SEGURANA FRAUDE TECNOLOGIA SPAM INT MALWARE PREVENO VRUS BANDA LARGA TROJAN PRIVACIDADE PHISHING WIRELESS

SPYWARE ANTIVRUS WORM BLUETOOTH SC

CRIPTOGRAFIA BOT SENHA ATAQUE FIREWAL INCIDENTE

BACKDOOR COOKIES KEYLOGGER PATCHES R PREVENO VRUS BANDA LARGA TROJAN

Cartilha de Segurana PRIVACIDADE PHISHING WIRELESS SPYWARE para Internet SCAM ANTIVRUS WORM BLUETOOTH
INCIDENTE VII: Incidentes de Segurana Parte SEGURANA FRAUDE INTERNET

TECNOLOGIA SPAM INTERNET MA

CRIPTOGRAFIA BOT SENHA ATAQUE FIREWAL

BACKDOOR COOKIES KEYLOGGER PATCHES R MALWARE ePREVENO VRUS Rede LARGA Uso Abusivo da BANDA TROJAN PRIVACIDADE PHISHING WIRELESS

SPYWARE ANTIVRUS WORM BLUETOOTH SC

Verso 3.0 Setembro de 2005 http://cartilha.cert.br/

CRIPTOGRAFIA BOT SENHA ATAQUE FIREWAL

BACKDOOR COOKIES KEYLOGGER PATCHES R

INCIDENTE SEGURANA FRAUDE TECNOLOGIA

CERT.br Centro de Estudos, Resposta e Tratamento de Incidentes de Seguranca no Brasil

Cartilha de Seguranca para Internet Parte VII: Incidentes de Seguranca e Uso Abusivo da Rede

Esta parte da Cartilha aborda t picos relativos a incidentes de seguranca o e uso abusivo da rede. S o discutidos os conceitos de poltica de a seguranca, poltica de uso aceit vel, registros de eventos e sistemas de a deteccao de intrus o. Tamb m s o discutidos os procedimentos relativos a e a ao processo de identicacao e noticacao de incidentes de seguranca.

Versao 3.0 Setembro de 2005

http://cartilha.cert.br/

Parte VII: Incidentes de Seguranca e Uso Abusivo da Rede

Sum rio a
1 Incidentes de Seguranca e Abusos 1.1 O que e incidente de seguranca? . . . . . . . . . 1.2 O que e poltica de seguranca? . . . . . . . . . . 1.3 O que e poltica de uso aceit vel (AUP)? . . . . . a 1.4 O que pode ser considerado uso abusivo da rede? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 3 3 3 3 4 4 4 4 5 5 5 5 6 6 7 7 8 8 9 9 9

Registros de Eventos (logs) 2.1 O que s o logs? . . . . . . . . . . . . . . . . . . . . . . . a 2.2 O que e um sistema de deteccao de intrus o (IDS)? . . . . a 2.3 Que tipo de atividade pode ocasionar a geracao de um log? 2.4 O que e um falso positivo? . . . . . . . . . . . . . . . . . 2.5 Que tipo de informacao est presente em um log? . . . . . a

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

Noticacoes de Incidentes e Abusos 3.1 Por que devo noticar incidentes? . . . . . . . . . . . . . . . . . . . . . . . . . 3.2 Para quem devo noticar os incidentes? . . . . . . . . . . . . . . . . . . . . . . 3.3 Por que devo manter o CERT.br na c pia das noticacoes? . . . . . . . . . . . . o 3.4 Como encontro os respons veis pela m quina de onde partiu um ataque? . . . . . a a 3.5 Que informacoes devo incluir em uma noticacao de incidente? . . . . . . . . . 3.6 Como devo proceder para noticar casos de phishing/scam? . . . . . . . . . . . 3.7 Onde posso encontrar outras informacoes a respeito de noticacoes de incidentes?

. . . . . . .

. . . . . . .

