CERT.br

Ir para o conteúdo

Núcleo de Informação e Coordenação do Ponto BR

FAQ: Perguntas Freqüentes ao CERT.br

Índice

  1. O que é o CERT.br?
  2. Qual a relação entre o CERT.br e o NBSO/Brazilian CERT?
  3. Quais os serviços prestados pelo CERT.br?
  4. Como faço para entrar em contato com o CERT.br?
  5. Que tipo de notificações de incidentes o CERT.br recebe?
  6. O que é um incidente de segurança?
  7. O que pode ser considerado uso abusivo da rede?
  8. Por que devo notificar incidentes?
  9. Para quem devo notificar os incidentes?
  10. Por que devo manter o CERT.br na cópia das notificações?
  11. Que informações devo incluir em uma notificação de incidente?
  12. Como o CERT.br atua nos casos de fraudes pela Internet?
  13. Como faço para notificar uma tentativa de fraude pela Internet?
  14. Onde posso encontrar outras informações a respeito de notificações de incidentes?

FAQ

  1. O que é o CERT.br?

    O CERT.br -- Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil -- é o Grupo de Resposta a Incidentes de Segurança para a Internet brasileira, mantido pelo Comitê Gestor da Internet no Brasil. É o grupo responsável por receber, analisar e responder a incidentes de segurança em computadores, envolvendo redes conectadas à Internet brasileira.

    Para mais detalhes consulte a missão do CERT.br.


  2. Qual a relação entre o CERT.br e o NBSO/Brazilian CERT?

    CERT.br é o novo nome dado ao NBSO, de modo a melhor refletir sua missão e os serviços prestados pelo grupo para a comunidade Internet no Brasil.

    Não houve nenhuma outra alteração. O grupo continua com a mesma equipe e prestando os mesmos serviços à comunidade.


  3. Quais os serviços prestados pelo CERT.br?

    Além do processo de resposta a incidentes em si, o CERT.br também atua através do trabalho de conscientização sobre os problemas de segurança, da correlação entre eventos na Internet brasileira e do auxílio ao estabelecimento de novos CSIRTs no Brasil.

    Os serviços prestados pelo CERT.br incluem:

    Ser um ponto único para notificações de incidentes de segurança no Brasil, de modo a prover a coordenação e o apoio necessário no processo de resposta a incidentes, colocando as partes envolvidas em contato quando necessário;

    Estabelecer um trabalho colaborativo com outras entidades, como as polícias, provedores de acesso e serviços Internet e backbones;

    Dar suporte ao processo de recuperação e análise de sistemas comprometidos;

    Oferecer treinamento na área de resposta a incidentes de segurança, especialmente para membros de CSIRTs e para instituições que estejam criando seu próprio grupo.


  4. Como faço para entrar em contato com o CERT.br?

    O CERT.br atende ao público exclusivamente através de email.

    As informações para contato estão disponíveis em:

    http://www.cert.br/contato/


  5. Que tipo de notificações de incidentes o CERT.br recebe?

    Como o CERT.br auxilia o tratamento de qualquer incidente envolvendo redes conectadas à Internet no Brasil, o grupo recebe notificações de quaisquer atividades que sejam julgadas um incidente de segurança pelas partes envolvidas.

    Estes incidentes podem ser varreduras (scans), tentativas de invasão, ataques de negação de serviço, ataques de engenharia social, entre outros.


  6. O que é um incidente de segurança?

    Um incidente de segurança pode ser definido como qualquer evento adverso, confirmado ou sob suspeita, relacionado à segurança de sistemas de computação ou de redes de computadores.

    São exemplos de incidentes de segurança:

    • tentativas de ganhar acesso não autorizado a sistemas ou dados;
    • ataques de negação de serviço;
    • uso ou acesso não autorizado a um sistema;
    • modificações em um sistema, sem o conhecimento, instruções ou consentimento prévio do dono do sistema;
    • desrespeito à política de segurança ou à política de uso aceitável de uma empresa ou provedor de acesso.

  7. O que pode ser considerado uso abusivo da rede?

    Não há uma definição exata do que possa ser considerado um uso abusivo da rede.

    Internamente às empresas e instituições, situações que caracterizam o uso abusivo da rede, estão definidas na política de uso aceitável. Na Internet como um todo, os comportamentos listados abaixo são geralmente considerados como uso abusivo:

    • envio de SPAM (mais informações na Cartilha de Segurança -- Parte VI);
    • envio de correntes da felicidade e de correntes para ganhar dinheiro rápido (mais informações na Cartilha de Segurança -- Parte IV);
    • cópia e distribuição não autorizada de material protegido por direitos autorais;
    • utilização da Internet para fazer difamação, calúnia, ameaças e fraudes;
    • tentativas de ataques a outros computadores;
    • comprometimento de computadores ou redes.

