Escolar Documentos
Profissional Documentos
Cultura Documentos
Incidentes de Seguranca e Uso Abusivo Da Rede
Incidentes de Seguranca e Uso Abusivo Da Rede
Cartilha de Segurana PRIVACIDADE PHISHING WIRELESS SPYWARE para Internet SCAM ANTIVRUS WORM BLUETOOTH
INCIDENTE VII: Incidentes de Segurana Parte SEGURANA FRAUDE INTERNET
BACKDOOR COOKIES KEYLOGGER PATCHES R MALWARE ePREVENO VRUS Rede LARGA Uso Abusivo da BANDA TROJAN PRIVACIDADE PHISHING WIRELESS
Cartilha de Seguranca para Internet Parte VII: Incidentes de Seguranca e Uso Abusivo da Rede
Esta parte da Cartilha aborda t picos relativos a incidentes de seguranca o e uso abusivo da rede. S o discutidos os conceitos de poltica de a seguranca, poltica de uso aceit vel, registros de eventos e sistemas de a deteccao de intrus o. Tamb m s o discutidos os procedimentos relativos a e a ao processo de identicacao e noticacao de incidentes de seguranca.
http://cartilha.cert.br/
Sum rio a
1 Incidentes de Seguranca e Abusos 1.1 O que e incidente de seguranca? . . . . . . . . . 1.2 O que e poltica de seguranca? . . . . . . . . . . 1.3 O que e poltica de uso aceit vel (AUP)? . . . . . a 1.4 O que pode ser considerado uso abusivo da rede? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 3 3 3 3 4 4 4 4 5 5 5 5 6 6 7 7 8 8 9 9 9
Registros de Eventos (logs) 2.1 O que s o logs? . . . . . . . . . . . . . . . . . . . . . . . a 2.2 O que e um sistema de deteccao de intrus o (IDS)? . . . . a 2.3 Que tipo de atividade pode ocasionar a geracao de um log? 2.4 O que e um falso positivo? . . . . . . . . . . . . . . . . . 2.5 Que tipo de informacao est presente em um log? . . . . . a
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
Noticacoes de Incidentes e Abusos 3.1 Por que devo noticar incidentes? . . . . . . . . . . . . . . . . . . . . . . . . . 3.2 Para quem devo noticar os incidentes? . . . . . . . . . . . . . . . . . . . . . . 3.3 Por que devo manter o CERT.br na c pia das noticacoes? . . . . . . . . . . . . o 3.4 Como encontro os respons veis pela m quina de onde partiu um ataque? . . . . . a a 3.5 Que informacoes devo incluir em uma noticacao de incidente? . . . . . . . . . 3.6 Como devo proceder para noticar casos de phishing/scam? . . . . . . . . . . . 3.7 Onde posso encontrar outras informacoes a respeito de noticacoes de incidentes?
. . . . . . .
. . . . . . .
2/9
1
1.1
Um incidente de seguranca pode ser denido como qualquer evento adverso, conrmado ou sob ` suspeita, relacionado a seguranca de sistemas de computacao ou de redes de computadores. S o exemplos de incidentes de seguranca: a tentativas de ganhar acesso n o autorizado a sistemas ou dados; a ataques de negacao de servico; uso ou acesso n o autorizado a um sistema; a modicacoes em um sistema, sem o conhecimento, instrucoes ou consentimento pr vio do dono e do sistema; ` ` desrespeito a poltica de seguranca ou a poltica de uso aceit vel de uma empresa ou provedor a de acesso.
1.2
` A poltica de seguranca atribui direitos e responsabilidades as pessoas que lidam com os recursos computacionais de uma instituicao e com as informacoes neles armazenados. Ela tamb m dene as e atribuicoes de cada um em relacao a seguranca dos recursos com os quais trabalham. ` Uma poltica de seguranca tamb m deve prever o que pode ser feito na rede da instituicao e o que e ser considerado inaceit vel. Tudo o que descumprir a poltica de seguranca pode ser considerado um a a incidente de seguranca. ` Na poltica de seguranca tamb m s o denidas as penalidades as quais est o sujeitos aqueles que e a a n o cumprirem a poltica. a
1.3
A poltica de uso aceit vel (AUP, de Acceptable Use Policy) e um documento que dene como a os recursos computacionais de uma organizacao podem ser utilizados. Tamb m e ela quem dene os e direitos e responsabilidades dos usu rios. a Os provedores de acesso a Internet normalmente deixam suas polticas de uso aceit vel dis a ponveis em suas p ginas. Empresas costumam dar conhecimento da poltica de uso aceit vel no a a momento da contratacao ou quando o funcion rio comeca a utilizar os recursos computacionais da a empresa.
