O que são logs de comunicação
A comunicação na Internet não desaparece necessariamente por completo no mesmo instante.
Sites, servidores, DNS, operadoras de comunicação, roteadores, firewalls e outros sistemas podem manter registros relacionados à comunicação.
Esses registros são chamados, em geral, de "logs de comunicação".
Logs de comunicação podem incluir não apenas o conteúdo da comunicação, mas também informações ao redor dela: horário, endereço IP de origem, destino, URL acessada, informações do navegador, , consultas DNS e semelhantes.
Ao pensar em anonimato, não basta perguntar se o conteúdo da comunicação está criptografado.
Mesmo que o conteúdo não possa ser lido, metadados associados à comunicação podem se tornar pistas de rastreamento.
Onde logs de comunicação permanecem
Log de comunicação é um registro relacionado à comunicação.
Por exemplo, ao acessar um site, o servidor Web pode registrar "quando", "de qual endereço IP", "para qual URL" e "com que informação de navegador" houve o acesso.
No entanto, logs não permanecem da mesma forma em todos os ambientes. O que é registrado muda conforme configuração do servidor, desenho da aplicação, serviço de nuvem usado, estrutura de rede e política de retenção.
O ponto importante é que a comunicação pela Internet tem vários pontos de observação. Site, DNS, operadora de comunicação, roteador, rede interna, infraestrutura de nuvem e outros lugares podem manter tipos diferentes de logs.
| Lugar onde logs podem permanecer | Informações que podem ser registradas | Principal finalidade |
|---|---|---|
| Servidor Web | Horário de acesso, IP, URL, User-Agent, referenciador e semelhantes | Análise de acesso, resposta a falhas, detecção de ataques |
| Aplicação | Histórico de login, operações, erros, ID de conta e semelhantes | Medidas contra abuso, operação do serviço |
| Resolvedor DNS | Domínio consultado, horário, informação de origem e semelhantes | Resolução de nomes, administração de rede |
| Operadora de comunicação | Horário de conexão, IP atribuído, volume, parte das informações de destino | Operação da linha, gestão de conexão |
| Roteador ou firewall | Destino, volume, comunicações bloqueadas, dispositivo interno e semelhantes | Administração de rede, segurança |
Por que logs existem
Logs não existem apenas para vigiar usuários. Em muitos casos, eles são registrados para operar serviços e redes de forma estável.
Quando um site apresenta erro, administradores consultam logs para verificar em qual URL, em que horário e que tipo de erro ocorreu.
Também em casos de login indevido, muitos acessos, varredura de vulnerabilidades, infecção por malware ou suspeita de vazamento, logs são materiais importantes de investigação.
| Finalidade | Como são usados | Exemplo |
|---|---|---|
| Resposta a falhas | Investigar causa de erros ou parada | Verificar se erros 500 aumentaram em certa URL |
| Segurança | Detectar acessos suspeitos | Verificar muitas tentativas de login em pouco tempo |
| Combate a abuso | Procurar pistas de violação de regras ou ataque | Confirmar requisições anormais ou origem incomum |
| Melhoria do serviço | Entender uso do serviço | Ver páginas mais vistas ou horários de maior acesso |
Logs são uma base para proteger serviços. Ao mesmo tempo, como podem conter informações sobre o comportamento do usuário, eles também podem gerar riscos de privacidade dependendo de como são administrados.
Logs no lado do site
Ao acessar um site, logs de acesso podem permanecer no servidor Web.
Logs de acesso típicos podem incluir endereço IP de origem, horário, método HTTP, URL, código de status, User-Agent e referenciador.
Um exemplo de URL é:
URL de exemplo : https[:]//example.com/article/network-log
Aqui, example.com é um domínio reservado para exemplos.
Mesmo usando HTTPS, o lado do site recebe o caminho e a query da URL acessada, Cookie e informações da requisição. HTTPS dificulta a leitura no caminho; não impede que o próprio site de destino receba a requisição.
