[GTER] Projeto de crimes da Internet em votação

[bruno at openline.com.br]

--- "Renato Frederick" <frederick at dahype.org> escreveu:
> Bruno,

Olá

> Aproveitando a discussão, para um provedor de pequeno/médio porte,
> alguma sugestão para a auditoria? 

Sim

Mesmo com IP privado, pode designar um IP fixo (privado) no 
cadastramento de cada usuário e colocar esse IP no banco de 
dados do cliente como um campo para depois poder identificá-lo.

Todo acesso a porta TCP 25, force passar pelo seu servidor (com
1 IP na rede privada e 1 na pública), assim vai ficar uma linha
com o IP do cliente privado e, na hipótese do seu servidor ser
notificado, pelos cabeçalhos poderá saber o IP do cliente e quem é

Mesma coisa com o squid. Guarde o access_log e o IP do cliente
para poder cruzar as informações

Mantenha os servidores (RAS, web, squid, e-mail) sincronizados via NTP

> Não tenho idéia de o que mais possa ser salvo e como.

Para IPs privados fica dificil (ou inviável) guardar acessos
que não sejam WEB e SMTP.  Eu aqui forneço IP publico dinâmico 
desde sempre.  Se você não faz, cabe agora se preparar para
fazer, face as obrigações da nova Lei.

Eu guardo no RADIUS os logins/logouts (passo o detail para um mysql 
todo mês). Ao receber uma notificação com IP data e horário um 
select no mysql volta quem é. Dai é só ver no cadastro de clientes 
o dono do login naquele momento e os dados do mesmo e responder
a autoridade.

> Creio que a solução é dar IP válido a todos (se as operadoras
> contribuírem e deixarem de alocar prefixos ridículos como /28
> ou /29)

Por contrato elas devem fornecer IPs se você justificar a
demanda. Mesmo quando recomendam NAT, se você faz IP público
dinâmico (PPPoE, PPtP, hotspot) para rotacionar os usuários
(não deixando eles com IP público fixo) e otimizar o uso de
IPs, não há por que não receber mais endereços. Eu nunca tive
negação de recebimento de endereços e sou provedor desde 1995,
embora recentemente tenha tirado AS e CIDR próprios (que se
soubesse teria tirado muito antes, pois é uma mão na roda
para inúmeras situações)

Caso eles não forneçam, cabe ao meu ver reclamação formal 
junto a Anatel e ao Comite Gestor.

> e gerar um documento com CPF cliente X IP X alocação inicial
> X alocação final.

Ou usar algo pronto, como RADIUS. Esse padrão é encontrado
em praticamente todos os produtos do mercado, como por ex.
RAS (dialup), concentradores PPPoE e PPtP, mikrotik, ikarus, 
star-os etc.

> Como sempre, a corda arrebenta para o lado mais fraco.

Com certeza os pequenos terão custo maior de implantar esses
procedimentos. Por outro lado o descontrole nos DSL das teles
(e mesmo nos "laranjas" de autenticação) pode dar ainda muito
pano pras mangas contra as teles.

> O que acham desta solução? Creio que se questionado pela
> autoridade eu possa fornecer o dado cadastral do cliente
> com aquele IP na data do crime.

Um lembrete, verifique no seu contrato com o cliente a premissa
de divulgação de informações, para evitar também processos dos
clientes contra você. Aqui deixamos claro em contrato que em caso
de questionamento por autoridade competente não escondemos nada.

Note que autoridades não são "cartas ameaçadoras de associações
de defesa de direito autoral" ou mesmo de advogados famosos. Em
caso de dúvida, oriente o reclamante a prestar queixa e forneça
os dados somente ao delegado em inquérito ou sob solicitação 
judicial. Dessa forma se protege também de eventuais processos
de clientes por divulgação indevida de suas informações e se
livra dos oportunistas que se valem de intimidação para forçar
seus pontos de vista a revelia das Leis deste país.

[]s,
!3runo

P.S. Disclaimer: as opiniões e recomendações aqui expressas são 
minhas e não representam em absoluto a opinião das empresas onde 
trabalho, suas controladoras ou afiliadas, nem corroboram atitudes 
de terceiros efetuadas com base nas minhas recomendações. Em caso 
de dúvida, contrate um profissional jurídico competente para 
analisar caso a caso sua situação.