[FUG-BR] sobre a captura logs e arquivamento.

Enio .'. Marconcini eniorm em gmail.com
Sexta Setembro 16 10:28:06 BRT 2011 

2011/9/16 Eduardo Schoedler <listas em esds.com.br>

> Nao esqueça que access.log guarda somente dados de navegação... como ficam
> o POP3/IMAP/SMTP, alem de MSN, Skype, etc?
>
> O ideal seria capturar ao menos os cabeçalhos ip dos pacotes da sua rede e
> armazenar.
>
> Eu sou muito fã do pflog.
>
> Abs.
>
> --
> Eduardo Schoedler
> Enviado via iPhone
>
> Em 16/09/2011, às 09:52, "Enio .'. Marconcini" <eniorm em gmail.com>
> escreveu:
>
> > 2011/9/16 Marcelo Gondim <gondim em bsdinfo.com.br>
> >
> >> Em 16/09/2011 08:26, Enio .'. Marconcini escreveu:
> >>> pessoal,
> >>> estive conversando com um amigo delegado que tem acompanhado muitos
> casos
> >> de
> >>> crimes digitais, e o mesmo me havia dito que, quando algo do tipo
> >> acontece,
> >>> a PF (policia federal, e não o packet filter, rsrs) solicita aos
> >> provedores
> >>> os logs para ajudar nas investigações.
> >>>
> >>> minha dúvida é, neste caso, que tipos de logs devem ser mantidos, para
> um
> >>> eventual problema desse tipo. Eu imagino que um log do tipo access.log
> do
> >>> squid viria a ajudar em algumas coisas, porém, e nos casos de portas
> >>> nateadas ou outros tipos de acessos que não são registrados pelo squid,
> >> como
> >>> por exemplo, conexões ftp, msn, email, etc etc
> >>>
> >>> o que seria a melhor saída para ter tais informações? e alguém sabe
> dizer
> >>> por quanto tempo é necessário mantes tais logs? me parece que não
> existe
> >> uma
> >>> legislação vigente para tais casos, mas a Anatel em suas mudanças
> parece
> >> que
> >>> irá exigir que tais registros sejam mantidos.
> >>>
> >>>
> >> Oi Enio,
> >>
> >> Aqui no provedor somos muitas vezes citados para problemas de justiça e
> >> normalmente o que nos é pedido é para identificar o assinante que estava
> >> utilizando aquele determinado IP na data e hora. O documento da justiça
> >> sempre nos passa a informação:
> >>
> >> - IP
> >> - Data
> >> - Hora
> >>
> >> Com esses dados conseguimos identificar o indivíduo. Com relação ao
> >> tempo que deve se manter os logs, nós aqui guardamos por 5 anos porque
> >> nossa justiça é muiiiiiiito lenta. Já recebi aqui intimações para
> >> identificar clientes que conectaram, por exemplo, à 2 anos atrás.
> >> Um grande problema é relacionado quando a empresa possui acesso por NAT
> >> N:1 nesse caso apenas 1 IP fica constando para a justiça e se o
> >> administrador não tiver log de acesso dos IPs internos aí fica bem
> >> complicado. Não é nosso caso aqui porque temos AS mas já vi muitos casos
> >> assim.
> >> Cuidado com logs do tipo do squid, porque as pessoas tem que saber que
> >> estão sendo monitoradas, salvo se você for autorizado pela Justiça à
> >> fazer esse tipo de coisa. Porque pode caracterizar uma invasão de
> >> privacidade. Melhor consultar um advogado antes de fazer qualquer coisa
> >> nesse sentido. Normalmente nas grandes empresas são feitos termos para
> >> os funcionários lerem, ficarem cientes e assinarem que estarão sendo
> >> monitorados quanto à e-mails(da empresa) e acessos. Termos de
> >> Confidencialidade e outros que a empresa julgar necessários. Trabalhei
> >> em uma empresa de Segurança da Informação onde tive que assinar um Termo
> >> de Confidencialidade de 3 anos, onde nesses 3 anos não poderia nem falar
> >> quais eram os nomes dos clientes que tínhamos. rsrsrsr
> >>
> >> Agora se a justiça mandar e autorizar então faça. Porque manda quem pode
> >> e obedece quem tem juízo. hahahah
> >>
> >> Uma vez fomos processados por um advogado pois o mesmo deu uma bobeada
> >> com a sua conta no gmail e entram e fizeram a festa. Ele conseguiu o IP
> >> de quem acessou a conta veio aqui no provedor e exigiu que disséssemos
> >> quem foi o cliente responsável. Bem sem uma intimação formal nada feito.
> >> Aí ele nos processou porque não passamos uma informação sigilosa para
> >> ele só porque ele era um advogado. Bem não precisa dizer que ele perdeu
> >> na justiça. No final das contas o IP de onde partiu o acesso era da
> >> própria OAB aqui da Cidade. Ou seja ele provavelmente acessou e-mail
> >> dele de lá, não fez logoff e aí alguém entrou e fez a festa. Só queria
> >> ver agora ele processar a OAB por isso.
> >>
> >> É isso e grande abraço
> >> -------------------------
> >> Histórico: http://www.fug.com.br/historico/html/freebsd/
> >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >>
> >
> >
> >
> > Gondim, obrigado pelos esclarecimentos enriquecedores, tenho assunto para
> > uma boa discussão com o amigo delegado.
> >
> > No caso do log do squid é fácil eu conseguir uma autorização. Quanto ao
> > email institucional, bem, penso eu que, se eu for gravar tudo que os
> > usuários enviam e recebe, vou pŕecisar de muito espaço, ou tem como eu
> > capturar apenas um log que registre por exemplo, de onde e para onde com
> a
> > data acho que já ajudaria. Mas eu penso no caso dos que usam email
> externo
> > do tipo hotmail, não teria como capturar muita coisa, a não ser a data e
> > hora que ele acessou o email.
> >
> > Agora, no meu caso como não tenho AS o jeito é natear as conexões dos
> > usuários, e neste caso, como eu vou capturar tais informações? Penso eu
> que
> > bastaria setar a regra do nat para ser logado, e armazenar estes logs,
> estou
> > certo?
> >
> > abraços
> >
> > --
> > *ENIO RODRIGO MARCONCINI*
> > @eniomarconcini <http://twitter.com/eniomarconcini>
> > skype: eniorm
> > facebook.com/eniomarconcini <http://www.facebook.com/eniomarconcini>
> >
> > *"UNIX was not designed to stop its users from doing stupid things,
> > as that would also stop them from doing clever things."
> > *
> > -------------------------
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>



Eduardo, é isso mesmo que eu também preciso saber.... esses cabeçalhos
poderiam ser capturados até mesmo com um tcpdump? seria prático fazer dessa
forma? ou ainda seria melhor logar direto pelo fw que está fazendo o nat?

Alexandre, sim o teu cliente precisa saber que está sendo monitorado, porém
eu usaria outra palavra no contrato, para não pegar mal... usaria algo do
tipo "seus acessos serão gravados e mantidos sob sigilo; para eventual
necessidade da policia federal" ou algo do tipo,

-- 
*ENIO RODRIGO MARCONCINI*
@eniomarconcini <http://twitter.com/eniomarconcini>
skype: eniorm
facebook.com/eniomarconcini <http://www.facebook.com/eniomarconcini>

*"UNIX was not designed to stop its users from doing stupid things,
as that would also stop them from doing clever things."
*

Mais detalhes sobre a lista de discussão freebsd