No entanto, informações recebidas pelo servidor e informações realmente salvas em log não são a mesma coisa. Cookie e corpo da requisição podem ou não ser registrados, conforme servidor e aplicação.
| Informação | Conteúdo | Ponto de atenção |
|---|---|---|
| Horário de acesso | Quando ocorreu o acesso | Pode ser comparado com outros logs por horário |
| Endereço IP de origem | De qual IP houve conexão | Com CDN ou proxy, a origem direta pode ser intermediária |
| URL | Qual página ou API foi acessada | Query string pode conter identificadores |
| User-Agent | Navegador, OS, aplicativo e semelhantes | Pode indicar ambiente de uso |
| Cookie | Informação que o site salva e recebe do navegador | Pode identificar revisita ou estado de login |
| Referenciador | De qual página veio | Pode não ser enviado ou vir parcial por Referrer-Policy |
| Código de status | Resultado da requisição | 200, 301, 403, 404, 500 e outros indicam resultado |
Quando um site usa CDN, balanceador de carga ou proxy reverso, o IP visto pelo servidor Web pode ser o do intermediário, não o do usuário real. Nesse caso, o IP original do cliente pode aparecer em cabeçalhos como X-Forwarded-For ou em logs da CDN.
Logs de aplicações e autenticação
Logs no lado do servidor não se limitam ao access log do servidor Web.
Funções de login, pagamento, painel administrativo, API, banco de dados e ferramentas de monitoramento de erro também podem manter registros de operações e comportamento do sistema.
Em serviços com login, podem ser registrados eventos como:
- login bem-sucedido
- falha de login
- alteração de senha
- tentativa de autenticação em dois fatores
- emissão de sessão
- alteração de configurações da conta
- acesso ao painel administrativo
Serviços que oferecem API podem registrar qual endpoint foi chamado, por qual conta ou IP e em que horário.
Esses logs são usados para detectar login indevido, tomada de conta, abuso de permissão e uso anormal de API.
Registros em operadoras de comunicação
Ao conectar à Internet, a comunicação do usuário normalmente passa por redes de operadoras e provedores.
No lado da operadora, podem permanecer registros sobre quando a linha estava conectada, que endereço IP foi atribuído e quanto tráfego ocorreu.
Em conexões domésticas e móveis, o IP atribuído ao usuário nem sempre é fixo e pode mudar com o tempo. Por isso, a pergunta "qual linha usava este IP neste horário" depende de registros da operadora.
Em redes móveis e algumas linhas, muitos usuários podem compartilhar um único IP global. Nesse caso, além do IP, horário e número de porta podem ser relevantes para distinguir conexões.
No entanto, existir registro na operadora e qualquer pessoa poder vê-lo são coisas diferentes. Logs de operadoras normalmente não são livremente acessíveis por usuários comuns.
Registros relacionados a DNS
Ao acessar um site, navegador e OS precisam converter o domínio em endereço IP. Esse mecanismo é DNS.
Por exemplo, ao acessar:
URL de exemplo : https[:]//example.com
o dispositivo consulta o endereço IP correspondente a example.com.
Registros de DNS podem indicar de qual dispositivo ou rede, sobre qual domínio e em que horário uma consulta foi feita.
Logs DNS não registram o corpo da página Web. Mas podem indicar a qual domínio se tentou acessar.
O local onde a consulta DNS é registrada muda conforme o ambiente. Se o DNS da operadora é usado, a consulta pode chegar ao resolvedor da operadora. Se navegador ou OS usam outro resolvedor ou DNS criptografado, o destino muda.
Portanto, ao pensar em logs DNS, é preciso ver "a qual resolvedor DNS a consulta foi enviada".
Logs de roteadores e firewalls
Logs de comunicação não permanecem apenas em sites e operadoras.
Roteadores domésticos, equipamentos de rede de empresas e escolas, firewalls em nuvem, proxies e gateways também podem manter registros.
Em redes organizacionais, pode haver registros de qual dispositivo se conectou a qual servidor externo e em que horário. Isso é usado para investigar malware, acesso indevido, vazamento de informação e abuso interno.
No lado de servidores, também podem existir logs de autenticação do OS, logs de firewall, logs de SSH, logs de aplicação e logs de auditoria de nuvem.
| Tipo de log | Conteúdo que pode ser registrado | Uso |
|---|---|---|
| Log de autenticação | Login bem-sucedido, falha, IP de origem e semelhantes | Verificar login indevido e força bruta |
| Log de firewall | Comunicação permitida ou bloqueada, porta, destino e semelhantes | Detectar comunicação suspeita ou ataque |
| Log de proxy | Acesso de dispositivos internos a sites externos | Administração e investigação na rede interna |
| Log de auditoria de nuvem | Operações administrativas, APIs, mudanças de permissão | Rastrear alteração de configuração ou abuso de privilégio |
| Log de aplicação | Erros, operações, resultados de processamento | Resposta a falhas e investigação de abuso |
Assim, logs de comunicação não são apenas "registro de acesso a site"; eles existem em toda a rede e em sistemas relacionados.
Relação entre HTTPS e logs
HTTPS é importante para criptografar a comunicação e confirmar que a outra parte é a pretendida.
