orzi <o...@j...net.pl> wrote:

> Dlaczego?
> Jeden z uzytkownikow uzyl kradzionej karty kredytowej do zaplacenia za cos
> na jakiejs stronie w internecie.

Ciekawe czemu zastrzezona karta przeszla autoryzacje?

> Odpowiednie Sluzby dotarly do adresu IP w/w serwera, zostawionego w
> logach. Tepsa udostepnila dane osoby, z ktora podpisala umowe na SDI, w
> ktorej widnieje tenze adres IP.

Jednym z problemow uzytkownikow SDI i Neostrady sa tzw. Open Proxy.
Pozwalaja one KAZDEMU o dowolnym numerze IP (jesli sa zle skonfigurowane)
skorzystac z tego Proxy. Zgadnij jaki numer IP bedzie numerem autora
transakcji.

Sa tez tzw. trojany, programy ktore umozliwiaja osobie obcej robienie z
komputerem ofiary roznych rzeczy, np. wykorzystanie jej jako Open
Proxy. I nie pomoze na to nawet maskarada.

Jesli na serwerze sieci (badz routerze) nie ma logow to sprawa jest
przegrana. Nie da sie wykazac, ze polaczenie nastapilo za posrednictwem Open
Proxy.

> Czas jaki minal od uzycia karty do dnia kiedy przyszla Policja: 4 miesiace.

Zdecydowanie za dlugo. Przez 4 miesiace z komputerami uzytkownikow mogly
dziac sie rozne rzeczy - reinstalacje, dzialania programow antywirusowych
ktore mogly skasowac trojana itp.

> - Magazynowanie logow z polaczen IP, zawierajacych adres i port zdrodlowy oraz
> docelowy wraz z czasem zdarzenia (cos w stylu tcpdump'a).
> - Trzymanie logow z serwera proxy (pytanie tylko jak zidentyfikowac
> uzytkownikow za NATem? ident?)
> - Nagrywanie tego na plytki CD-R i trzymanie N miesiecy (byc moze nawet tyle
> ile wynosi czas po jakim nastepuje przedawnienie sprawy - nie wiem, 5 lat?)
> - Zawarcie w umowach dokladnych informacji o tym jakie rutowalne adresy
> IPv4 sa przydzielane klientowi

To wszystko oczywiscie moze sie przydac ale w przypadku np. trojana nie
musi pomoc. Ty bedziesz widzial, ze to Stefek spod 14 dokonuje transakcji.
Jak wsrod innych polaczen komputera Stefka ze swiatem wylowisz to IP ktore
steruje trojanem?

> Czy to dobre podejscie?

Na pewno trzymanie logow jest dobrym podejsciem. Natomiat jesli ktokolwiek w
wymienionej przez Ciebie sprawie zostanie skazany to bedzie to grube
naduzycie.

> Czy w ogole fakt przydzielenia komus adresu IP stanowi jakikolwiek dowod?

A to zalezy od uznania sadu. Jesli sad powola niekompetentnych ekspertow to
zaden problem.

> Czy tak samo jest dla adresow rutowalnych jak i lokalnych (pierwsze sa
> rejestrowane w RIPE, drugie nie)?

Niezupelnie. W wielu sieciach osiedlowych uzytkownik moze sobie bez problemu
zmienic numer IP w celu dokonania "zlego" polaczenia. Skad bedziesz wiedzial
do kogo nalezy taki nowy numer? Mozesz na serwerze (routerze) na sztywno
polaczyc numery IP z adresami MAC karty ale...adres MAC tez mozna zmienic.
Wtedy mozna sie podszyc pod innego uzytkownika sieci. Jesli siec "stoi" na
switchu to bedzie to trudniejsze (ale nie niemoliwe).

> Czy dane z bazy whois RIPE'a w ogole cos znacza dla naszego prawa?

Zalezy od uznania sadu.

> Jesli ISP nie wpisze na umowie konkretnego lokalnego adresu IP (w
> przypadku klientow korzystajacych z NATa ISP) to czy wewnetrzny dokument
> w firmie, okreslajacy kto do jakiego IP jest przydzielony, jest w stanie
> rozstrzygnac sprawe dotyczaca odpowiedzialnosci?

Zalezy od sadu.

> Jak archiwizowac dane o polaczeniach tak aby mialy one pelna wartosc
> dowodowa?

A da sie w ogole? Zlap jakiegos notariusza i przykuj go do serwera niech
podpisuje kazdy wydruk logow. Ale wtedy bedziesz odpowiadal za porwanie i
uwiezienie :-)

> Czy sam fakt, ze ISP posiada dane o poleczeniach uchroni go przed zejeciem
> sprzetu? Czy to zapewnia punkt w regulaminie/umowie, iz operator (ISP) nie
> odpowiada za niezgodne z prawem dzialania swoich klientow?

Nie sadze. Zajac sprzed mozna wkazdej chwili z prawdziwego badz wymyslonego
powodu.

> Pozdrawiam
> orzi

Z powazaniem
Tomasz Leszczynski
(...)