SEGURANA FRAUDE TECNOLOGIA SPAM INT MALWARE PREVENO VRUS BANDA LARGA TROJAN PRIVACIDADE PHISHING WIRELESS

SPYWARE ANTIVRUS WORM BLUETOOTH SC

CRIPTOGRAFIA BOT SENHA ATAQUE FIREWAL INCIDENTE

BACKDOOR COOKIES KEYLOGGER PATCHES R PREVENO VRUS BANDA LARGA TROJAN

Cartilha de Segurana PRIVACIDADE PHISHING WIRELESS SPYWARE para Internet ANTIVRUS WORM BLUETOOTH SCAM
INCIDENTE SEGURANA FRAUDE INTERNET Parte VII: Incidentes de Segurana

TECNOLOGIA SPAM INTERNET MA

CRIPTOGRAFIA BOT SENHA ATAQUE FIREWAL

BACKDOOR COOKIES KEYLOGGER PATCHES R MALWARE ePREVENO VRUS BANDA LARGA Uso Abusivo da Rede TROJAN PRIVACIDADE PHISHING WIRELESS

SPYWARE ANTIVRUS WORM BLUETOOTH SC

Verso 3.0 Setembro de 2005 http://cartilha.cert.br/

CRIPTOGRAFIA BOT SENHA ATAQUE FIREWAL

BACKDOOR COOKIES KEYLOGGER PATCHES R

INCIDENTE SEGURANA FRAUDE TECNOLOGIA

CERT.br Centro de Estudos, Resposta e Tratamento de Incidentes de Seguranc a no Brasil

Cartilha de Seguranc a para Internet Parte VII: Incidentes de Seguranc a e Uso Abusivo da Rede

Esta parte da Cartilha aborda t opicos relativos a incidentes de seguranc a e uso abusivo da rede. S ao discutidos os conceitos de pol tica de seguranc a, pol tica de uso aceit avel, registros de eventos e sistemas de o de intrus detecc a ao. Tamb em s ao discutidos os procedimentos relativos o e noticac o de incidentes de seguranc ao processo de identicac a a a.

3.0 Setembro de 2005 Versao

http://cartilha.cert.br/

Parte VII: Incidentes de Seguranc a e Uso Abusivo da Rede

Sum ario
1 Incidentes de Seguranc a e Abusos incidente de seguranc 1.1 O que e a? . . . . . . . . . pol 1.2 O que e tica de seguranc a? . . . . . . . . . . pol 1.3 O que e tica de uso aceit avel (AUP)? . . . . . 1.4 O que pode ser considerado uso abusivo da rede? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 3 3 3 3 4 4 4 4 5 5 5 5 6 6 7 7 8 8 9 9 9

Registros de Eventos (logs) 2.1 O que s ao logs? . . . . . . . . . . . . . . . . . . . . . . . um sistema de detecc o de intrus 2.2 O que e a ao (IDS)? . . . . o de um log? 2.3 Que tipo de atividade pode ocasionar a gerac a um falso positivo? . . . . . . . . . . . . . . . . . 2.4 O que e o est 2.5 Que tipo de informac a a presente em um log? . . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

es de Incidentes e Abusos Noticac o 3.1 Por que devo noticar incidentes? . . . . . . . . . . . . . . . . . . . . . . . . . 3.2 Para quem devo noticar os incidentes? . . . . . . . . . . . . . . . . . . . . . . es? . . . . . . . . . . . . 3.3 Por que devo manter o CERT.br na c opia das noticac o 3.4 Como encontro os respons aveis pela m aquina de onde partiu um ataque? . . . . . es devo incluir em uma noticac o de incidente? . . . . . . . . . 3.5 Que informac o a 3.6 Como devo proceder para noticar casos de phishing/scam? . . . . . . . . . . . es a respeito de noticac es de incidentes? 3.7 Onde posso encontrar outras informac o o

. . . . . . .

. . . . . . .

