<div dir="auto">Ferne,<div dir="auto"><br></div><div dir="auto">Al operador, la justicia pregunta que cliente usa una IP en un timestamp. Esa es la pregunta a responder. Si luego sirve para algo, es problema de otro.</div><div dir="auto"><br></div><div dir="auto">Roque</div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Sat, Mar 23, 2019, 13:26 Fernando Gont <<a href="mailto:fgont@si6networks.com">fgont@si6networks.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On 23/3/19 08:54, Carlos M. Martinez wrote:<br>
> Hola<br>
> <br>
> On 23 Mar 2019, at 12:39, Fernando Gont wrote:<br>
> <br>
>> Si el atacante atacara mejor, la pregunta de "quien usaba X puerto a tal<br>
>> hora" no tendria beneficio alguno.<br>
> <br>
> Es un “what if” que no tiene demasiado sentido considerar.<br>
<br>
SI. Y aparentemente hay muchos que *si* atacan desde la casa, asi que....<br>
<br>
<br>
> También si el<br>
> atacante no atacara, no precisaríamos loguear nada. O también si vos<br>
> supieras que el origen no usa CGN podrías no loguear puerto de origen.<br>
<br>
YO creo que el que en todo caso debe loguear es quien hace el CGN.<br>
<br>
<br>
<br>
<br>
> El tema es que, independientemente de los atacantes, creo que es<br>
> prácticamente obligatorio que los operadores de sitios y aplicaciones<br>
> hagan logging de puerto de origen.<br>
<br>
Obligatorio bajo que punto de vista...?<br>
<br>
Por otro lado... si llegado al caso mi sitio seria *victima* y *no*<br>
victimario, cual es el argumento bajo el cual mi sitio deberia loggear esto?<br>
<br>
<br>
<br>
<br>
<br>
>> A eso iba....<br>
>><br>
>> Hacer un ataque desde la casa es bastante cuestionable. Para cualquier<br>
>> cosa mas o menos redituable, el atacante mas bien ira a un cyber, y/o<br>
>> dejaria un raspberry en algun lado con conexion, para usarlo como<br>
>> plataforma de ataque...<br>
> <br>
> Si, está claro. Pero la realidad con la que por un lado los operadores<br>
> tienen una obligación independientemente de que tan imaginativo es el<br>
> atacante, y por otro lado, en realidad la mayoría de los atacantes no<br>
> son tan imaginativos.<br>
<br>
Si, es muy triste :-)<br>
<br>
<br>
<br>
<br>
> Por otro lado (ya se, use mucho esta expresión) existen las botnets,<br>
> incluso las botnets “as a service” como Luminati. Esto se traduce en que<br>
> en realidad si son “gente atacando desde la casa” (aunque ellos en si no<br>
> lo saben).<br>
<br>
Asi es. Pero estaria bueno que los bogas tengan eso en claro. No sea<br>
cosa que entren a salir ayanamientos por el simple hecho de tener una<br>
maquina infectada....<br>
<br>
-- <br>
Fernando Gont<br>
SI6 Networks<br>
e-mail: <a href="mailto:fgont@si6networks.com" target="_blank" rel="noreferrer">fgont@si6networks.com</a><br>
PGP Fingerprint: 6666 31C6 D484 63B2 8FB1 E3C4 AE25 0D55 1D4E 7492<br>
<br>
<br>
<br>
<br>
_______________________________________________<br>
LACNOG mailing list<br>
<a href="mailto:LACNOG@lacnic.net" target="_blank" rel="noreferrer">LACNOG@lacnic.net</a><br>
<a href="https://mail.lacnic.net/mailman/listinfo/lacnog" rel="noreferrer noreferrer" target="_blank">https://mail.lacnic.net/mailman/listinfo/lacnog</a><br>
Cancelar suscripcion: <a href="https://mail.lacnic.net/mailman/options/lacnog" rel="noreferrer noreferrer" target="_blank">https://mail.lacnic.net/mailman/options/lacnog</a><br>
</blockquote></div>