Witam wszystkich.

Zdarzyla sie taka sytuacja:
Byla sobie siec osiedlowa na 4 osoby, korzystajaca z SDI. Pewnego dnia
przyszli Panowie z Policji, zabrali serwer udostepniajacy inet (material
dowodowy) i od tamtej pory wszyscy uzytkownicy sieci, wlacznie z adminem sa
ciagani po sadach.

Dlaczego?
Jeden z uzytkownikow uzyl kradzionej karty kredytowej do zaplacenia za cos
na jakiejs stronie w internecie. Odpowiednie Sluzby dotarly do adresu IP w/w
serwera, zostawionego w logach. Tepsa udostepnila dane osoby, z ktora
podpisala umowe na SDI, w ktorej widnieje tenze adres IP.

Czas jaki minal od uzycia karty do dnia kiedy przyszla Policja: 4 miesiace.

Duzi dostawcy podaja w RIPE dokladne dane do kogo przydzielili konkretne
pule adresow i wlasciwie nie maja od tej pory nic wspolnego z tymi IPkami.
A co jesli taka sytuacja zdarzy sie w srednim lub malym ISP?
Jezeli przyjda i zabiora jakas czesc lub calosc sprzetu, ktory jest
niezbedny do zapewnienia swiadczenia uslug transmisji danych? Praktycznie
koniec dzialalnosci takiego ISP (malego na pewno).
Jak sie przed tym bronic?

Macie jakies propozycje? Moje sa nastepujace:

- Magazynowanie logow z polaczen IP, zawierajacych adres i port zdrodlowy oraz
docelowy wraz z czasem zdarzenia (cos w stylu tcpdump'a).
- Trzymanie logow z serwera proxy (pytanie tylko jak zidentyfikowac
uzytkownikow za NATem? ident?)
- Nagrywanie tego na plytki CD-R i trzymanie N miesiecy (byc moze nawet tyle
ile wynosi czas po jakim nastepuje przedawnienie sprawy - nie wiem, 5 lat?)
- Zawarcie w umowach dokladnych informacji o tym jakie rutowalne adresy
IPv4 sa przydzielane klientowi

Czy to dobre podejscie?

Pozostaje kwestia sieci osiedlowych, a wlasciwie ich adminow,
ktorzy sa jedynymi prawnymi dysponentami "posiadanych" przez nich lacz do ISP.
Szary uzytkownik, nie majacy umowy z adminem, moze czuc sie w
przedmiotowej kwesti bezkarny bo brak bedzie bezposrednich dowodow, ktore
umozliwia jego identyfikacje za pomoca sledzenia adresow IP.
Oczywiscie wywiad srodowiskowy (czy cos w ten desen) moga zrobic i
chodzenie po sadach moze go nie ominac ale waznych dla sprawy dowodow nie
bedzie. Zastanawia mnie tylko co jesli w sieci jest 80 osob?.. :)


Czy w ogole fakt przydzielenia komus adresu IP stanowi jakikolwiek dowod?

Czy tak samo jest dla adresow rutowalnych jak i lokalnych (pierwsze sa
rejestrowane w RIPE, drugie nie)?

Czy dane z bazy whois RIPE'a w ogole cos znacza dla naszego prawa?

Jesli ISP nie wpisze na umowie konkretnego lokalnego adresu IP (w
przypadku klientow korzystajacych z NATa ISP) to czy wewnetrzny dokument
w firmie, okreslajacy kto do jakiego IP jest przydzielony, jest w stanie
rozstrzygnac sprawe dotyczaca odpowiedzialnosci?

Jak archiwizowac dane o polaczeniach tak aby mialy one pelna wartosc dowodowa?

Czy sam fakt, ze ISP posiada dane o poleczeniach uchroni go przed zejeciem
sprzetu? Czy to zapewnia punkt w regulaminie/umowie, iz operator (ISP) nie
odpowiada za niezgodne z prawem dzialania swoich klientow?

Pozdrawiam

orzi

do góry

orzi <o...@j...net.pl> wrote:

> Dlaczego?
> Jeden z uzytkownikow uzyl kradzionej karty kredytowej do zaplacenia za cos
> na jakiejs stronie w internecie.

Ciekawe czemu zastrzezona karta przeszla autoryzacje?

> Odpowiednie Sluzby dotarly do adresu IP w/w serwera, zostawionego w
> logach. Tepsa udostepnila dane osoby, z ktora podpisala umowe na SDI, w
> ktorej widnieje tenze adres IP.

Jednym z problemow uzytkownikow SDI i Neostrady sa tzw. Open Proxy.
Pozwalaja one KAZDEMU o dowolnym numerze IP (jesli sa zle skonfigurowane)
skorzystac z tego Proxy. Zgadnij jaki numer IP bedzie numerem autora
transakcji.

