quem acessou a conta veio aqui no provedor e exigiu que disséssemos
>> quem foi o cliente responsável. Bem sem uma intimação formal nada feito.
>> Aí ele nos processou porque não passamos uma informação sigilosa para
>> ele só porque ele era um advogado. Bem não precisa dizer que ele perdeu
>> na justiça. No final das contas o IP de onde partiu o acesso era da
>> própria OAB aqui da Cidade. Ou seja ele provavelmente acessou e-mail
>> dele de lá, não fez logoff e aí alguém entrou e fez a festa. Só queria
>> ver agora ele processar a OAB por isso.
>>
>> É isso e grande abraço
>> -------------------------
>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>
>
>
>
> Gondim, obrigado pelos esclarecimentos enriquecedores, tenho assunto para
> uma boa discussão com o amigo delegado.
>
> No caso do log do squid é fácil eu conseguir uma autorização. Quanto ao
> email institucional, bem, penso eu que, se eu for gravar tudo que os
> usuários enviam e recebe, vou pŕecisar de muito espaço, ou tem como eu
> capturar apenas um log que registre por exemplo, de onde e para onde com a
> data acho que já ajudaria. Mas eu penso no caso dos que usam email externo
> do tipo hotmail, não teria como capturar muita coisa, a não ser a data e
> hora que ele acessou o email.
>
> Agora, no meu caso como não tenho AS o jeito é natear as conexões dos
> usuários, e neste caso, como eu vou capturar tais informações? Penso eu que
> bastaria setar a regra do nat para ser logado, e armazenar estes logs, estou
> certo?
>
> abraços
>
> --
> *ENIO RODRIGO MARCONCINI*
> @eniomarconcini <http://twitter.com/eniomarconcini>
> skype: eniorm
> facebook.com/eniomarconcini <http://www.facebook.com/eniomarconcini>
>
> *"UNIX was not designed to stop its users from doing stupid things,
> as that would also stop them from doing clever things."
> *
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Mais detalhes sobre a lista de discussão freebsd