Versão Imprimível
E ai pessoal,
Gostaria de saber como estão em seus provedores a respeito da guarda de logs de clientes, Vi que temos como guardar pelo mikrotik alguma coisa, só que guardaremos os ips internos que para justiça não adiantaria muito...
Quem já esta guardando como está fazendo?
Valeu
Radius Net, Webmikrotik são alguns que sei que fazem. Tem vários outros.
Só que ficou meio confuso o texto sobre a neutralidade neste respeito.
O Fabrício que é advogado pode ajudar a esclarecer a validade ou não dos logs.
Pois se deu muita ênfase a privacidade, mas a justiça tem usado destas exigências.
Eu até desativei no Webmikrotik o recurso por precaução. hehehe
Bom dia a todos!
Sim, os logs são obrigatórios!
Somente lembrando que devem ser logados a data e hora e os IPs de origem e destino.
Não se deve logar conteúdo.
É mais ou menos como na telefonia: grava a hora e para quem ligou, mas não grava o que foi conversado!! :)
Abraço!
Fabricio
Bom dia aproveitando o topico para esclarecer minhas duvidas quanto a este assunto.
Ex: temos ASN proprio com todos os clientes utilizando um IP publico e fixo.
Eu teria que armazenar o IP de destino e hora que o cliente acessou este IP? ; Ou posso somente armazenar quem utilizou este IP e o horario que o cliente o utilizou, sem armazenar para onde o mesmo teve acesso.
Caso o provedor não tenha esses logs, o que acontece com ele?
Multa? De quanto?
qual seria o programa para registrar logs, com o mikrotik da pra fazer?
Fabríco, grava sim.
Seguidamente vemos reproduções de conversas telefônicas nas denúncias de corrupção
A minha dúvida é: se for só o log de conexões com ip, data e hora, isso não provaria nada num processo judicial.
Sem conteúdo, nenhuma prova poderá ser validada.
Se houver um homicídio e alguém disser que eu sai de casa entre tal e tal hora, isso não prova nada. Mas se provar que eu sai e fui lá no local do homicídio, daí a coisa pega.
Citação:
Postado originalmente por FabricioViana
1929, grava somente com autorização judicial. Não "fica gravando" e armazenando o tempo todo.
Os logs devem ser feitos independentemente de autorização judicial, mas sem o conteúdo.
Tem mais, para acessar os logs da operadora precisa de autorização judicial, ou seja, não pode um delegado, fiscal, etc, querer ver os logs sem autorização judicial.
Abraço
Fabricio
Bom argumento Fabrício. Ordem judicialCitação:
Postado originalmente por FabricioViana
Mas no caso de autoridades pedirem os log de conexões ao provedor, quero ver na justiça provar só com log de conexões que determinado usuário foi o responsável por um ato irregular. A não ser que o log seja do servidor visitado.
Mas do servidor do provedor não vai provar nada.... O máximo que vai provar é que ele estava ativo na internet, mas onde ele foi não vai aparecer.
É esta situação que vejo como conflito entre o Marco Civil e o que o Judiciário tem solicitado aos provedores.
Como não amigo, ex: site do BB foi invadido com ip 123.456.7.89Citação:
Postado originalmente por 1929
Ai o BB vai e descobre que o IP 123.456.7.89 é do provedor net.net
A justiça vai no provedor net.net e pergunta quem estava usando o ip 123.456.7.89 no dia e hora tal.
O provedor vai no logs e ve cliente Brito esta usando 123.456.7.89 no dia e hora tal, pronto.
Mas se o provedor nao tem ASN, fica praticamente impossivel descobrir quem era, pois o nat faz o mascaramento. O que tao fazendo quem nao tem ASN???
Mesmo usando nat?Citação:
Postado originalmente por oracl3
Por isso mesmo que eu disse que precisa o log do local onde o crime foi cometido.Citação:
Postado originalmente por RickBrito
A investigação das autoridades só vai mostrar que o suspeito está no nosso provedor, pois vai aparecer lá o ip público do servidor no caso de NAT.
Se for um provedor com AS, daí sim o log de conexões vai comprovar.