Sa tez tzw. trojany, programy ktore umozliwiaja osobie obcej robienie z
komputerem ofiary roznych rzeczy, np. wykorzystanie jej jako Open
Proxy. I nie pomoze na to nawet maskarada.

Jesli na serwerze sieci (badz routerze) nie ma logow to sprawa jest
przegrana. Nie da sie wykazac, ze polaczenie nastapilo za posrednictwem Open
Proxy.

> Czas jaki minal od uzycia karty do dnia kiedy przyszla Policja: 4 miesiace.

Zdecydowanie za dlugo. Przez 4 miesiace z komputerami uzytkownikow mogly
dziac sie rozne rzeczy - reinstalacje, dzialania programow antywirusowych
ktore mogly skasowac trojana itp.

> - Magazynowanie logow z polaczen IP, zawierajacych adres i port zdrodlowy oraz
> docelowy wraz z czasem zdarzenia (cos w stylu tcpdump'a).
> - Trzymanie logow z serwera proxy (pytanie tylko jak zidentyfikowac
> uzytkownikow za NATem? ident?)
> - Nagrywanie tego na plytki CD-R i trzymanie N miesiecy (byc moze nawet tyle
> ile wynosi czas po jakim nastepuje przedawnienie sprawy - nie wiem, 5 lat?)
> - Zawarcie w umowach dokladnych informacji o tym jakie rutowalne adresy
> IPv4 sa przydzielane klientowi

To wszystko oczywiscie moze sie przydac ale w przypadku np. trojana nie
musi pomoc. Ty bedziesz widzial, ze to Stefek spod 14 dokonuje transakcji.
Jak wsrod innych polaczen komputera Stefka ze swiatem wylowisz to IP ktore
steruje trojanem?

> Czy to dobre podejscie?

Na pewno trzymanie logow jest dobrym podejsciem. Natomiat jesli ktokolwiek w
wymienionej przez Ciebie sprawie zostanie skazany to bedzie to grube
naduzycie.

> Czy w ogole fakt przydzielenia komus adresu IP stanowi jakikolwiek dowod?

A to zalezy od uznania sadu. Jesli sad powola niekompetentnych ekspertow to
zaden problem.

> Czy tak samo jest dla adresow rutowalnych jak i lokalnych (pierwsze sa
> rejestrowane w RIPE, drugie nie)?

Niezupelnie. W wielu sieciach osiedlowych uzytkownik moze sobie bez problemu
zmienic numer IP w celu dokonania "zlego" polaczenia. Skad bedziesz wiedzial
do kogo nalezy taki nowy numer? Mozesz na serwerze (routerze) na sztywno
polaczyc numery IP z adresami MAC karty ale...adres MAC tez mozna zmienic.
Wtedy mozna sie podszyc pod innego uzytkownika sieci. Jesli siec "stoi" na
switchu to bedzie to trudniejsze (ale nie niemoliwe).

> Czy dane z bazy whois RIPE'a w ogole cos znacza dla naszego prawa?

Zalezy od uznania sadu.

> Jesli ISP nie wpisze na umowie konkretnego lokalnego adresu IP (w
> przypadku klientow korzystajacych z NATa ISP) to czy wewnetrzny dokument
> w firmie, okreslajacy kto do jakiego IP jest przydzielony, jest w stanie
> rozstrzygnac sprawe dotyczaca odpowiedzialnosci?

Zalezy od sadu.

> Jak archiwizowac dane o polaczeniach tak aby mialy one pelna wartosc
> dowodowa?

A da sie w ogole? Zlap jakiegos notariusza i przykuj go do serwera niech
podpisuje kazdy wydruk logow. Ale wtedy bedziesz odpowiadal za porwanie i
uwiezienie :-)

> Czy sam fakt, ze ISP posiada dane o poleczeniach uchroni go przed zejeciem
> sprzetu? Czy to zapewnia punkt w regulaminie/umowie, iz operator (ISP) nie
> odpowiada za niezgodne z prawem dzialania swoich klientow?

Nie sadze. Zajac sprzed mozna wkazdej chwili z prawdziwego badz wymyslonego
powodu.

> Pozdrawiam
> orzi

Z powazaniem
Tomasz Leszczynski
(...)

do góry

<t...@w...pdi.net> wrote in message
news:b75rma$hn7$1@nemesis.news.tpi.pl...
> orzi <o...@j...net.pl> wrote:
>
> > Dlaczego?
> > Jeden z uzytkownikow uzyl kradzionej karty kredytowej do zaplacenia za
cos
> > na jakiejs stronie w internecie.
>
> Ciekawe czemu zastrzezona karta przeszla autoryzacje?


a gdzie widzisz napis, że była zastrzeżona ?:))

--
pozdrawiam
plusz

do góry