2011/9/16 Marcelo Gondim <gon...@bsdinfo.com.br> > Em 16/09/2011 08:26, Enio .'. Marconcini escreveu: > > pessoal, > > estive conversando com um amigo delegado que tem acompanhado muitos casos > de > > crimes digitais, e o mesmo me havia dito que, quando algo do tipo > acontece, > > a PF (policia federal, e não o packet filter, rsrs) solicita aos > provedores > > os logs para ajudar nas investigações. > > > > minha dúvida é, neste caso, que tipos de logs devem ser mantidos, para um > > eventual problema desse tipo. Eu imagino que um log do tipo access.log do > > squid viria a ajudar em algumas coisas, porém, e nos casos de portas > > nateadas ou outros tipos de acessos que não são registrados pelo squid, > como > > por exemplo, conexões ftp, msn, email, etc etc > > > > o que seria a melhor saída para ter tais informações? e alguém sabe dizer > > por quanto tempo é necessário mantes tais logs? me parece que não existe > uma > > legislação vigente para tais casos, mas a Anatel em suas mudanças parece > que > > irá exigir que tais registros sejam mantidos. > > > > > Oi Enio, > > Aqui no provedor somos muitas vezes citados para problemas de justiça e > normalmente o que nos é pedido é para identificar o assinante que estava > utilizando aquele determinado IP na data e hora. O documento da justiça > sempre nos passa a informação: > > - IP > - Data > - Hora > > Com esses dados conseguimos identificar o indivíduo. Com relação ao > tempo que deve se manter os logs, nós aqui guardamos por 5 anos porque > nossa justiça é muiiiiiiito lenta. Já recebi aqui intimações para > identificar clientes que conectaram, por exemplo, à 2 anos atrás. > Um grande problema é relacionado quando a empresa possui acesso por NAT > N:1 nesse caso apenas 1 IP fica constando para a justiça e se o > administrador não tiver log de acesso dos IPs internos aí fica bem > complicado. Não é nosso caso aqui porque temos AS mas já vi muitos casos > assim. > Cuidado com logs do tipo do squid, porque as pessoas tem que saber que > estão sendo monitoradas, salvo se você for autorizado pela Justiça à > fazer esse tipo de coisa. Porque pode caracterizar uma invasão de > privacidade. Melhor consultar um advogado antes de fazer qualquer coisa > nesse sentido. Normalmente nas grandes empresas são feitos termos para > os funcionários lerem, ficarem cientes e assinarem que estarão sendo > monitorados quanto à e-mails(da empresa) e acessos. Termos de > Confidencialidade e outros que a empresa julgar necessários. Trabalhei > em uma empresa de Segurança da Informação onde tive que assinar um Termo > de Confidencialidade de 3 anos, onde nesses 3 anos não poderia nem falar > quais eram os nomes dos clientes que tínhamos. rsrsrsr > > Agora se a justiça mandar e autorizar então faça. Porque manda quem pode > e obedece quem tem juízo. hahahah > > Uma vez fomos processados por um advogado pois o mesmo deu uma bobeada > com a sua conta no gmail e entram e fizeram a festa. Ele conseguiu o IP > de quem acessou a conta veio aqui no provedor e exigiu que disséssemos > quem foi o cliente responsável. Bem sem uma intimação formal nada feito. > Aí ele nos processou porque não passamos uma informação sigilosa para > ele só porque ele era um advogado. Bem não precisa dizer que ele perdeu > na justiça. No final das contas o IP de onde partiu o acesso era da > própria OAB aqui da Cidade. Ou seja ele provavelmente acessou e-mail > dele de lá, não fez logoff e aí alguém entrou e fez a festa. Só queria > ver agora ele processar a OAB por isso. > > É isso e grande abraço > ------------------------- > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd >
Gondim, obrigado pelos esclarecimentos enriquecedores, tenho assunto para uma boa discussão com o amigo delegado. No caso do log do squid é fácil eu conseguir uma autorização. Quanto ao email institucional, bem, penso eu que, se eu for gravar tudo que os usuários enviam e recebe, vou pŕecisar de muito espaço, ou tem como eu capturar apenas um log que registre por exemplo, de onde e para onde com a data acho que já ajudaria. Mas eu penso no caso dos que usam email externo do tipo hotmail, não teria como capturar muita coisa, a não ser a data e hora que ele acessou o email. Agora, no meu caso como não tenho AS o jeito é natear as conexões dos usuários, e neste caso, como eu vou capturar tais informações? Penso eu que bastaria setar a regra do nat para ser logado, e armazenar estes logs, estou certo? abraços -- *ENIO RODRIGO MARCONCINI* @eniomarconcini <http://twitter.com/eniomarconcini> skype: eniorm facebook.com/eniomarconcini <http://www.facebook.com/eniomarconcini> *"UNIX was not designed to stop its users from doing stupid things, as that would also stop them from doing clever things." * ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