Sem um log de conteúdo não tem como provar nada para quem usa NAT
Veja, é neste ponto que eu digo: o Marco Civil não foi ao ponto principal nesta questão ou por não conhecerem como funciona a coisa ou por impedimentos legais.
Para mim, pouco progresso nesta questão.
Nosso gerenciador desativamos o log de conteúdo até termos uma definição a respeito.
O log mostra onde o sujeito andou. Pode ser considerado isso invasão de privacidade?Citação:
Postado originalmente por oracl3
Esta é a questão que vai ter que ser debatida em pouco tempo pelo judiciário.
Numa analogia com as rodovias. Você atravessa o Brasil de norte a sul e vai aparecer, seja em radares, seja em cãmeras de postos de combustível etc etc.
Dá para considerar isso invasão de privacidade? Mas tá lá. O vídeo seria como um log mostrando onde andou.
Não vai dar mais para evocar o princípio do "direito de ir e vir" sem assumir as responsabilidades.
Ter logs que comprovem é uma coisa. O mau uso destes logs é que pode ser outro complicador para a situação. Por isso a responsabilidade do provedor deve ser incluída numa futura decisão a respeito.
1929 mesmo não tendo AS existe sistema para registro de log totalmente sendo possível integrar a roteadores cisco e mikrotik.
Postei ate mesmo um print screen sendo que o post foi deletado ou sei la removido.
mencionei em valor pois tenho LP1 e LP2 e paguei por essas certificações. o que é inviável dar um manual completo da implantação do sistema.
Sendo totalmente opem source.
É verdade oracle3 sua postagem foi removida pois você estava fazendo PROPAGANDA em lugar errado.
PROPAGANDA é nos CLASSIFICADOS, e se você olhar lá em notificações também verá que levou uma advertência por essa atitude.
Citação:
Postado originalmente por oracl3
Os logs são apenas para registro de acesso como prova de que aquele determinado ip de sua rede interna realizou acesso seja por ssh, telnet, etc a um determinado site.
sendo que para qualquer invasão a sites, a segurança é de responsabilidade da empresa que presta suporte ao site.
seja um ataque por negação de serviço sera gerado vários logs repetidos do mesmo IP, simplesmente o que faço é gera um regra para limita conexões simultâneas.
Pois afeta o meu roteador. gerando alto processamento em meu roteador.
Agora é impossível a justiça saber de onde partiu o ataque pois quem não tem ASN não tem ip fixo e nem range de ip.
E quem usa ADSL o IP é trocado a cada 1 dia.
O grande problema Ricardo Romero.
Que realmente acabei informando em valor ou custo para implantação.
Mais deixa quieto não sou eu quem estou precisando como você mesmo viu em meu post possuo muito conhecimento.
Postei apenas para informar que existe soluções mais são complexas e exigem muita configuração e depois de configuradas da um banho em muitas soluções pagas.
Pois todas as soluções Opensources tem grupos de mantenedores, com constante atualizações.
Oracle, seria possivel fazer sem ASn correto!? Poderia me enviar mp com custo e maquina necessaria
Segue os softwares utilizados:
Debian 3.2.0-4-amd64 #1 SMP Debian 3.2.51-1 x86_64
Apache/2.2.22 (Debian)
PHP/5.3.10-1
MySQL Server 5.5.33-0+wheezy1 - (Debian)
phpMyAdmin-4.2.5-all-languages
VsFTPd 2.3.5-3
Rsyslog-5.8.11
LogAnalyzer-3.6.5
A configuração e integração ao mikrotik só adiciona no skype que explico.
[email protected]
fico show de bola, parabens!
Parabéns, ficou um sistema bem interessante.
