[FUG-BR] sobre a captura logs e arquivamento.

[Marcelo Gondim]

Em 16/09/2011 08:26, Enio .'. Marconcini escreveu:
> pessoal,
> estive conversando com um amigo delegado que tem acompanhado muitos casos de
> crimes digitais, e o mesmo me havia dito que, quando algo do tipo acontece,
> a PF (policia federal, e não o packet filter, rsrs) solicita aos provedores
> os logs para ajudar nas investigações.
>
> minha dúvida é, neste caso, que tipos de logs devem ser mantidos, para um
> eventual problema desse tipo. Eu imagino que um log do tipo access.log do
> squid viria a ajudar em algumas coisas, porém, e nos casos de portas
> nateadas ou outros tipos de acessos que não são registrados pelo squid, como
> por exemplo, conexões ftp, msn, email, etc etc
>
> o que seria a melhor saída para ter tais informações? e alguém sabe dizer
> por quanto tempo é necessário mantes tais logs? me parece que não existe uma
> legislação vigente para tais casos, mas a Anatel em suas mudanças parece que
> irá exigir que tais registros sejam mantidos.
>
>
Oi Enio,

Aqui no provedor somos muitas vezes citados para problemas de justiça e 
normalmente o que nos é pedido é para identificar o assinante que estava 
utilizando aquele determinado IP na data e hora. O documento da justiça 
sempre nos passa a informação:

- IP
- Data
- Hora

Com esses dados conseguimos identificar o indivíduo. Com relação ao 
tempo que deve se manter os logs, nós aqui guardamos por 5 anos porque 
nossa justiça é muiiiiiiito lenta. Já recebi aqui intimações para 
identificar clientes que conectaram, por exemplo, à 2 anos atrás.
Um grande problema é relacionado quando a empresa possui acesso por NAT 
N:1 nesse caso apenas 1 IP fica constando para a justiça e se o 
administrador não tiver log de acesso dos IPs internos aí fica bem 
complicado. Não é nosso caso aqui porque temos AS mas já vi muitos casos 
assim.
Cuidado com logs do tipo do squid, porque as pessoas tem que saber que 
estão sendo monitoradas, salvo se você for autorizado pela Justiça à 
fazer esse tipo de coisa. Porque pode caracterizar uma invasão de 
privacidade. Melhor consultar um advogado antes de fazer qualquer coisa 
nesse sentido. Normalmente nas grandes empresas são feitos termos para 
os funcionários lerem, ficarem cientes e assinarem que estarão sendo 
monitorados quanto à e-mails(da empresa) e acessos. Termos de 
Confidencialidade e outros que a empresa julgar necessários. Trabalhei 
em uma empresa de Segurança da Informação onde tive que assinar um Termo 
de Confidencialidade de 3 anos, onde nesses 3 anos não poderia nem falar 
quais eram os nomes dos clientes que tínhamos. rsrsrsr

Agora se a justiça mandar e autorizar então faça. Porque manda quem pode 
e obedece quem tem juízo. hahahah

Uma vez fomos processados por um advogado pois o mesmo deu uma bobeada 
com a sua conta no gmail e entram e fizeram a festa. Ele conseguiu o IP 
de quem acessou a conta veio aqui no provedor e exigiu que disséssemos 
quem foi o cliente responsável. Bem sem uma intimação formal nada feito. 
Aí ele nos processou porque não passamos uma informação sigilosa para 
ele só porque ele era um advogado. Bem não precisa dizer que ele perdeu 
na justiça. No final das contas o IP de onde partiu o acesso era da 
própria OAB aqui da Cidade. Ou seja ele provavelmente acessou e-mail 
dele de lá, não fez logoff e aí alguém entrou e fez a festa. Só queria 
ver agora ele processar a OAB por isso.

É isso e grande abraço