Como Obter este Documento o Nota de Copyright e Distribuic a Agradecimentos

Cartilha de Seguranc a para Internet c 2005 CERT.br

2/9

Parte VII: Incidentes de Seguranc a e Uso Abusivo da Rede

1
1.1

Incidentes de Seguranc a e Abusos

incidente de seguranc O que e a?

Um incidente de seguranc a pode ser denido como qualquer evento adverso, conrmado ou sob ` seguranc o ou de redes de computadores. suspeita, relacionado a a de sistemas de computac a S ao exemplos de incidentes de seguranc a: tentativas de ganhar acesso n ao autorizado a sistemas ou dados; o de servic ataques de negac a o; uso ou acesso n ao autorizado a um sistema; es em um sistema, sem o conhecimento, instruc es ou consentimento pr modicac o o evio do dono do sistema; ` pol ` pol desrespeito a tica de seguranc a ou a tica de uso aceit avel de uma empresa ou provedor de acesso.

1.2

pol O que e tica de seguranc a?

` s pessoas que lidam com os recursos A pol tica de seguranc a atribui direitos e responsabilidades a o e com as informac es neles armazenados. Ela tamb computacionais de uma instituic a o em dene as es de cada um em relac o a ` seguranc atribuic o a a dos recursos com os quais trabalham. o e o que Uma pol tica de seguranc a tamb em deve prever o que pode ser feito na rede da instituic a ser a considerado inaceit avel. Tudo o que descumprir a pol tica de seguranc a pode ser considerado um incidente de seguranc a. ` s quais est Na pol tica de seguranc a tamb em s ao denidas as penalidades a ao sujeitos aqueles que n ao cumprirem a pol tica.

1.3

pol O que e tica de uso aceit avel (AUP)?

um documento que dene como A pol tica de uso aceit avel (AUP, de Acceptable Use Policy) e o podem ser utilizados. Tamb ela quem dene os os recursos computacionais de uma organizac a em e direitos e responsabilidades dos usu arios. Os provedores de acesso a Internet normalmente deixam suas pol ticas de uso aceit avel dispon veis em suas p aginas. Empresas costumam dar conhecimento da pol tica de uso aceit avel no o ou quando o funcion momento da contratac a ario comec a a utilizar os recursos computacionais da empresa.

1.4

O que pode ser considerado uso abusivo da rede?

o exata do que possa ser considerado um uso abusivo da rede. N ao h a uma denic a
Cartilha de Seguranc a para Internet c 2005 CERT.br 3/9

Parte VII: Incidentes de Seguranc a e Uso Abusivo da Rede

` s empresas e instituic es, situac es que caracterizam o uso abusivo da rede est Internamente a o o ao denidas na pol tica de uso aceit avel. Na Internet como um todo, os comportamentos listados abaixo s ao geralmente considerados como uso abusivo: es na parte VI: Spam); envio de spam (mais informac o es envio de correntes da felicidade e de correntes para ganhar dinheiro r apido (mais informac o na parte IV: Fraudes na Internet); es na parte IV: Fraudes na Internet); envio de e-mails de phishing/scam (mais informac o o n c opia e distribuic a ao autorizada de material protegido por direitos autorais; o da Internet para fazer difamac o, cal utilizac a a unia e ameac as; ataques a outros computadores; comprometimento de computadores ou redes.

2
2.1

Registros de Eventos (logs)

O que s ao logs?

Os logs s ao registros de atividades gerados por programas de computador. No caso de logs relativos a incidentes de seguranc a, eles normalmente s ao gerados por rewalls1 ou por sistemas de o de intrus detecc a ao.

2.2

um sistema de detecc o de intrus O que e a ao (IDS)?

o de intrus um programa, ou um Um sistema de detecc a ao (IDS Intrusion Detection System) e o e detectar atividades maliciosas ou an conjunto de programas, cuja func a omalas. IDSs podem ser instalados de modo a monitorar as atividades relativas a um computador ou a uma rede.