É registrado todos os acessos e não gera processamento no mikrotik.
e usa apenas uma regra em filter rules.
ele nao tem perigo de perder? ou faz algum backup en algum lugar
Entendo em partes sua ponto de vista, não vou totalmente contra, pois seria simples eu dizer que esta errado em armazenar logs de conteúdo sendo que não tenho uma solução para não armazenar esse tipo de log nesses casos, mas acredito que é contra a privacidade esse modo, mesmo sendo "confidencial". Acredito que a 2 opções para evitar isso, conseguir um AS e soltar IP publico (que no momento esta bem difícil) aos clientes ou implementar de vez o IPv6 logo e tudo isso acabaria.Citação:
Postado originalmente por 1929
gabrielgiro
Todos os logs são armazenados, faço master replicação em 2 servidores MySQL
RickBrito,
não considero confidencial um monte de endereço ips salvos com destino e origem, porta e etc.
Caros,
Tenho alguma experiencia nesta parte, já fomos acionados em vários casos para ajudar a justiça na solução dos processos.
É muito simples, veja como acontece:
Cliente seu, comete um crime pela internet (pedofilia, ameaça, etc), ocultando inclusive sua identidade (usando um perfil falso, uma conta de email falsa, etc).
A vitima por sua vez, abre um processo contra a empresa que tem posse dos dados do 'criminoso'.
A empresa processada (com base nos horários informados), envia uma relação de IP´s que acessaram aquela conta, e-mail ou site naquele horário mencionado.
Assim, de posse destas informações, a vitima deve entrar com outro processo contra a empresa (ou as empresas) que são detentoras daqueles IP´s.
A empresa detentora dos IPS (provedores, etc) vai informar ao ministério público, so dados dos endereços (Nome, endereço, etc).
Com base nisto, o(a) juiz(a) do caso, vai intimar as partes. E depois fazer a condenação.
Já tivemos vários casos aqui, informamos os dados, e a justiça foi feita. Em todos os casos houve condenação.
Tecnicamente falando, basta você saber identificar quem estava com o IP na hora e data X. Só isto basta.
É Importante responder para o JUIZ, nada de entregar para advogado das partes ou qualquer outra pessoa (mesmo que seja Delegado, etc). Responda e protocole diretamente no MP, afim de evitar problemas de quebra de sigilo.
Tá e se eu uso o Tails OS este faz com que eu estando tipo na Argentina ele dirá que estou em Liechtenstein e um usuário que está na Rússia esta na Alemanha ele criptografa todas as informações e é considerado um dos OS mas seguros do mercado mas todo OS tem seu calcanhar de Aquiles. Seria possível rastrear os logs de um usuário?
Colega a discussão aqui não é esta.Citação:
Postado originalmente por vitorfagundes
Citação:
Postado originalmente por vitorfagundes
O que tem haver o ú com as calças? Você se conectou por um provedor, ele te forneceu IP então, tá logado.
O que o seu softwarezinho do 007 faz, o que tem haver com o tópico?
Quanto ao servidor não sei, mas todo roteador doméstico grava os logs, mas como tem pouco espaço não chega a uma semana e alguns deles chegam a travar por conta disso, ou ficar lento.
Então vai precisar do log de conteúdos acessados, para poder relacionar o ip do assinante com o site ou email acessado.Citação:
Postado originalmente por alexandrecorrea
Só o log de conexões, com ip, data, hora não vai relacionar nada.
Citação:
Postado originalmente por 1929
Mas se o usuário utilizar um proxy externo não haverá como pegar isso, certo?
Mas se a pessoa usa proxy externo o ip que vai aparecer, vai ser do proxy externo.Citação:
Postado originalmente por ricromero
Você deve ter o log, dele indo ate o proxy externo.
O problema que do jeito que esta, todos tem que ter ip valido.
Na realidade isso sempre foi assim, só que hoje o Marco Civil colocou isto mais claro, pois não podemos mais fazer log de onde as pessoas estão navegando.
Desde antes dele existir o Marco Civil, era assim, exemplo.
Um caso de racismo no Facebook, a justiça pedia ao Facebook os dados da pessoa que fez o racismo ( Ip, data e hora e conteúdo ), o Facebook, fornecia isto a justiça, a justiça via quem era responsável pelo IP ( Provedor ou Operadora ).
A justiça vai ate o responsável, o responsável olhava para quem tava este IP, isso quando ele não tinha NAT e o responsável passava para outro a responsabilidade.