Como Obter este Documento Nota de Copyright e Distribuicao Agradecimentos

Cartilha de Seguranca para Internet c 2005 CERT.br

2/9

Parte VII: Incidentes de Seguranca e Uso Abusivo da Rede

1
1.1

Incidentes de Seguranca e Abusos

O que e incidente de seguranca?

Um incidente de seguranca pode ser denido como qualquer evento adverso, conrmado ou sob ` suspeita, relacionado a seguranca de sistemas de computacao ou de redes de computadores. S o exemplos de incidentes de seguranca: a tentativas de ganhar acesso n o autorizado a sistemas ou dados; a ataques de negacao de servico; uso ou acesso n o autorizado a um sistema; a modicacoes em um sistema, sem o conhecimento, instrucoes ou consentimento pr vio do dono e do sistema; ` ` desrespeito a poltica de seguranca ou a poltica de uso aceit vel de uma empresa ou provedor a de acesso.

1.2

O que e poltica de seguranca?

` A poltica de seguranca atribui direitos e responsabilidades as pessoas que lidam com os recursos computacionais de uma instituicao e com as informacoes neles armazenados. Ela tamb m dene as e atribuicoes de cada um em relacao a seguranca dos recursos com os quais trabalham. ` Uma poltica de seguranca tamb m deve prever o que pode ser feito na rede da instituicao e o que e ser considerado inaceit vel. Tudo o que descumprir a poltica de seguranca pode ser considerado um a a incidente de seguranca. ` Na poltica de seguranca tamb m s o denidas as penalidades as quais est o sujeitos aqueles que e a a n o cumprirem a poltica. a

1.3

O que e poltica de uso aceit vel (AUP)? a

A poltica de uso aceit vel (AUP, de Acceptable Use Policy) e um documento que dene como a os recursos computacionais de uma organizacao podem ser utilizados. Tamb m e ela quem dene os e direitos e responsabilidades dos usu rios. a Os provedores de acesso a Internet normalmente deixam suas polticas de uso aceit vel dis a ponveis em suas p ginas. Empresas costumam dar conhecimento da poltica de uso aceit vel no a a momento da contratacao ou quando o funcion rio comeca a utilizar os recursos computacionais da a empresa.

1.4

O que pode ser considerado uso abusivo da rede?

N o h uma denicao exata do que possa ser considerado um uso abusivo da rede. a a
Cartilha de Seguranca para Internet c 2005 CERT.br 3/9

Parte VII: Incidentes de Seguranca e Uso Abusivo da Rede

` Internamente as empresas e instituicoes, situacoes que caracterizam o uso abusivo da rede est o a denidas na poltica de uso aceit vel. Na Internet como um todo, os comportamentos listados abaixo a s o geralmente considerados como uso abusivo: a envio de spam (mais informacoes na parte VI: Spam); envio de correntes da felicidade e de correntes para ganhar dinheiro r pido (mais informacoes a na parte IV: Fraudes na Internet); envio de e-mails de phishing/scam (mais informacoes na parte IV: Fraudes na Internet); c pia e distribuicao n o autorizada de material protegido por direitos autorais; o a utilizacao da Internet para fazer difamacao, cal nia e ameacas; u ataques a outros computadores; comprometimento de computadores ou redes.

2
2.1

Registros de Eventos (logs)

O que s o logs? a

Os logs s o registros de atividades gerados por programas de computador. No caso de logs rea lativos a incidentes de seguranca, eles normalmente s o gerados por rewalls1 ou por sistemas de a deteccao de intrus o. a

2.2

O que e um sistema de deteccao de intrus o (IDS)? a

Um sistema de deteccao de intrus o (IDS Intrusion Detection System) e um programa, ou um a conjunto de programas, cuja funcao e detectar atividades maliciosas ou an malas. o IDSs podem ser instalados de modo a monitorar as atividades relativas a um computador ou a uma rede.

2.3

Que tipo de atividade pode ocasionar a geracao de um log?

