1. O que o CERT.br? O CERT.

.br -- Centro de Estudos, Resposta e Tratamento de Incidentes de Segurana no Brasil -- o Grupo de Resposta a Incidentes de Segurana para a Internet brasileira, mantido pelo Comit Gestor da Internet no Brasil. o grupo responsvel por receber, analisar e responder a incidentes de segurana em computadores, envolvendo redes conectadas Internet brasileira. Para mais detalhes consulte a misso do CERT.br.

2. Qual a relao entre o CERT.br e o NBSO/Brazilian CERT? CERT.br o novo nome dado ao NBSO, de modo a melhor refletir sua misso e os servios prestados pelo grupo para a comunidade Internet no Brasil. No houve nenhuma outra alterao. O grupo continua com a mesma equipe e prestando os mesmos servios comunidade.

3. Quais os servios prestados pelo CERT.br? Alm do processo de resposta a incidentes em si, o CERT.br tambm atua atravs do trabalho de conscientizao sobre os problemas de segurana, da correlao entre eventos na Internet brasileira e do auxlio ao estabelecimento de novos CSIRTs no Brasil. Os servios prestados pelo CERT.br incluem: Ser um ponto nico para notificaes de incidentes de segurana no Brasil, de modo a prover a coordenao e o apoio necessrio no processo de resposta a incidentes, colocando as partes envolvidas em contato quando necessrio; Estabelecer um trabalho colaborativo com outras entidades, como as polcias, provedores de acesso e servios Internet e backbones; Dar suporte ao processo de recuperao e anlise de sistemas comprometidos; Oferecer treinamento na rea de resposta a incidentes de segurana, especialmente para membros de CSIRTs e para instituies que estejam criando seu prprio grupo.

4. Como fao para entrar em contato com o CERT.br? O CERT.br atende ao pblico exclusivamente atravs de email. As informaes para contato esto disponveis em: http://www.cert.br/contato/

5. Que tipo de notificaes de incidentes o CERT.br recebe? Como o CERT.br auxilia o tratamento de qualquer incidente envolvendo redes conectadas Internet no Brasil, o grupo recebe notificaes de quaisquer atividades que sejam julgadas um incidente de segurana pelas partes envolvidas. Estes incidentes podem ser varreduras (scans), tentativas de invaso, ataques de negao de servio, ataques de engenharia social, entre outros.

6. O que um incidente de segurana? Um incidente de segurana pode ser definido como qualquer evento adverso, confirmado ou sob suspeita, relacionado segurana de sistemas de computao ou de redes de computadores. So exemplos de incidentes de segurana:
o o o o o

tentativas de ganhar acesso no autorizado a sistemas ou dados; ataques de negao de servio; uso ou acesso no autorizado a um sistema; modificaes em um sistema, sem o conhecimento, instrues ou consentimento prvio do dono do sistema; desrespeito poltica de segurana ou poltica de uso aceitvel de uma empresa ou provedor de acesso.

7. O que pode ser considerado uso abusivo da rede? No h uma definio exata do que possa ser considerado um uso abusivo da rede. Internamente s empresas e instituies, situaes que caracterizam o uso abusivo da rede, esto definidas na poltica de uso aceitvel. Na Internet como um todo, os comportamentos listados abaixo so geralmente considerados como uso abusivo:
o o o o o o

envio de SPAM (mais informaes na Cartilha de Segurana -- Parte VI); envio de correntes da felicidade e de correntes para ganhar dinheiro rpido (mais informaes na Cartilha de Segurana -- Parte IV); cpia e distribuio no autorizada de material protegido por direitos autorais; utilizao da Internet para fazer difamao, calnia, ameaas e fraudes; tentativas de ataques a outros computadores; comprometimento de computadores ou redes.

8. Por que devo notificar incidentes? Quando um ataque lanado contra uma mquina ele normalmente tem uma destas duas origens:
o o

um programa malicioso que est fazendo um ataque de modo automtico, como por exemplo um worm ou um bot; uma pessoa que pode estar ou no utilizando ferramentas que automatizam ataques.