1.4
N o h uma denicao exata do que possa ser considerado um uso abusivo da rede. a a
Cartilha de Seguranca para Internet c 2005 CERT.br 3/9
` Internamente as empresas e instituicoes, situacoes que caracterizam o uso abusivo da rede est o a denidas na poltica de uso aceit vel. Na Internet como um todo, os comportamentos listados abaixo a s o geralmente considerados como uso abusivo: a envio de spam (mais informacoes na parte VI: Spam); envio de correntes da felicidade e de correntes para ganhar dinheiro r pido (mais informacoes a na parte IV: Fraudes na Internet); envio de e-mails de phishing/scam (mais informacoes na parte IV: Fraudes na Internet); c pia e distribuicao n o autorizada de material protegido por direitos autorais; o a utilizacao da Internet para fazer difamacao, cal nia e ameacas; u ataques a outros computadores; comprometimento de computadores ou redes.
2
2.1
Os logs s o registros de atividades gerados por programas de computador. No caso de logs rea lativos a incidentes de seguranca, eles normalmente s o gerados por rewalls1 ou por sistemas de a deteccao de intrus o. a
2.2
Um sistema de deteccao de intrus o (IDS Intrusion Detection System) e um programa, ou um a conjunto de programas, cuja funcao e detectar atividades maliciosas ou an malas. o IDSs podem ser instalados de modo a monitorar as atividades relativas a um computador ou a uma rede.
2.3
Os rewalls, dependendo de como foram congurados, podem gerar logs quando algu m tenta e acessar um computador e este acesso e barrado pelo rewall. Sempre que um rewall gera um log informando que um determinado acesso foi barrado, isto pode ser considerado uma tentativa de invas o, a mas tamb m pode ser um falso positivo (vide secao 2.4). e J os sistemas de deteccao de intrus o podem gerar logs tanto para casos de tentativa de invas o, a a a quanto para casos em que um ataque teve sucesso. Apenas uma an lise detalhada pode dizer se uma a atividade detectada por um IDS foi um ataque com sucesso. Assim como os rewalls, os sistemas de deteccao de intrus o tamb m podem gerar falsos positivos. a e
1 Maiores
detalhes na secao Firewalls da parte II: Riscos Envolvidos no Uso da Internet e M todos de Prevencao. e
4/9
2.4
O termo falso positivo e utilizado para designar uma situacao em que um rewall ou IDS aponta uma atividade como sendo um ataque, quando na verdade esta atividade n o e um ataque. a Um exemplo cl ssico de falso positivo ocorre no caso de usu rios que costumam se conectar em a a servidores de IRC e que possuem um rewall pessoal. Atualmente boa parte dos servidores de IRC possui uma poltica de uso que dene que um usu rio, para se conectar em determinados servidores, a n o deve possuir em sua m quina pessoal nenhum software que atue como proxy2 . Para vericar se a a um usu rio tem algum software deste tipo, ao receberem uma solicitacao de conex o por parte de um a a cliente, os servidores enviam para a m quina do cliente algumas conex es que checam pela exist ncia a o e destes programas. Se o usu rio possuir um rewall e quase certo que estas conex es ser o apontadas a o a como um ataque. Outro caso comum de falso positivo ocorre quando o rewall n o est devidamente congurado e a a indica como ataques respostas a solicitacoes feitas pelo pr prio usu rio. o a
2.5
Os logs relativos a ataques recebidos pela rede, em geral, possuem as seguintes informacoes: Data e hor rio em que ocorreu uma determinada atividade; a Endereco IP3 de origem da atividade; Portas envolvidas; Dependendo do grau de renamento da ferramenta que gerou o log ele tamb m pode conter e informacoes como: O time zone4 do hor rio do log; a Protocolo utilizado (TCP, UDP, ICMP, etc). Os dados completos que foram enviados para o computador ou rede.
3
3.1
Quando um ataque e lancado contra uma m quina ele normalmente tem uma destas duas origens: a
denicao de proxy pode ser encontrada no Gloss rio. a denicao de endereco IP pode ser encontrada no Gloss rio. a 4 Fuso hor rio. Mais informacoes em http://www.cert.br/docs/faq1.html. a
3A 2A
5/9
um programa malicioso que est fazendo um ataque de modo autom tico, como por exemplo a a 5; um bot ou um worm uma pessoa que pode estar ou n o utilizando ferramentas que automatizam ataques. a Quando o ataque parte de uma m quina que foi vtima de um bot ou worm, reportar este incidente a para os respons veis pela m quina que originou o ataque vai ajud -los a identicar o problema e a a a resolv -lo. e Se este n o for o caso, a pessoa que atacou o seu computador pode ter violado a poltica de uso a aceit vel da rede que utiliza ou, pior ainda, pode ter invadido uma m quina e a utilizado para atacar a a outros computadores. Neste caso, avisar os respons veis pela m quina de onde partiu o ataque pode a a alert -los para o mau comportamento de um usu rio ou para uma invas o que ainda n o havia sido a a a a detectada.
3.2
Os incidentes ocorridos devem ser noticados para os respons veis pela m quina que originou a a a atividade e tamb m para os grupos de resposta a incidentes e abusos das redes envolvidas. De modo e geral a lista de pessoas/entidades a serem noticadas inclui: os respons veis pela rede que originou o incidente, incluindo o grupo de seguranca e abusos, se a existir um para aquela rede; o grupo de seguranca e abusos da rede em que voc est conectado (seja um provedor, empresa, e a universidade ou outro tipo de instituicao); Mantenha o CERT.br (cert@cert.br) na c pia da mensagem, caso algum dos sites envolvidos o seja brasileiro.