Os rewalls, dependendo de como foram congurados, podem gerar logs quando algu m tenta e acessar um computador e este acesso e barrado pelo rewall. Sempre que um rewall gera um log informando que um determinado acesso foi barrado, isto pode ser considerado uma tentativa de invas o, a mas tamb m pode ser um falso positivo (vide secao 2.4). e J os sistemas de deteccao de intrus o podem gerar logs tanto para casos de tentativa de invas o, a a a quanto para casos em que um ataque teve sucesso. Apenas uma an lise detalhada pode dizer se uma a atividade detectada por um IDS foi um ataque com sucesso. Assim como os rewalls, os sistemas de deteccao de intrus o tamb m podem gerar falsos positivos. a e
1 Maiores

detalhes na secao Firewalls da parte II: Riscos Envolvidos no Uso da Internet e M todos de Prevencao. e

Cartilha de Seguranca para Internet c 2005 CERT.br

4/9

Parte VII: Incidentes de Seguranca e Uso Abusivo da Rede

2.4

O que e um falso positivo?

O termo falso positivo e utilizado para designar uma situacao em que um rewall ou IDS aponta uma atividade como sendo um ataque, quando na verdade esta atividade n o e um ataque. a Um exemplo cl ssico de falso positivo ocorre no caso de usu rios que costumam se conectar em a a servidores de IRC e que possuem um rewall pessoal. Atualmente boa parte dos servidores de IRC possui uma poltica de uso que dene que um usu rio, para se conectar em determinados servidores, a n o deve possuir em sua m quina pessoal nenhum software que atue como proxy2 . Para vericar se a a um usu rio tem algum software deste tipo, ao receberem uma solicitacao de conex o por parte de um a a cliente, os servidores enviam para a m quina do cliente algumas conex es que checam pela exist ncia a o e destes programas. Se o usu rio possuir um rewall e quase certo que estas conex es ser o apontadas a o a como um ataque. Outro caso comum de falso positivo ocorre quando o rewall n o est devidamente congurado e a a indica como ataques respostas a solicitacoes feitas pelo pr prio usu rio. o a

2.5

Que tipo de informacao est presente em um log? a

Os logs relativos a ataques recebidos pela rede, em geral, possuem as seguintes informacoes: Data e hor rio em que ocorreu uma determinada atividade; a Endereco IP3 de origem da atividade; Portas envolvidas; Dependendo do grau de renamento da ferramenta que gerou o log ele tamb m pode conter e informacoes como: O time zone4 do hor rio do log; a Protocolo utilizado (TCP, UDP, ICMP, etc). Os dados completos que foram enviados para o computador ou rede.

3
3.1

Noticacoes de Incidentes e Abusos

Por que devo noticar incidentes?

Quando um ataque e lancado contra uma m quina ele normalmente tem uma destas duas origens: a
denicao de proxy pode ser encontrada no Gloss rio. a denicao de endereco IP pode ser encontrada no Gloss rio. a 4 Fuso hor rio. Mais informacoes em http://www.cert.br/docs/faq1.html. a
3A 2A

Cartilha de Seguranca para Internet c 2005 CERT.br

5/9

Parte VII: Incidentes de Seguranca e Uso Abusivo da Rede

um programa malicioso que est fazendo um ataque de modo autom tico, como por exemplo a a 5; um bot ou um worm uma pessoa que pode estar ou n o utilizando ferramentas que automatizam ataques. a Quando o ataque parte de uma m quina que foi vtima de um bot ou worm, reportar este incidente a para os respons veis pela m quina que originou o ataque vai ajud -los a identicar o problema e a a a resolv -lo. e Se este n o for o caso, a pessoa que atacou o seu computador pode ter violado a poltica de uso a aceit vel da rede que utiliza ou, pior ainda, pode ter invadido uma m quina e a utilizado para atacar a a outros computadores. Neste caso, avisar os respons veis pela m quina de onde partiu o ataque pode a a alert -los para o mau comportamento de um usu rio ou para uma invas o que ainda n o havia sido a a a a detectada.