Quando o ataque parte de uma mquina que foi vtima de um worm ou de um bot, reportar este incidente para os responsveis pela mquina que originou o ataque vai ajud-los a identificar o problema e resolv-lo. Se este no for o caso, a pessoa que est atacando o seu computador pode estar violando a poltica de uso aceitvel da rede que utiliza ou, pior ainda, pode ter invadido uma mquina e a estar utilizando para atacar outros computadores. Neste caso, avisar os responsveis pela mquina de onde parte o ataque pode alert-los para o mau comportamento de um usurio ou para uma invaso que ainda no havia sido detectada.

9. Para quem devo notificar os incidentes? Os incidentes ocorridos devem ser notificados para os responsveis pela mquina que originou a atividade e tambm para os grupos de resposta a incidentes e abusos das redes envolvidas. De modo geral a lista de pessoas/entidades a serem notificadas inclui:
o o

os responsveis pela rede que originou o incidente, incluindo o grupo de segurana e abusos, se existir um para aquela rede; o grupo de segurana e abusos da rede em que voc est conectado (seja um provedor, empresa, universidade ou outro tipo de instituio).

Caso algum dos sites envolvidos seja brasileiro mantenha o CERT.br (cert@cert.br) na cpia da mensagem.

10. Por que devo manter o CERT.br na cpia das notificaes? O CERT.br responsvel por facilitar/coordenar as aes entre sites, no caso de incidentes de segurana em computadores envolvendo redes conectadas Internet brasileira. O CERT.br tambm mantm estatsticas sobre os incidentes a ele reportados e desenvolve documentao de apoio para usurios e administradores de redes Internet. Manter o CERT.br nas cpias das notificaes de incidentes de segurana importante para permitir que:
o o o

as estatsticas geradas reflitam os incidentes ocorridos na Internet brasileira; o CERT.br escreva documentos direcionados para as necessidades dos usurios da Internet no Brasil; o CERT.br possa correlacionar dados relativos a vrios incidentes, identificar ataques coordenados, novos tipos de ataques, etc.

11. Que informaes devo incluir em uma notificao de incidente? Para que os responsveis pela rede de onde partiu o incidente possam identificar a origem da atividade necessrio que a notificao contenha dados que permitam esta identificao. So dados essenciais a serem includos em uma notificao:
o o

logs completos; data, horrio e timezone dos logs ou da ocorrncia da atividade sendo notificada;

dados completos do incidente ou qualquer outra informao que tenha sido utilizada para identificar a atividade.

12. Como o CERT.br atua nos casos de fraudes pela Internet? As aes do CERT.br tm sido em duas frentes:
o

agilizar o processo de notificao a sites que estejam hospedando cavalos de tria usados em fraudes, de modo que eles permaneam o menor tempo possvel no ar. Com isto, mesmo com os e-mails de phishing/scam referenciando estes sites, o alcance da fraude minimizado pois a URL no est mais no ar. trocar informaes com fornecedores de softwares antivrus, enviando para eles aqueles cavalos de tria que ainda no so reconhecidos pelos seus produtos. A inteno aumentar a taxa de proteo dos usurios de softwares antivrus, pois a maioria dos usurios tem o antivrus como sua principal, se no nica, defesa. Atualmente temos 25 fornecedores que recebem diariamente exemplares de novos cavalos de tria.

Para permitir que estas aes sejam mais efetivas ns temos partes deste processo j automatizadas, de forma a torn-lo mais gil e capaz de lidar com um volume maior de informaes.

13. Como fao para notificar uma tentativa de fraude pela Internet? A recomendao para aqueles que receberem emails de phishing/scam que os enviem, com contedo e cabealhos completos, para o email <cert@cert.br>. Deste modo podemos contatar o site que est hospedando o cavalo de tria, verificar se este j detectado pelos softwares antivrus e tomar as aes necessrias. Vale ressaltar que todas as notificaes de fraudes so tratadas, porm, devido ao grande volume de notificaes, nem todas as mensagens so respondidas individualmente.

14. Onde posso encontrar outras informaes a respeito de notificaes de incidentes? O CERT.br mantm uma FAQ com respostas para as dvidas mais comuns relativas ao processo de notificao de incidentes. A FAQ pode ser encontrada em: http://www.cert.br/docs/faq1.html.