Em 16/09/2011 09:52, Enio .'. Marconcini escreveu: > 2011/9/16 Marcelo Gondim<gon...@bsdinfo.com.br> > >> Em 16/09/2011 08:26, Enio .'. Marconcini escreveu: >>> pessoal, >>> estive conversando com um amigo delegado que tem acompanhado muitos casos >> de >>> crimes digitais, e o mesmo me havia dito que, quando algo do tipo >> acontece, >>> a PF (policia federal, e não o packet filter, rsrs) solicita aos >> provedores >>> os logs para ajudar nas investigações. >>> >>> minha dúvida é, neste caso, que tipos de logs devem ser mantidos, para um >>> eventual problema desse tipo. Eu imagino que um log do tipo access.log do >>> squid viria a ajudar em algumas coisas, porém, e nos casos de portas >>> nateadas ou outros tipos de acessos que não são registrados pelo squid, >> como >>> por exemplo, conexões ftp, msn, email, etc etc >>> >>> o que seria a melhor saída para ter tais informações? e alguém sabe dizer >>> por quanto tempo é necessário mantes tais logs? me parece que não existe >> uma >>> legislação vigente para tais casos, mas a Anatel em suas mudanças parece >> que >>> irá exigir que tais registros sejam mantidos. >>> >>> >> Oi Enio, >> >> Aqui no provedor somos muitas vezes citados para problemas de justiça e >> normalmente o que nos é pedido é para identificar o assinante que estava >> utilizando aquele determinado IP na data e hora. O documento da justiça >> sempre nos passa a informação: >> >> - IP >> - Data >> - Hora >> >> Com esses dados conseguimos identificar o indivíduo. Com relação ao >> tempo que deve se manter os logs, nós aqui guardamos por 5 anos porque >> nossa justiça é muiiiiiiito lenta. Já recebi aqui intimações para >> identificar clientes que conectaram, por exemplo, à 2 anos atrás. >> Um grande problema é relacionado quando a empresa possui acesso por NAT >> N:1 nesse caso apenas 1 IP fica constando para a justiça e se o >> administrador não tiver log de acesso dos IPs internos aí fica bem >> complicado. Não é nosso caso aqui porque temos AS mas já vi muitos casos >> assim. >> Cuidado com logs do tipo do squid, porque as pessoas tem que saber que >> estão sendo monitoradas, salvo se você for autorizado pela Justiça à >> fazer esse tipo de coisa. Porque pode caracterizar uma invasão de >> privacidade. Melhor consultar um advogado antes de fazer qualquer coisa >> nesse sentido. Normalmente nas grandes empresas são feitos termos para >> os funcionários lerem, ficarem cientes e assinarem que estarão sendo >> monitorados quanto à e-mails(da empresa) e acessos. Termos de >> Confidencialidade e outros que a empresa julgar necessários. Trabalhei >> em uma empresa de Segurança da Informação onde tive que assinar um Termo >> de Confidencialidade de 3 anos, onde nesses 3 anos não poderia nem falar >> quais eram os nomes dos clientes que tínhamos. rsrsrsr >> >> Agora se a justiça mandar e autorizar então faça. Porque manda quem pode >> e obedece quem tem juízo. hahahah >> >> Uma vez fomos processados por um advogado pois o mesmo deu uma bobeada >> com a sua conta no gmail e entram e fizeram a festa. Ele conseguiu o IP >> de quem acessou a conta veio aqui no provedor e exigiu que disséssemos >> quem foi o cliente responsável. Bem sem uma intimação formal nada feito. >> Aí ele nos processou porque não passamos uma informação sigilosa para >> ele só porque ele era um advogado. Bem não precisa dizer que ele perdeu >> na justiça. No final das contas o IP de onde partiu o acesso era da >> própria OAB aqui da Cidade. Ou seja ele provavelmente acessou e-mail >> dele de lá, não fez logoff e aí alguém entrou e fez a festa. Só queria >> ver agora ele processar a OAB por isso. >> >> É isso e grande abraço >> ------------------------- >> Histórico: http://www.fug.com.br/historico/html/freebsd/ >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd >> > > > Gondim, obrigado pelos esclarecimentos enriquecedores, tenho assunto para > uma boa discussão com o amigo delegado. > > No caso do log do squid é fácil eu conseguir uma autorização. Quanto ao > email institucional, bem, penso eu que, se eu for gravar tudo que os > usuários enviam e recebe, vou pŕecisar de muito espaço, ou tem como eu > capturar apenas um log que registre por exemplo, de onde e para onde com a > data acho que já ajudaria. Mas eu penso no caso dos que usam email externo > do tipo hotmail, não teria como capturar muita coisa, a não ser a data e > hora que ele acessou o email. > > Agora, no meu caso como não tenho AS o jeito é natear as conexões dos > usuários, e neste caso, como eu vou capturar tais informações? Penso eu que > bastaria setar a regra do nat para ser logado, e armazenar estes logs, estou > certo? > Opa,
Então se o seu caso for empresa procure fazer um misto de: - Logs de acesso do squid. - Existem programas para monitorar conversas de msn também. rsrsrs - Como você usa NAT o jeito é fazer registrar nos logs via filtragem de pacotes. Se alguém acessar uma determinada porta que está liberada, guardar esse log de acesso. Aqui quando os assinantes se conectam no PPPoE o radius registra o acesso dele com diversas informações. Registra a hora que entra e a hora que sai. ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd