[FUG-BR] sobre a captura logs e arquivamento.

Enio .'. Marconcini eniorm em gmail.com
Sexta Setembro 16 09:52:00 BRT 2011 

2011/9/16 Marcelo Gondim <gondim em bsdinfo.com.br>

> Em 16/09/2011 08:26, Enio .'. Marconcini escreveu:
> > pessoal,
> > estive conversando com um amigo delegado que tem acompanhado muitos casos
> de
> > crimes digitais, e o mesmo me havia dito que, quando algo do tipo
> acontece,
> > a PF (policia federal, e não o packet filter, rsrs) solicita aos
> provedores
> > os logs para ajudar nas investigações.
> >
> > minha dúvida é, neste caso, que tipos de logs devem ser mantidos, para um
> > eventual problema desse tipo. Eu imagino que um log do tipo access.log do
> > squid viria a ajudar em algumas coisas, porém, e nos casos de portas
> > nateadas ou outros tipos de acessos que não são registrados pelo squid,
> como
> > por exemplo, conexões ftp, msn, email, etc etc
> >
> > o que seria a melhor saída para ter tais informações? e alguém sabe dizer
> > por quanto tempo é necessário mantes tais logs? me parece que não existe
> uma
> > legislação vigente para tais casos, mas a Anatel em suas mudanças parece
> que
> > irá exigir que tais registros sejam mantidos.
> >
> >
> Oi Enio,
>
> Aqui no provedor somos muitas vezes citados para problemas de justiça e
> normalmente o que nos é pedido é para identificar o assinante que estava
> utilizando aquele determinado IP na data e hora. O documento da justiça
> sempre nos passa a informação:
>
> - IP
> - Data
> - Hora
>
> Com esses dados conseguimos identificar o indivíduo. Com relação ao
> tempo que deve se manter os logs, nós aqui guardamos por 5 anos porque
> nossa justiça é muiiiiiiito lenta. Já recebi aqui intimações para
> identificar clientes que conectaram, por exemplo, à 2 anos atrás.
> Um grande problema é relacionado quando a empresa possui acesso por NAT
> N:1 nesse caso apenas 1 IP fica constando para a justiça e se o
> administrador não tiver log de acesso dos IPs internos aí fica bem
> complicado. Não é nosso caso aqui porque temos AS mas já vi muitos casos
> assim.
> Cuidado com logs do tipo do squid, porque as pessoas tem que saber que
> estão sendo monitoradas, salvo se você for autorizado pela Justiça à
> fazer esse tipo de coisa. Porque pode caracterizar uma invasão de
> privacidade. Melhor consultar um advogado antes de fazer qualquer coisa
> nesse sentido. Normalmente nas grandes empresas são feitos termos para
> os funcionários lerem, ficarem cientes e assinarem que estarão sendo
> monitorados quanto à e-mails(da empresa) e acessos. Termos de
> Confidencialidade e outros que a empresa julgar necessários. Trabalhei
> em uma empresa de Segurança da Informação onde tive que assinar um Termo
> de Confidencialidade de 3 anos, onde nesses 3 anos não poderia nem falar
> quais eram os nomes dos clientes que tínhamos. rsrsrsr
>
> Agora se a justiça mandar e autorizar então faça. Porque manda quem pode
> e obedece quem tem juízo. hahahah
>
> Uma vez fomos processados por um advogado pois o mesmo deu uma bobeada
> com a sua conta no gmail e entram e fizeram a festa. Ele conseguiu o IP
> de quem acessou a conta veio aqui no provedor e exigiu que disséssemos
> quem foi o cliente responsável. Bem sem uma intimação formal nada feito.
> Aí ele nos processou porque não passamos uma informação sigilosa para
> ele só porque ele era um advogado. Bem não precisa dizer que ele perdeu
> na justiça. No final das contas o IP de onde partiu o acesso era da
> própria OAB aqui da Cidade. Ou seja ele provavelmente acessou e-mail
> dele de lá, não fez logoff e aí alguém entrou e fez a festa. Só queria
> ver agora ele processar a OAB por isso.
>
> É isso e grande abraço
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>



Gondim, obrigado pelos esclarecimentos enriquecedores, tenho assunto para
uma boa discussão com o amigo delegado.

No caso do log do squid é fácil eu conseguir uma autorização. Quanto ao
email institucional, bem, penso eu que, se eu for gravar tudo que os
usuários enviam e recebe, vou pŕecisar de muito espaço, ou tem como eu
capturar apenas um log que registre por exemplo, de onde e para onde com a
data acho que já ajudaria. Mas eu penso no caso dos que usam email externo
do tipo hotmail, não teria como capturar muita coisa, a não ser a data e
hora que ele acessou o email.

Agora, no meu caso como não tenho AS o jeito é natear as conexões dos
usuários, e neste caso, como eu vou capturar tais informações? Penso eu que
bastaria setar a regra do nat para ser logado, e armazenar estes logs, estou
certo?

abraços

-- 
*ENIO RODRIGO MARCONCINI*
@eniomarconcini <http://twitter.com/eniomarconcini>
skype: eniorm
facebook.com/eniomarconcini <http://www.facebook.com/eniomarconcini>

*"UNIX was not designed to stop its users from doing stupid things,
as that would also stop them from doing clever things."
*

Mais detalhes sobre a lista de discussão freebsd