[BPF] Como dar =?utf-8?Q?seguran=C3=A7a_jur=C3=ADdica_?=aos logs do ISP de =?utf-8?Q?atribui=C3=A7=C3=A3o_?=de IPs? BCP-BPF?

Elizandro Pacheco [ NextHop Solutions ] elizandro em nexthop.solutions
Sexta Dezembro 14 17:03:03 -02 2018


Só mais um adendo, o projeto MSYSLOG ( https://www.secureauth.com/labs/open-source-tools/msyslog (https://link.getmailspring.com/link/1544813961.local-336d1031-0d47-v1.5.3-420ce003@getmailspring.com/0?redirect=https%3A%2F%2Fwww.secureauth.com%2Flabs%2Fopen-source-tools%2Fmsyslog&recipient=YnBmQGxpc3Rhcy5icmFzaWxwZWVyaW5nZm9ydW0ub3Jn) ) pode ser uma alternativa a ser olhada antes de realizarmos qualquer recomendação.
Pois além de dar a possibilidade de armazenamento em banco de dados e suporte a criptografia PEO-1, que pode ser ( na verdade já é ) utilizada para dar essa garantia, de que o que foi gerado não foi manipulado.
Agora, legalmente falando, cabe saber se o entendimento do perito e/ou equipe teria o entendimento técnico suficiente pra emitir um laudo baseado nessa confiabilidade.
Creio que é o caminho, fora isso acredito que um bom advogado de defesa derrube qualquer prova nesse sentido.
Elizandro PachecoNextHop Solutions
elizandro em nexthop.solutions (https://link.getmailspring.com/link/1544813961.local-336d1031-0d47-v1.5.3-420ce003@getmailspring.com/1?redirect=mailto%3Aelizandro%40nexthop.solutions&recipient=YnBmQGxpc3Rhcy5icmFzaWxwZWVyaW5nZm9ydW0ub3Jn)
+55 (48) 999144771 (tel:+55%20(48)%20999144771)