Mas usar HTTPS não faz com que todas as informações da comunicação desapareçam para todos.
HTTPS protege principalmente o conteúdo contra terceiros no caminho. Conteúdo de formulários, corpo da página, muitos cabeçalhos HTTP, caminho e query da URL ficam, em geral, difíceis de ler no caminho.
Por outro lado, o servidor Web de destino descriptografa e processa a requisição. Assim, o lado do site recebe URL, Cookie, User-Agent, informações de login e dados enviados em formulários.
Também no caminho, horário, IP de origem, IP de destino, volume e parte das informações de conexão TLS podem ser observáveis.
Ou seja, HTTPS é muito importante, mas não elimina o problema dos logs.
| Lado que observa | Informações que podem ficar visíveis | Informações que tendem a ficar menos visíveis |
|---|---|---|
| Site | URL, Cookie, User-Agent, conteúdo enviado, operações de login | Conteúdo que não se quer expor a terceiros no caminho |
| Terceiro no caminho | IP de origem, IP de destino, horário, volume | Corpo da página, formulários, path e query da URL |
| Resolvedor DNS | Domínio consultado, horário e semelhantes | Corpo da página e operação específica |
| Roteador ou firewall | Destino, volume, resultado de permissão ou bloqueio | Corpo HTTPS e muitos cabeçalhos HTTP |
Logs não são necessariamente ruins
Logs de comunicação são informações que exigem cuidado em anonimato e privacidade. Mas logs em si não são ruins.
Sem logs, fica difícil investigar falhas, detectar acessos indevidos, responder a tomada de conta, investigar malware e operar serviços de forma estável.
O ponto importante é para que os logs são salvos, que escopo têm, por quanto tempo ficam guardados e quem pode acessá-los.
Existir log e qualquer pessoa poder vê-lo são coisas diferentes. Logs bem administrados são importantes para proteger serviços, enquanto logs excessivos ou mal administrados se tornam risco de privacidade.
Logs viram pistas em anonimato
Ao pensar em anonimato, olhar apenas para "o conteúdo está criptografado?" é insuficiente.
Mesmo que o conteúdo não possa ser lido, horário, IP de origem, destino, consulta DNS, Cookie, User-Agent, referenciador e outras informações podem ser registradas de outra forma.
Isoladamente, essas informações nem sempre identificam diretamente uma pessoa. Mas, combinadas, podem servir para inferir semelhança de usuário, rota de acesso, sequência de ações e rede de origem.
| Informação | O que pode indicar | Ponto de atenção em anonimato |
|---|---|---|
| Horário de acesso | Quando houve comunicação | Pode ser comparado por horário com outros registros |
| Endereço IP | De qual rede houve conexão | Pode indicar linha, região ou organização |
| Consulta DNS | A qual domínio se tentou acessar | Mesmo sem corpo da página, vira pista do destino |
| Cookie | Se o acesso veio do mesmo navegador | Pode identificar revisita ou estado de login |
| User-Agent | Tipo de navegador e OS | Pode ser característica do ambiente |
| Referenciador | De qual página veio | Pode revelar parte do caminho de navegação |
| Query da URL | Pode conter busca, identificador ou sessão | Se ficar em log, vira pista de comportamento |
Em anonimato, "o conteúdo não foi lido" e "não há rastros de comunicação" não são a mesma coisa.
Mesmo com conteúdo criptografado, informações ao redor da comunicação podem permanecer. Por isso, é preciso organizar em que lugares e que tipos de logs podem existir, além de considerar criptografia.
Resumo
Logs de comunicação são registros relacionados à comunicação.
Sites, aplicações, DNS, operadoras, roteadores, firewalls, infraestrutura de nuvem e outros lugares podem manter várias informações sobre comunicação.
Entre informações comuns estão horário de acesso, IP de origem, URL, User-Agent, Cookie, referenciador, consulta DNS, destino, volume, histórico de autenticação e histórico de operações.
Logs são usados para resposta a falhas, segurança, investigação de abuso e melhoria de serviços. Portanto, são mecanismos importantes para operar serviços de Internet.
Ao mesmo tempo, em anonimato, logs podem virar pistas de rastreamento. Mesmo com conteúdo criptografado, origem, destino, horário, DNS, Cookie e User-Agent podem ser registrados de outras formas.
Entender logs de comunicação ajuda a organizar o que pode permanecer na Internet e a pensar não apenas se o conteúdo é visível, mas também onde informações ao redor da comunicação podem ficar registradas.