3.2

Para quem devo noticar os incidentes?

Os incidentes ocorridos devem ser noticados para os respons veis pela m quina que originou a a a atividade e tamb m para os grupos de resposta a incidentes e abusos das redes envolvidas. De modo e geral a lista de pessoas/entidades a serem noticadas inclui: os respons veis pela rede que originou o incidente, incluindo o grupo de seguranca e abusos, se a existir um para aquela rede; o grupo de seguranca e abusos da rede em que voc est conectado (seja um provedor, empresa, e a universidade ou outro tipo de instituicao); Mantenha o CERT.br (cert@cert.br) na c pia da mensagem, caso algum dos sites envolvidos o seja brasileiro.

3.3

Por que devo manter o CERT.br na c pia das noticacoes? o

O Centro de Estudos, Resposta e Tratamento de Incidentes de Seguranca no Brasil (CERT.br6 ), mantido pelo Comit Gestor da Internet no Brasil (CGI.br), e respons vel pelo tratamento de incidene a ` tes de seguranca em computadores envolvendo redes conectadas a Internet no Brasil. Dentre as atribuicoes do CERT.br est o: a ser um ponto central para noticacoes de incidentes de seguranca no Brasil, de modo a prover a coordenacao e o apoio no processo de resposta a incidentes, colocando as partes envolvidas em contato quando necess rio; a manter estatsticas sobre os incidentes a ele reportados7 ;
6 Anteriormente

detalhes sobre bot e worm est o na parte VIII: C digos Maliciosos (Malware). a o denominado NBSO NIC BR Security Ofce. 7 http://www.cert.br/stats/

5 Mais

Cartilha de Seguranca para Internet c 2005 CERT.br

6/9

Parte VII: Incidentes de Seguranca e Uso Abusivo da Rede

desenvolver documentacao8 de apoio para usu rios e administradores de redes Internet. a Manter o CERT.br nas c pias das noticacoes de incidentes de seguranca e importante para pero mitir que: as estatsticas geradas reitam os incidentes ocorridos na Internet brasileira; o CERT.br escreva documentos direcionados para as necessidades dos usu rios da Internet no a Brasil; o CERT.br possa correlacionar dados relativos a v rios incidentes, identicar ataques coordea nados, novos tipos de ataques, etc.

3.4

Como encontro os respons veis pela m quina de onde partiu um ataque? a a

Na Internet s o mantidas diversas bases de dados com as informacoes a respeito dos respons veis a a 9 existente. Estas bases de dados est o nos chamados Servidores de a por cada bloco de n meros IP u Whois. O servidor de Whois para os IPs alocados ao Brasil pode ser consultado em http://registro. br/. Para os demais pases e continentes existem diversos outros servidores. O site http://www. geektools.com/whois.php aceita consultas referentes a qualquer n mero IP e redireciona estas u consultas para os servidores de Whois apropriados. Os passos para encontrar os dados dos respons veis incluem: a Acessar o site http://registro.br/ e fazer uma pesquisa pelo n mero IP ou pelo nome de u domnio da m quina de onde partiu a atividade; a Se o IP da m quina estiver alocado para o Brasil, os dados dos respons veis ser o exibidos; a a a Se aparecer a mensagem: No alocado para o Brasil, signica que o IP est alocado a a para algum outro pas. Uma consulta no site http://www.geektools.com/whois.php pode retornar os e-mails dos respons veis. a Vale lembrar que os e-mails que s o encontrados a partir destas consultas n o s o necessariaa a a mente os e-mails da pessoa que praticou o ataque. Estes e-mails s o dos respons veis pela rede onde a a a m quina est conectada, ou seja, podem ser os administradores da rede, s cios da empresa, ou a a o qualquer outra pessoa que foi designada para cuidar da conex o da instituicao com a Internet. a

3.5

Que informacoes devo incluir em uma noticacao de incidente?