Agora se ele faz NAT e não tinha log de navegação de cliente, ele ficava como responsável, mais como existe varias brechas na nossa Lei, com um bom advogado ele conseguiu se salvar.
Não gente.. Não vai precisar ter log de conteúdo nenhum...
o IP que aparece se for de proxy EXTERNO, a empresa dona desse proxy vai ter que apontar qual ip usou esse proxy..
só depois então, vao saber qual é o IP do provedor.. ai voce identifica com base no horario ..
Entendi Alexandre, mas ainda. fica a dúvida com relação ao NAT. Não tem o que fazer?
Ou entrega a lista de todos os assinantes que estavam conectados no período investigado?
Com IP público é tranquilo. Só o log de conexões é suficiente pois tem a prova lá na outra ponta.
Pelo que entendi pelo tópico é em relação a questão de rastreamento dos logs certo? O quero dizer que este OS realiza conexões via proxy externo ele mascara tudo o que você acessa, o único jeito de interceptar este tipo de comunicação é no ponto de saída ao se comunicar ao servidor.Citação:
Postado originalmente por ricromero
----
Estarei logado concordo com você, mas o logs do provedor não saberão dizer onde você esteve era isso que eu queria dizer.
--
Qualquer equipamento eletrônico que possui algum software tem logs.
https://under-linux.org/showthread.p...829#post710829
Conteúdo não precisa ser "logado"
Citação:
Postado originalmente por vitorfagundes
----Citação:
Postado originalmente por 1929
Para identificar algum IP externo ou proxy externo, a informática forense utiliza-se pelo seguinte método: O último relay do circuito de rede, é chamado de nó de saída, é aquele que estabelece a conexão com o servidor de destino. Como o Tor não criptografa o tráfego entre um nó de saída e o servidor de destino (e nem poderia por questões de projeto), qualquer nó de saída está numa posição na qual pode capturar qualquer tráfego passando por ele.
Por exemplo, em 2007 um pesquisador de segurança interceptou milhares de mensagens de e-mail enviadas por embaixadas estrangeiras e grupos de direitos humanos ao redor do mundo através da espionagem das conexões que saíam de um nó de saída que ele estava rodando.
----
Desta forma que intercepta geralmente o IP de usuário aí é só pedir o mandato judicial para quebra de sigilo.
--------Citação:
Postado originalmente por ricromero
Se você não tiver o IP do site acessado logado, não terá como comprovar que o usuário acessou, qualquer advogado conseguiria derrubar uma prova dessa. Sem log de conteúdo para nada serve é o que penso.
No caso de IP público, o assinante já deixou o rastro lá site visitado. Basta um log de conexões para fechar as provas.Citação:
Postado originalmente por vitorfagundes
-----------Citação:
Postado originalmente por 1929
Sim, era neste ponto que queria chegar. Mas se você usa rede anônima, não se deixa rastro "geralmente".
Senhores,Citação:
Postado originalmente por FabricioViana
Provedores de conexão devem somente gravar o registro de conexão, que significa apenas IP que o cliente utilizou. Você precisa ter todos os IP's que o cliente utilizou em todas as suas sessões. Não é permitido gravar o destino.
Provedores de conteúdo devem gravar o IP de origem e somente as ações do usuário dentro de suas aplicações, não podem rastrear o usuário sem que o mesmo tenha consentido.
Sempre que houver um crime, o provedor de conteúdo e/ou aplicação será acionada e deverá informar o IP, que depois será remetido ao provedor de conexão para identificação do usuário.
ou será que estou entendendo errado.
Quando voces dizem que os log precisam o IP de destino, para mim este é o log correto.
Quando diziam log de conexões, para mim é só ip, dia e hora da conexão por parte do provedor.
Quando é log web, vai aparecer no log o ip do site visitado.. isto o gerenciador faz.
Temos as duas opções de log.
Logicamente que os arquivos não são armazenados. Só o IP do site visitado.
Agora sim, falamos a mesma língua.