2.3

o de um log? Que tipo de atividade pode ocasionar a gerac a

Os rewalls, dependendo de como foram congurados, podem gerar logs quando algu em tenta barrado pelo rewall. Sempre que um rewall gera um log inacessar um computador e este acesso e formando que um determinado acesso foi barrado, isto pode ser considerado uma tentativa de invas ao, o 2.4). mas tamb em pode ser um falso positivo (vide sec a o de intrus J a os sistemas de detecc a ao podem gerar logs tanto para casos de tentativa de invas ao, quanto para casos em que um ataque teve sucesso. Apenas uma an alise detalhada pode dizer se uma atividade detectada por um IDS foi um ataque com sucesso. Assim como os rewalls, os sistemas de o de intrus detecc a ao tamb em podem gerar falsos positivos.
1 Maiores

o Firewalls da parte II: Riscos Envolvidos no Uso da Internet e M o. detalhes na sec a etodos de Prevenc a

Cartilha de Seguranc a para Internet c 2005 CERT.br

4/9

Parte VII: Incidentes de Seguranc a e Uso Abusivo da Rede

2.4

um falso positivo? O que e

utilizado para designar uma situac o em que um rewall ou IDS aponta O termo falso positivo e a um ataque. uma atividade como sendo um ataque, quando na verdade esta atividade n ao e Um exemplo cl assico de falso positivo ocorre no caso de usu arios que costumam se conectar em servidores de IRC e que possuem um rewall pessoal. Atualmente boa parte dos servidores de IRC possui uma pol tica de uso que dene que um usu ario, para se conectar em determinados servidores, n ao deve possuir em sua m aquina pessoal nenhum software que atue como proxy2 . Para vericar se o de conex um usu ario tem algum software deste tipo, ao receberem uma solicitac a ao por parte de um cliente, os servidores enviam para a m aquina do cliente algumas conex oes que checam pela exist encia quase certo que estas conex destes programas. Se o usu ario possuir um rewall e oes ser ao apontadas como um ataque. Outro caso comum de falso positivo ocorre quando o rewall n ao est a devidamente congurado e es feitas pelo pr indica como ataques respostas a solicitac o oprio usu ario.

2.5

o est Que tipo de informac a a presente em um log?

es: Os logs relativos a ataques recebidos pela rede, em geral, possuem as seguintes informac o Data e hor ario em que ocorreu uma determinada atividade; Enderec o IP3 de origem da atividade; Portas envolvidas; Dependendo do grau de renamento da ferramenta que gerou o log ele tamb em pode conter es como: informac o O time zone4 do hor ario do log; Protocolo utilizado (TCP, UDP, ICMP, etc). Os dados completos que foram enviados para o computador ou rede.

3
3.1

es de Incidentes e Abusos Noticac o

Por que devo noticar incidentes?

lanc Quando um ataque e ado contra uma m aquina ele normalmente tem uma destas duas origens:
o de proxy pode ser encontrada no Gloss denic a ario. o de enderec o IP pode ser encontrada no Gloss denic a ario. 4 Fuso hor es em http://www.cert.br/docs/faq1.html. ario. Mais informac o
3A 2A

Cartilha de Seguranc a para Internet c 2005 CERT.br

5/9

Parte VII: Incidentes de Seguranc a e Uso Abusivo da Rede

um programa malicioso que est a fazendo um ataque de modo autom atico, como por exemplo 5 um bot ou um worm ; uma pessoa que pode estar ou n ao utilizando ferramentas que automatizam ataques. Quando o ataque parte de uma m aquina que foi v tima de um bot ou worm, reportar este incidente para os respons aveis pela m aquina que originou o ataque vai ajud a-los a identicar o problema e resolv e-lo. Se este n ao for o caso, a pessoa que atacou o seu computador pode ter violado a pol tica de uso aceit avel da rede que utiliza ou, pior ainda, pode ter invadido uma m aquina e a utilizado para atacar outros computadores. Neste caso, avisar os respons aveis pela m aquina de onde partiu o ataque pode alert a-los para o mau comportamento de um usu ario ou para uma invas ao que ainda n ao havia sido detectada.