On Dez 14 2018, at 4:51 pm, Elizandro Pacheco [ NextHop Solutions ] <elizandro em nexthop.solutions> wrote:
> Prezados, não seria melhor indicar algum serviço já renomado pra isso?
>
> Em desenvolvimento web, utilizo o https://papertrailapp.com/ (https://link.getmailspring.com/link/1544813961.local-336d1031-0d47-v1.5.3-420ce003@getmailspring.com/4?redirect=https%3A%2F%2Fpapertrailapp.com%2F&recipient=YnBmQGxpc3Rhcy5icmFzaWxwZWVyaW5nZm9ydW0ub3Jn) da própria solarwinds. Tem planos a partir de 7 dólares.
>
> Elizandro PachecoNextHop Solutions
> elizandro em nexthop.solutions (https://link.getmailspring.com/link/1544813961.local-336d1031-0d47-v1.5.3-420ce003@getmailspring.com/5?redirect=mailto%3Aelizandro%40nexthop.solutions&recipient=YnBmQGxpc3Rhcy5icmFzaWxwZWVyaW5nZm9ydW0ub3Jn)
> +55 (48) 999144771 (tel:+55%20(48)%20999144771)
>
>
>
>
>
>
>
>
>
> On Dez 14 2018, at 4:46 pm, Fernando Frediani - fhfrediani at gmail.com <mailforwards em cloudmails.net> wrote:
> >
> > Opa Ayub
> > Eu acredito que em um primeiro momento o mais importante é reforçar algumas das recomendações que foram faladas durante a apresentação do Uesley e levantarmos outras. Exemplos:
> > - Não editar o arquivo de log gerado para não correr o risco de deixar rastros de modificação que possam invalidar uma auditoria ou um laudo técnico futuro.
> > - Restringir o acesso ao servidor que armazena os logs apenas para as pessoas essenciais que necessitam ter acesso àqueles logs. É comum em muitas empresas pequenas e médias que todos os técnicos tenham acesso aos servidores. No caso do servidor de logs isso deve ser enfatizado como não recomendável.
> >
> >
> > Sobre a criação de um serviço neutro para armazenagem seja dos logs seja apenas das chaves além dos detalhes técnicos e operacionais (principalmente no que diz respeito à segurança daqueles dados ali exportados) acredito que temos que enfrentar antes alguns questionamentos naturais que podem surgir como por exemplo:
> > - Você pode subir um log para este serviço e ele fazer uma análise preliminar do conteúdo e gerar os hashes, porém como ele fará para garantir que aquele arquivo enviado não passou por modificação manual prévia ?
> > - Seria o serviço de forma automatizada capaz de realizar a maioria dos passos que uma auditoria ou a produção de um laudo técnico conseguiriam ?
> > - A operação de um serviço desses não seria nada barato dado não apenas os requisitos técnicos, mas também às questões de segurança e manutenção da credibilidade dele.
> >
> >
> > Um ponto interessante que por si só certamente não resolve toda a questão mas acaba pode dar alguma credibilidade extra à uma possível auditoria futura é: se o upload do log e/ou geração e envio da hash é feita tão logo o log é fechado (ex através do logrotate) se a demanda legal por aquela informação chega algumas semanas ou meses após o acontecido acaba por dar uma garantia maior que não foi feita nenhuma modificação àquele arquivo ** após a chegada do pedido de acesso **.
> > Resumindo: a ideia parece interessante e útil para preencher esse "limbo" que existe hoje e que pode dar margem à mais questionamentos. Necessitaria então ouvir a opinião do pessoal e levantar outros detalhes para filtrar os requisitos necessários.
> > Abraços
> > Fernando Frediani
> >
> >
> > On 13/12/2018 15:54, T. Ayub wrote:
> > >
> > > Aloha,
> > >
> > >
> > > Há instantes durante a palestra do Uesley Correa no GTER 46 entitulada "Problemas e soluções na identificação de usuários IPv6 usando RouterOS" ele fez a recomendação de cada ISP ou responsável por ISP se aconselhar com seu departamento jurídico para avaliar a necessidade de se registrar em cartório os logs de atribuição de IP. A ideia é com a fé pública do tabelião dar segurança jurídica ao ISP de não ser questionado por uma das partes envolvidas no processo sobre fraude no log. Porém, se ir em cartório reconhecer firma já é desgastante, que dirá fazê-lo continuamente para autenticar logs.
> > >
> > > Durante a abertura de perguntas, o Frediani defendeu que talvez esta medida não seja necessária, que o ônus da prova de que houve fraude no log do ISP (seja por parte dele mesmo ou de alguém que invadiu os logs guardados e os adulterou) seria de quem fizesse essa acusação. Logo, o ISP como parte neutra (não é reclamante nem réu) não precisaria se preocupar com isso.
> > >
> > > Mas como já ouvi de uma advogada que "de bundinha de neném e cabeça de juiz ninguém sabe o que e quando vai sair", sinto que precisamos abrir o debate. E se desse debate aqui chegarmos a conclusão que sim, passos e etapas adicionais são necessárias, talvez possamos redigir aqui alguma (e a primeira) BCP-BPF.
> > >
> > > Já ponho uma terceira proposta na mesa: dar fé pública ou garantir matematicamente que não houve adulteração do log não se precisa do log inteiro. Poderíamos gerar uma chave (md5, SHA256 ou similar) e depositar esta chave numa entidade neutra (uma nova ou até um cartório) ou simplesmente mandar como carta registrada (AR) em envelope lacrado para o escritório de advocacia ou o próprio ISP as chaves dos arquivos. Assim, caso alguém questione se houve fraude no arquivo, é possível provar pela chave criptográfica que o arquivo de posse do judiciário é o mesmo de quando a chave foi criada.
> > >
> > > E então senhores, que aconselhamento técnico e jurídico têm sobre o tema? Temos substância suficiente para fazer disso a primeira Best Current Practice publicada do BPF?
> > >
> > > Abraços do incansável mailer,
> > >
> > > Ayub
> > > --
> > > Twitter: https://twitter.com/Ayubio (https://link.getmailspring.com/link/1544813961.local-336d1031-0d47-v1.5.3-420ce003@getmailspring.com/8?redirect=https%3A%2F%2Ftwitter.com%2FAyubio&recipient=YnBmQGxpc3Rhcy5icmFzaWxwZWVyaW5nZm9ydW0ub3Jn)
> > > Canal no YouTube "Eu faço a internet funcionar": https://www.youtube.com/c/Ayubio (https://link.getmailspring.com/link/1544813961.local-336d1031-0d47-v1.5.3-420ce003@getmailspring.com/9?redirect=https%3A%2F%2Fwww.youtube.com%2Fc%2FAyubio&recipient=YnBmQGxpc3Rhcy5icmFzaWxwZWVyaW5nZm9ydW0ub3Jn)
> > >
> > >
> > > Blog: https://medium.com/@ayubio (https://link.getmailspring.com/link/1544813961.local-336d1031-0d47-v1.5.3-420ce003@getmailspring.com/10?redirect=https%3A%2F%2Fmedium.com%2F%40ayubio&recipient=YnBmQGxpc3Rhcy5icmFzaWxwZWVyaW5nZm9ydW0ub3Jn)
> > >
> > >
> > >
> > > _______________________________________________
> > > bpf mailing list
> > > bpf em listas.brasilpeeringforum.org (https://link.getmailspring.com/link/1544813961.local-336d1031-0d47-v1.5.3-420ce003@getmailspring.com/11?redirect=mailto%3Abpf%40listas.brasilpeeringforum.org&recipient=YnBmQGxpc3Rhcy5icmFzaWxwZWVyaW5nZm9ydW0ub3Jn)https://listas.brasilpeeringforum.org/mailman/listinfo/bpf (https://link.getmailspring.com/link/1544813961.local-336d1031-0d47-v1.5.3-420ce003@getmailspring.com/12?redirect=https%3A%2F%2Flistas.brasilpeeringforum.org%2Fmailman%2Flistinfo%2Fbpf&recipient=YnBmQGxpc3Rhcy5icmFzaWxwZWVyaW5nZm9ydW0ub3Jn)
> >
> > _______________________________________________
> > bpf mailing list
> > bpf em listas.brasilpeeringforum.org
> > https://listas.brasilpeeringforum.org/mailman/listinfo/bpf
> >
>
>

-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: <http://listas.brasilpeeringforum.org/pipermail/bpf/attachments/20181214/80bc9358/attachment-0001.html>


More information about the bpf mailing list