@1929, quando você usa IP Valido nos clientes, você só precisa saber qual foi o IP que cada cliente pegou com dia e hora.
agora se você noa possui IP Valido, que começa o problema, pois teria que fazer log de cada pagina que o cliente visitou, ai isso seria contra a lei.
Pelo que eu entendi do Marco Civil, provedores de acesso tem que gerar e armazenar logs por um período de até um ano sobre os acessos realizados de dentro de sua infra-estrutura. Nada mais óbvio, se é um provedor de acesso, deve poder logar os acessos realizados.Citação:
Postado originalmente por 1929
Provedores de conteúdo (sites, redes sociais, etc) tem por obrigação armazenar logs dos conteúdos acessados e por quais endereços por um período de até 1 ano.
Como um colega falou anteriormente e foi muito bem explicado, inicialmente o processo e contra a empresa mantenedora do conteúdo que foi manipulado. Como este é um provedor de conteúdo e sabe quem acessou qual conteúdo e quando, repassa essas informações para a justiça, que então contata o provedor de acessos para saber quem é a pessoa física ou jurídica que utilizou aquele recurso de numeração alocado para seu ASN naquela data, fazendo acesso ao endereço em questão.
No meu ponto de vista é muito simples, se vc não pode apontar o culpado...
Bom quanto ao uso de softwares como TOR ou outro que foi citado aqui, o que eles fazem é conectar o usuário a uma VPN em um servidor em algum lugar do mundo, usando uma conexão criptografada.
Imaginemos o seguinte, eu conecto-me a rede TOR, usando um servidor do Kazaquistão, para acessar um site qualquer, este site vai logar meu acesso como sendo de um usuário do Kazaquistão, mesmo que eu esteja fazendo o acesso do lado da sede onde o site esteja hospedado.
Muito bem eu faço um monte de M, e alguem se sente prejudicado e abre uma ação para descobrir quem eu sou, a justiça então encaminha uma intimação ao site afetado para que informe qual endereço fez o acesso a tal conteúdo em tal data.
O site então prontamente informa a justiça que o usuário cuja o endereço IP remete a um bloco utilizado no Kazaquistão foi o responsável pelo acesso. Bom ai se a justiça conseguir intimar o responsável pelo servidor que encontra-se no Kazaquistão a informar qual foi o endereço que conectou-se na VPN na data especificada e recebeu o endereço IP que foi identificado como autor da M no site em questão, ai sim, a justiça vai entrar em contato com o ISP que me forneceu o IP, e o ISP então vai ter um log que diz, "olha o IP tal no dia tal estava em uso pelo cliente Fulano de Tal".
Na prática, acho muito pouco provável que nestes casos chegue-se realmente ao autor da M, mais e se eu como M não usei o TOR, a justiça vai chegar facilmente ao ISP que o usuário estava conectado, e este que se vire nos 30 para identificar o mesmo e não assumir a culpa para sí.
Quanto aos que usam ADSL, é a mesma coisa, o ISP neste caso obviamente não é o cara revendendo ADSL, e sim a operadora que fornece a ADSL. Esta com toda certeza sabe qual cliente estava usando qual endereço em determinada data, e ao ser contatada pela justiça, o cliente deste IP será apontado como autor da M, neste caso, por não ser um AS, e em teoria não efetivamente estar autorizado a revender acesso a internet, nem sei se adianta fornecer informações sobre quem estava realmente fazendo o acesso.
Quem tem ASN e consegue fornecer IPs válidos a todos os seus clientes, basta manter o log de conexões PPPoE onde temos o IP atribuido, o usuário, e a data, como não temos NAT não preciso saber todos os endereços acessados por este usuário.
Em suma é isso, acho que isso seja tão simples, tudo tão lógico.
Eu duvido muito que fornecer os IPs de onde o sujeito andou, via nosso provedor, seja invasão de privacidade.Citação:
Postado originalmente por crnet
Invasão seria se alguém metesse a mão nestes log e divulgasse.
Mas se for para atender a uma ordem judicial não vejo onde isso seja invasão.
Veja que este é o mesmo entendimento expressado pelo Fabricio Viana quando disse IP de origem e IP de destino.