3.2

Para quem devo noticar os incidentes?

Os incidentes ocorridos devem ser noticados para os respons aveis pela m aquina que originou a atividade e tamb em para os grupos de resposta a incidentes e abusos das redes envolvidas. De modo geral a lista de pessoas/entidades a serem noticadas inclui: os respons aveis pela rede que originou o incidente, incluindo o grupo de seguranc a e abusos, se existir um para aquela rede; o grupo de seguranc a e abusos da rede em que voc e est a conectado (seja um provedor, empresa, o); universidade ou outro tipo de instituic a Mantenha o CERT.br (cert@cert.br) na c opia da mensagem, caso algum dos sites envolvidos seja brasileiro.

3.3

es? Por que devo manter o CERT.br na c opia das noticac o

O Centro de Estudos, Resposta e Tratamento de Incidentes de Seguranc a no Brasil (CERT.br6 ), respons mantido pelo Comit e Gestor da Internet no Brasil (CGI.br), e avel pelo tratamento de inciden` Internet no Brasil. tes de seguranc a em computadores envolvendo redes conectadas a es do CERT.br est Dentre as atribuic o ao: es de incidentes de seguranc ser um ponto central para noticac o a no Brasil, de modo a prover o e o apoio no processo de resposta a incidentes, colocando as partes envolvidas a coordenac a em contato quando necess ario; manter estat sticas sobre os incidentes a ele reportados7 ;
6 Anteriormente

detalhes sobre bot e worm est ao na parte VIII: C odigos Maliciosos (Malware). denominado NBSO NIC BR Security Ofce. 7 http://www.cert.br/stats/

5 Mais

Cartilha de Seguranc a para Internet c 2005 CERT.br

6/9

Parte VII: Incidentes de Seguranc a e Uso Abusivo da Rede

o8 de apoio para usu desenvolver documentac a arios e administradores de redes Internet. es de incidentes de seguranc importante para perManter o CERT.br nas c opias das noticac o a e mitir que: as estat sticas geradas reitam os incidentes ocorridos na Internet brasileira; o CERT.br escreva documentos direcionados para as necessidades dos usu arios da Internet no Brasil; o CERT.br possa correlacionar dados relativos a v arios incidentes, identicar ataques coordenados, novos tipos de ataques, etc.

3.4

Como encontro os respons aveis pela m aquina de onde partiu um ataque?

es a respeito dos respons Na Internet s ao mantidas diversas bases de dados com as informac o aveis 9 ao nos chamados Servidores de por cada bloco de n umeros IP existente. Estas bases de dados est Whois. O servidor de Whois para os IPs alocados ao Brasil pode ser consultado em http://registro. br/. Para os demais pa ses e continentes existem diversos outros servidores. O site http://www. geektools.com/whois.php aceita consultas referentes a qualquer n umero IP e redireciona estas consultas para os servidores de Whois apropriados. Os passos para encontrar os dados dos respons aveis incluem: Acessar o site http://registro.br/ e fazer uma pesquisa pelo n umero IP ou pelo nome de dom nio da m aquina de onde partiu a atividade; Se o IP da m aquina estiver alocado para o Brasil, os dados dos respons aveis ser ao exibidos; Se aparecer a mensagem: N ao alocado para o Brasil, signica que o IP est a alocado para algum outro pa s. Uma consulta no site http://www.geektools.com/whois.php pode retornar os e-mails dos respons aveis. Vale lembrar que os e-mails que s ao encontrados a partir destas consultas n ao s ao necessariamente os e-mails da pessoa que praticou o ataque. Estes e-mails s ao dos respons aveis pela rede onde a m aquina est a conectada, ou seja, podem ser os administradores da rede, s ocios da empresa, ou o com a Internet. qualquer outra pessoa que foi designada para cuidar da conex ao da instituic a

3.5

es devo incluir em uma noticac o de incidente? Que informac o a

Para que os respons aveis pela rede de onde partiu o incidente possam identicar a origem da necess o contenha dados que permitam esta identicac o. atividade e ario que a noticac a a o: S ao dados essenciais a serem inclu dos em uma noticac a
8 http://www.cert.br/docs/ 9O

conceito de n umero IP pode ser encontrado no Gloss ario.