Para que os respons veis pela rede de onde partiu o incidente possam identicar a origem da a atividade e necess rio que a noticacao contenha dados que permitam esta identicacao. a S o dados essenciais a serem includos em uma noticacao: a
8 http://www.cert.br/docs/ 9O

conceito de n mero IP pode ser encontrado no Gloss rio. u a

Cartilha de Seguranca para Internet c 2005 CERT.br

7/9

Parte VII: Incidentes de Seguranca e Uso Abusivo da Rede

logs completos; data, hor rio e time zone (fuso hor rio) dos logs ou da ocorr ncia da atividade sendo noticada; a a e dados completos do incidente ou qualquer outra informacao que tenha sido utilizada para iden ticar a atividade.

3.6

Como devo proceder para noticar casos de phishing/scam?

Um caso de phishing/scam deve ser tratado de forma diferente de outros tipos de incidente, pois n o necessariamente haver logs gerados por um rewall ou IDS, por exemplo. a a O phishing/scam e uma mensagem de e-mail que procura induzir o usu rio a fornecer dados a pessoais e nanceiros. Desta forma, uma noticacao de incidente deste tipo deve conter o cabecalho e conte do completos da mensagem recebida pelo usu rio. u a A noticacao deve ser enviada para os respons veis pelas redes envolvidas, mantendo o CERT.br a (cert@cert.br) na c pia da mensagem de noticacao. As informacoes de contato dos respons veis o a pelas redes envolvidas, ou seja, do servidor de onde partiu o e-mail e do site que est hospedando o a esquema fraudulento, devem ser obtidas no cabecalho e conte do da mensagem de phishing/scam. u Mais detalhes sobre phishing/scam podem ser obtidos na parte IV: Fraudes na Internet. Informacoes sobre somo obter cabecalhos e conte dos completos de mensagens de e-mail podem ser u encontradas na parte VI: Spam.

3.7

Onde posso encontrar outras informacoes a respeito de noticacoes de in cidentes?

O CERT.br mant m uma FAQ (Frequently Asked Questions) com respostas para as d vidas mais e u comuns relativas ao processo de noticacao de incidentes. A FAQ pode ser encontrada em: http: //www.cert.br/docs/faq1.html.

Cartilha de Seguranca para Internet c 2005 CERT.br

8/9

Parte VII: Incidentes de Seguranca e Uso Abusivo da Rede

Como Obter este Documento

Este documento pode ser obtido em http://cartilha.cert.br/. Como ele e periodicamente atualizado, certique-se de ter sempre a vers o mais recente. a Caso voc tenha alguma sugest o para este documento ou encontre algum erro, entre em contato e a atrav s do endereco doc@cert.br. e

Nota de Copyright e Distribuicao

Este documento e Copyright c 20002005 CERT.br. Ele pode ser livremente copiado desde que sejam respeitadas as seguintes condicoes: o 1. E permitido fazer e distribuir c pias inalteradas deste documento, completo ou em partes, contanto que esta nota de copyright e distribuicao seja mantida em todas as c pias, e que a o distribuicao n o tenha ns comerciais. a 2. Se este documento for distribudo apenas em partes, instrucoes de como obt -lo por completo e devem ser includas. o 3. E vedada a distribuicao de vers es modicadas deste documento, bem como a comercializacao de c pias, sem a permiss o expressa do CERT.br. o a Embora todos os cuidados tenham sido tomados na preparacao deste documento, o CERT.br n o a garante a correcao absoluta das informacoes nele contidas, nem se responsabiliza por eventuais con seq encias que possam advir do seu uso. u

Agradecimentos
O CERT.br agradece a todos que contriburam para a elaboracao deste documento, enviando co ment rios, crticas, sugest es ou revis es. a o o

Cartilha de Seguranca para Internet c 2005 CERT.br

9/9