  8. Por que devo notificar incidentes?

    Quando um ataque é lançado contra uma máquina ele normalmente tem uma destas duas origens:

    • um programa malicioso que está fazendo um ataque de modo automático, como por exemplo um worm ou um bot;
    • uma pessoa que pode estar ou não utilizando ferramentas que automatizam ataques.

    Quando o ataque parte de uma máquina que foi vítima de um worm ou de um bot, reportar este incidente para os responsáveis pela máquina que originou o ataque vai ajudá-los a identificar o problema e resolvê-lo.

    Se este não for o caso, a pessoa que está atacando o seu computador pode estar violando a política de uso aceitável da rede que utiliza ou, pior ainda, pode ter invadido uma máquina e a estar utilizando para atacar outros computadores. Neste caso, avisar os responsáveis pela máquina de onde parte o ataque pode alertá-los para o mau comportamento de um usuário ou para uma invasão que ainda não havia sido detectada.


  9. Para quem devo notificar os incidentes?

    Os incidentes ocorridos devem ser notificados para os responsáveis pela máquina que originou a atividade e também para os grupos de resposta a incidentes e abusos das redes envolvidas. De modo geral a lista de pessoas/entidades a serem notificadas inclui:

    • os responsáveis pela rede que originou o incidente, incluindo o grupo de segurança e abusos, se existir um para aquela rede;
    • o grupo de segurança e abusos da rede em que você está conectado (seja um provedor, empresa, universidade ou outro tipo de instituição).

    Caso algum dos sites envolvidos seja brasileiro mantenha o CERT.br (cert@cert.br) na cópia da mensagem.


  10. Por que devo manter o CERT.br na cópia das notificações?

    O CERT.br é responsável por facilitar/coordenar as ações entre sites, no caso de incidentes de segurança em computadores envolvendo redes conectadas à Internet brasileira.

    O CERT.br também mantém estatísticas sobre os incidentes a ele reportados e desenvolve documentação de apoio para usuários e administradores de redes Internet.

    Manter o CERT.br nas cópias das notificações de incidentes de segurança é importante para permitir que:

    • as estatísticas geradas reflitam os incidentes ocorridos na Internet brasileira;
    • o CERT.br escreva documentos direcionados para as necessidades dos usuários da Internet no Brasil;
    • o CERT.br possa correlacionar dados relativos a vários incidentes, identificar ataques coordenados, novos tipos de ataques, etc.

  11. Que informações devo incluir em uma notificação de incidente?

    Para que os responsáveis pela rede de onde partiu o incidente possam identificar a origem da atividade é necessário que a notificação contenha dados que permitam esta identificação.

    São dados essenciais a serem incluídos em uma notificação:

    • logs completos;
    • data, horário e timezone dos logs ou da ocorrência da atividade sendo notificada;
    • dados completos do incidente ou qualquer outra informação que tenha sido utilizada para identificar a atividade.

  12. Como o CERT.br atua nos casos de fraudes pela Internet?

    As ações do CERT.br têm sido em duas frentes:

    • agilizar o processo de notificação a sites que estejam hospedando cavalos de tróia usados em fraudes, de modo que eles permaneçam o menor tempo possível no ar. Com isto, mesmo com os e-mails de phishing/scam referenciando estes sites, o alcance da fraude é minimizado pois a URL não está mais no ar.

    • trocar informações com fornecedores de softwares antivírus, enviando para eles aqueles cavalos de tróia que ainda não são reconhecidos pelos seus produtos. A intenção é aumentar a taxa de proteção dos usuários de softwares antivírus, pois a maioria dos usuários tem o antivírus como sua principal, se não única, defesa. Atualmente temos 25 fornecedores que recebem diariamente exemplares de novos cavalos de tróia.

    Para permitir que estas ações sejam mais efetivas nós temos partes deste processo já automatizadas, de forma a torná-lo mais ágil e capaz de lidar com um volume maior de informações.


  13. Como faço para notificar uma tentativa de fraude pela Internet?

    A recomendação para aqueles que receberem emails de phishing/scam é que os enviem, com conteúdo e cabeçalhos completos, para o email <cert@cert.br>. Deste modo podemos contatar o site que está hospedando o cavalo de tróia, verificar se este já é detectado pelos softwares antivírus e tomar as ações necessárias.

    Vale ressaltar que todas as notificações de fraudes são tratadas, porém, devido ao grande volume de notificações, nem todas as mensagens são respondidas individualmente.


  14. Onde posso encontrar outras informações a respeito de notificações de incidentes?

    O CERT.br mantém uma FAQ com respostas para as dúvidas mais comuns relativas ao processo de notificação de incidentes. A FAQ pode ser encontrada em: http://www.cert.br/docs/faq1.html.


$Date: 2012/03/19 21:46:50 $