Cartilha de Seguranc a para Internet c 2005 CERT.br

7/9

Parte VII: Incidentes de Seguranc a e Uso Abusivo da Rede

logs completos; data, hor ario e time zone (fuso hor ario) dos logs ou da ocorr encia da atividade sendo noticada; o que tenha sido utilizada para iden dados completos do incidente ou qualquer outra informac a ticar a atividade.

3.6

Como devo proceder para noticar casos de phishing/scam?

Um caso de phishing/scam deve ser tratado de forma diferente de outros tipos de incidente, pois n ao necessariamente haver a logs gerados por um rewall ou IDS, por exemplo. uma mensagem de e-mail que procura induzir o usu O phishing/scam e ario a fornecer dados o de incidente deste tipo deve conter o cabec pessoais e nanceiros. Desta forma, uma noticac a alho e conte udo completos da mensagem recebida pelo usu ario. o deve ser enviada para os respons A noticac a aveis pelas redes envolvidas, mantendo o CERT.br o. As informac es de contato dos respons (cert@cert.br) na c opia da mensagem de noticac a o aveis pelas redes envolvidas, ou seja, do servidor de onde partiu o e-mail e do site que est a hospedando o esquema fraudulento, devem ser obtidas no cabec alho e conte udo da mensagem de phishing/scam. Mais detalhes sobre phishing/scam podem ser obtidos na parte IV: Fraudes na Internet. Infor es sobre somo obter cabec mac o alhos e conte udos completos de mensagens de e-mail podem ser encontradas na parte VI: Spam.

3.7

es a respeito de noticac es de inOnde posso encontrar outras informac o o cidentes?

O CERT.br mant em uma FAQ (Frequently Asked Questions) com respostas para as d uvidas mais o de incidentes. A FAQ pode ser encontrada em: http: comuns relativas ao processo de noticac a //www.cert.br/docs/faq1.html.

Cartilha de Seguranc a para Internet c 2005 CERT.br

8/9

Parte VII: Incidentes de Seguranc a e Uso Abusivo da Rede

Como Obter este Documento

periodicamente Este documento pode ser obtido em http://cartilha.cert.br/. Como ele e atualizado, certique-se de ter sempre a vers ao mais recente. Caso voc e tenha alguma sugest ao para este documento ou encontre algum erro, entre em contato atrav es do enderec o doc@cert.br.

o Nota de Copyright e Distribuic a

Copyright c 20002005 CERT.br. Ele pode ser livremente copiado desde que Este documento e es: sejam respeitadas as seguintes condic o permitido fazer e distribuir c opias inalteradas deste documento, completo ou em partes, 1. E o seja mantida em todas as c contanto que esta nota de copyright e distribuic a opias, e que a o n distribuic a ao tenha ns comerciais. es de como obt 2. Se este documento for distribu do apenas em partes, instruc o e-lo por completo devem ser inclu das. vedada a distribuic o de vers o a oes modicadas deste documento, bem como a comercializac a 3. E de c opias, sem a permiss ao expressa do CERT.br. o deste documento, o CERT.br n Embora todos os cuidados tenham sido tomados na preparac a ao o absoluta das informac es nele contidas, nem se responsabiliza por eventuais congarante a correc a o ncias que possam advir do seu uso. seq ue

Agradecimentos
o deste documento, enviando coO CERT.br agradece a todos que contribu ram para a elaborac a ment arios, cr ticas, sugest oes ou revis oes.

Cartilha de Seguranc a para Internet c 2005 CERT.br

9/9