3.3
O Centro de Estudos, Resposta e Tratamento de Incidentes de Seguranca no Brasil (CERT.br6 ), mantido pelo Comit Gestor da Internet no Brasil (CGI.br), e respons vel pelo tratamento de incidene a ` tes de seguranca em computadores envolvendo redes conectadas a Internet no Brasil. Dentre as atribuicoes do CERT.br est o: a ser um ponto central para noticacoes de incidentes de seguranca no Brasil, de modo a prover a coordenacao e o apoio no processo de resposta a incidentes, colocando as partes envolvidas em contato quando necess rio; a manter estatsticas sobre os incidentes a ele reportados7 ;
6 Anteriormente
detalhes sobre bot e worm est o na parte VIII: C digos Maliciosos (Malware). a o denominado NBSO NIC BR Security Ofce. 7 http://www.cert.br/stats/
5 Mais
6/9
desenvolver documentacao8 de apoio para usu rios e administradores de redes Internet. a Manter o CERT.br nas c pias das noticacoes de incidentes de seguranca e importante para pero mitir que: as estatsticas geradas reitam os incidentes ocorridos na Internet brasileira; o CERT.br escreva documentos direcionados para as necessidades dos usu rios da Internet no a Brasil; o CERT.br possa correlacionar dados relativos a v rios incidentes, identicar ataques coordea nados, novos tipos de ataques, etc.
3.4
Na Internet s o mantidas diversas bases de dados com as informacoes a respeito dos respons veis a a 9 existente. Estas bases de dados est o nos chamados Servidores de a por cada bloco de n meros IP u Whois. O servidor de Whois para os IPs alocados ao Brasil pode ser consultado em http://registro. br/. Para os demais pases e continentes existem diversos outros servidores. O site http://www. geektools.com/whois.php aceita consultas referentes a qualquer n mero IP e redireciona estas u consultas para os servidores de Whois apropriados. Os passos para encontrar os dados dos respons veis incluem: a Acessar o site http://registro.br/ e fazer uma pesquisa pelo n mero IP ou pelo nome de u domnio da m quina de onde partiu a atividade; a Se o IP da m quina estiver alocado para o Brasil, os dados dos respons veis ser o exibidos; a a a Se aparecer a mensagem: No alocado para o Brasil, signica que o IP est alocado a a para algum outro pas. Uma consulta no site http://www.geektools.com/whois.php pode retornar os e-mails dos respons veis. a Vale lembrar que os e-mails que s o encontrados a partir destas consultas n o s o necessariaa a a mente os e-mails da pessoa que praticou o ataque. Estes e-mails s o dos respons veis pela rede onde a a a m quina est conectada, ou seja, podem ser os administradores da rede, s cios da empresa, ou a a o qualquer outra pessoa que foi designada para cuidar da conex o da instituicao com a Internet. a
3.5
Para que os respons veis pela rede de onde partiu o incidente possam identicar a origem da a atividade e necess rio que a noticacao contenha dados que permitam esta identicacao. a S o dados essenciais a serem includos em uma noticacao: a
8 http://www.cert.br/docs/ 9O
7/9
logs completos; data, hor rio e time zone (fuso hor rio) dos logs ou da ocorr ncia da atividade sendo noticada; a a e dados completos do incidente ou qualquer outra informacao que tenha sido utilizada para iden ticar a atividade.
3.6
Um caso de phishing/scam deve ser tratado de forma diferente de outros tipos de incidente, pois n o necessariamente haver logs gerados por um rewall ou IDS, por exemplo. a a O phishing/scam e uma mensagem de e-mail que procura induzir o usu rio a fornecer dados a pessoais e nanceiros. Desta forma, uma noticacao de incidente deste tipo deve conter o cabecalho e conte do completos da mensagem recebida pelo usu rio. u a A noticacao deve ser enviada para os respons veis pelas redes envolvidas, mantendo o CERT.br a (cert@cert.br) na c pia da mensagem de noticacao. As informacoes de contato dos respons veis o a pelas redes envolvidas, ou seja, do servidor de onde partiu o e-mail e do site que est hospedando o a esquema fraudulento, devem ser obtidas no cabecalho e conte do da mensagem de phishing/scam. u Mais detalhes sobre phishing/scam podem ser obtidos na parte IV: Fraudes na Internet. Informacoes sobre somo obter cabecalhos e conte dos completos de mensagens de e-mail podem ser u encontradas na parte VI: Spam.
3.7
O CERT.br mant m uma FAQ (Frequently Asked Questions) com respostas para as d vidas mais e u comuns relativas ao processo de noticacao de incidentes. A FAQ pode ser encontrada em: http: //www.cert.br/docs/faq1.html.
8/9
Agradecimentos
O CERT.br agradece a todos que contriburam para a elaboracao deste documento, enviando co ment rios, crticas, sugest es ou revis es. a o o
9/9