Nesta seção:

• 3. Notificações de Incidentes e Abusos
  • 3.1. Por que devo notificar incidentes?
  • 3.2. Para quem devo notificar os incidentes?
  • 3.3. Por que devo manter o CERT.br na cópia das notificações?
  • 3.4. Como encontro os responsáveis pela máquina de onde partiu um ataque?
  • 3.5. Que informações devo incluir em uma notificação de incidente?
  • 3.6. Como devo proceder para notificar casos de phishing/scam?
  • 3.7. Onde posso encontrar outras informações a respeito de notificações de incidentes?

3. Notificações de Incidentes e Abusos

3.1. Por que devo notificar incidentes?

Quando um ataque é lançado contra uma máquina ele normalmente tem uma destas duas origens:

• um programa malicioso que está fazendo um ataque de modo automático, como por exemplo um bot ou um worm⁵;
• uma pessoa que pode estar ou não utilizando ferramentas que automatizam ataques.

Quando o ataque parte de uma máquina que foi vítima de um bot ou worm, reportar este incidente para os responsáveis pela máquina que originou o ataque vai ajudá-los a identificar o problema e resolvê-lo.

Se este não for o caso, a pessoa que atacou o seu computador pode ter violado a política de uso aceitável da rede que utiliza ou, pior ainda, pode ter invadido uma máquina e a utilizado para atacar outros computadores. Neste caso, avisar os responsáveis pela máquina de onde partiu o ataque pode alertá-los para o mau comportamento de um usuário ou para uma invasão que ainda não havia sido detectada.

3.2. Para quem devo notificar os incidentes?

Os incidentes ocorridos devem ser notificados para os responsáveis pela máquina que originou a atividade e também para os grupos de resposta a incidentes e abusos das redes envolvidas. De modo geral a lista de pessoas/entidades a serem notificadas inclui:

• os responsáveis pela rede que originou o incidente, incluindo o grupo de segurança e abusos, se existir um para aquela rede;
• o grupo de segurança e abusos da rede em que você está conectado (seja um provedor, empresa, universidade ou outro tipo de instituição);

Mantenha o CERT.br (cert@cert.br) na cópia da mensagem, caso algum dos sites envolvidos seja brasileiro.

3.3. Por que devo manter o CERT.br na cópia das notificações?

O Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (CERT.br⁶), mantido pelo Comitê Gestor da Internet no Brasil (CGI.br), é responsável pelo tratamento de incidentes de segurança em computadores envolvendo redes conectadas à Internet no Brasil.

Dentre as atribuições do CERT.br estão:

• ser um ponto central para notificações de incidentes de segurança no Brasil, de modo a prover a coordenação e o apoio no processo de resposta a incidentes, colocando as partes envolvidas em contato quando necessário;
• manter estatísticas sobre os incidentes a ele reportados⁷;
• desenvolver documentação⁸ de apoio para usuários e administradores de redes Internet.

Manter o CERT.br nas cópias das notificações de incidentes de segurança é importante para permitir que:

• as estatísticas geradas reflitam os incidentes ocorridos na Internet brasileira;
• o CERT.br escreva documentos direcionados para as necessidades dos usuários da Internet no Brasil;
• o CERT.br possa correlacionar dados relativos a vários incidentes, identificar ataques coordenados, novos tipos de ataques, etc.

3.4. Como encontro os responsáveis pela máquina de onde partiu um ataque?

Na Internet são mantidas diversas bases de dados com as informações a respeito dos responsáveis por cada bloco de números IP⁹ existente. Estas bases de dados estão nos chamados "Servidores de Whois".

O servidor de Whois para os IPs alocados ao Brasil pode ser consultado em http://registro.br/. Para os demais países e continentes existem diversos outros servidores. O site http://www.geektools.com/whois.php aceita consultas referentes a qualquer número IP e redireciona estas consultas para os servidores de Whois apropriados.

Os passos para encontrar os dados dos responsáveis incluem:

• Acessar o site http://registro.br/ e fazer uma pesquisa pelo número IP ou pelo nome de domínio da máquina de onde partiu a atividade;
• Se o IP da máquina estiver alocado para o Brasil, os dados dos responsáveis serão exibidos;
• Se aparecer a mensagem: "Não alocado para o Brasil", significa que o IP está alocado para algum outro país. Uma consulta no site http://www.geektools.com/whois.php pode retornar os e-mails dos responsáveis.

Vale lembrar que os e-mails que são encontrados a partir destas consultas não são necessariamente os e-mails da pessoa que praticou o ataque. Estes e-mails são dos responsáveis pela rede onde a máquina está conectada, ou seja, podem ser os administradores da rede, sócios da empresa, ou qualquer outra pessoa que foi designada para cuidar da conexão da instituição com a Internet.

3.5. Que informações devo incluir em uma notificação de incidente?

Para que os responsáveis pela rede de onde partiu o incidente possam identificar a origem da atividade é necessário que a notificação contenha dados que permitam esta identificação.

São dados essenciais a serem incluídos em uma notificação:

• logs completos;
• data, horário e time zone (fuso horário) dos logs ou da ocorrência da atividade sendo notificada;
• dados completos do incidente ou qualquer outra informação que tenha sido utilizada para identificar a atividade.

3.6. Como devo proceder para notificar casos de phishing/scam?

Um caso de phishing/scam deve ser tratado de forma diferente de outros tipos de incidente, pois não necessariamente haverá logs gerados por um firewall ou IDS, por exemplo.

O phishing/scam é uma mensagem de e-mail que procura induzir o usuário a fornecer dados pessoais e financeiros. Desta forma, uma notificação de incidente deste tipo deve conter o cabeçalho e conteúdo completos da mensagem recebida pelo usuário.

A notificação deve ser enviada para os responsáveis pelas redes envolvidas, mantendo o CERT.br (cert@cert.br) na cópia da mensagem de notificação. As informações de contato dos responsáveis pelas redes envolvidas, ou seja, do servidor de onde partiu o e-mail e do site que está hospedando o esquema fraudulento, devem ser obtidas no cabeçalho e conteúdo da mensagem de phishing/scam.

Mais detalhes sobre phishing/scam podem ser obtidos na Parte IV: Fraudes na Internet. Informações sobre como obter cabeçalhos e conteúdos completos de mensagens de e-mail podem ser encontradas na Parte VI: Spam.

3.7. Onde posso encontrar outras informações a respeito de notificações de incidentes?

O CERT.br mantém uma FAQ (Frequently Asked Questions) com respostas para as dúvidas mais comuns relativas ao processo de notificação de incidentes. A FAQ pode ser encontrada em: http://www.cert.br/docs/faq1.html.

[5] Mais detalhes sobre bot e worm estão na Parte VIII: Códigos Maliciosos (Malware). [ voltar ]
[6] Anteriormente denominado NBSO -- NIC BR Security Office. [ voltar ]
[7] http://www.cert.br/stats/ [ voltar ]
[8] http://www.cert.br/docs/ [ voltar ]
[9] O conceito de número IP pode ser encontrado no Glossário. [ voltar ]