CERT.br

Ir para o conteúdo

Núcleo de Informação e Coordenação do Ponto BR

FAQ: Dúvidas Freqüentes ao Reportar Ataques

Índice

  1. Instalei um programa no meu computador para impedir a entrada de invasores. Que informações esse programa vai me mostrar?
  2. O que é um número IP?
  3. O que eu devo fazer quando o meu programa informar que alguém tentou invadir minha máquina?
  4. Para quem devo mandar a reclamação?
  5. Por que o programa que uso em meu computador apontou o e-mail <whois-contact@lacnic.net> como sendo da pessoa que fez o ataque?
  6. O que é um servidor de whois?
  7. Como faço para encontrar os responsáveis pelo IP que fez o ataque?
  8. Fiz a consulta no site do registro.br e recebi a seguinte mensagem "Nao alocado para o Brasil:". Como encontro o contato agora?
  9. Esses e-mails que encontrei são da pessoa que tentou me invadir?
  10. Os logs gerados pelos meus programas de proteção mostram que houve uma tentativa de invasão ou que houve uma invasão?
  11. O meu log mostra a mensagem "O invasor se desconectou deste computador após xxx segundos de conexão". Isso quer dizer que fui realmente invadido?
  12. Que informações eu devo incluir no e-mail quando faço uma reclamação?
  13. Exatamente quais das informações que aparecem no meu computador devo incluir?
  14. Em que formato devo enviar os logs?
  15. O que é timezone?
  16. Por que é importante incluir o timezone?
  17. Tentativas de invasão são consideradas crime?
  18. E se realmente houve uma invasão, isso é crime?
  19. Quando eu reclamar para o provedor, ele vai me fornecer os dados do usuário que me atacou?
  20. Como o CERT.br atua nos casos de fraudes pela Internet?
  21. Como faço para notificar uma tentativa de fraude pela Internet?
  22. Onde posso obter mais informações básicas sobre precauções que devo tomar ao utilizar a Internet?
  23. Como posso contribuir para esta FAQ?

FAQ

  1. Instalei um programa no meu computador para impedir a entrada de invasores. Que informações esse programa vai me mostrar?

    Esse programa vai mostrar algumas informações sobre os ataques que você recebeu. Em geral, essas informações são chamadas de registros de eventos, ou simplesmente logs. Esses logs contém o horário e data do ataque, IP de origem, serviço que o atacante tentou usar e o timezone. Alguns programas também fornecem uma informação inicial sobre qual instituição é reponsável pelo número IP que o atacante estava usando.

    Mais informações sobre logs podem ser encontradas na Parte VII da Cartilha de Segurança para Internet (Incidentes de Segurança e Uso Abusivo da Rede), na Seção 2: Registros de Eventos (logs).


  2. O que é um número IP?

    O IP é um número, único para cada computador, utilizado para identificá-lo na Internet. Por exemplo: 192.0.2.1


  3. O que eu devo fazer quando o meu programa informar que alguém tentou invadir minha máquina?

    Você deve fazer uma reclamação, para a rede de onde veio o ataque, que contenha todos os logs relacionados com o ataque que seu programa reportou.


  4. Para quem devo mandar a reclamação?

    Mande as reclamações diretamente para os e-mails de contato do provedor/rede de onde partiram os ataques, colocando sempre cert@cert.br no campo "Cc:" da mensagem.


  5. Por que o programa que uso em meu computador apontou o e-mail <whois-contact@lacnic.net> como sendo da pessoa que fez o ataque?

    Isso ocorre porque os programas em geral fazem consultas aos servidores de whois do ARIN e não a servidores de whois mais específicos.

    Os blocos de endereços IP alocados para o Brasil estão sob a administração do LACNIC, que cuida da alocação dos endereços IP para a América Latina e Caribe, por isso o e-mail <whois-contact@lacnic.net> é muitas vezes informado como sendo da pessoa responsável pela rede de onde partiu o ataque.

    Caso tenha obtido o e-mail <whois-contact@lacnic.net> como contato você precisa fazer uma consulta a outro servidor de whois. Nas questões 7. e 8. você encontra informações sobre como fazê-lo.


  6. O que é um servidor de whois?

    Quando alguém registra um domínio na internet ou recebe um bloco de endereços IP, estes dados ficam armazenados para consulta posterior em um servidor, que é chamado de servidor de whois.

    No Brasil, o servidor que mantém as informações sobre os IPs e domínios brasileiros é o servidor whois.nic.br, que também pode ser consultado via Web através da página http://registro.br.


  7. Como faço para encontrar os responsáveis pelo IP que fez o ataque?

    Para encontrar os e-mails de contato e o endereço de um provedor basta entrar no site do Registro.br e consultar pelo nome do domínio ou pelo número IP, em:

    http://registro.br


  8. Fiz a consulta no site do Registro.br e recebi a seguinte mensagem "Nao alocado para o Brasil:". Como encontro o contato agora?

    Isso significa que não é uma rede brasileira. Você pode então descobrir os e-mails de contato fazendo a consulta em:

    http://www.geektools.com/whois.php

    No campo "Whois:" você deve digitar o número IP e no campo "Key:" você deve digitar os caracteres de confirmação solicitados, que aparecem logo acima deste campo.


  9. Esses e-mails que encontrei são da pessoa que tentou me invadir?

    Não. Esses e-mails são das pessoas que administram a rede de onde partiu o ataque. Enviando a reclamação para estas pessoas, com os logs, elas poderão localizar o real atacante e então agir de acordo com a política da rede que administram.


  10. Os logs gerados pelos meus programas de proteção mostram que houve uma tentativa de invasão ou que houve uma invasão?

    Os logs gerados por programas como Black Ice, Norton, Jammer, Zone Alarm, esafe, entre outros, apenas mostram que houve um ataque e não que houve uma invasão. Ou seja, estes logs geralmente mostram que alguém tentou invadir, mas que não teve sucesso.


  11. O meu log mostra a mensagem "O invasor se desconectou deste computador após xxx segundos de conexão". Isso quer dizer que fui realmente invadido?

    Não, esta mensagem não indica uma invasão. A escolha das palavras usadas na mensagem do programa é que dá margem à confusão. Infelizmente o uso da palavra "invasor" faz com que muitas pessoas achem que o atacante realmente entrou na máquina, quando na verdade foi apenas uma tentativa.


  12. Que informações eu devo incluir no e-mail quando faço uma reclamação?

    Você deve incluir na mensagem os logs do ocorrido, com data, horário e timezone. Envie sempre em formato texto.


  13. Exatamente quais das informações que aparecem no meu computador devo incluir?

    Quanto mais informação você incluir melhor. Abaixo seguem 4 exemplos de logs que contém as informações necessárias:

    07/01/2001 11:53:00 SubSeven port probe IP x.x.x.x   3 tentativas
           
    The firewall has blocked Internet access to your computer
    (TCP Port 27374) from x.x.x.x (TCP Port 1569).
    Time: 16/01/01 17:14:28
           
    Date  : 2001-01-14
    Time (GMT) : 10:01:47
    Attack Type : TCP OS fingerprint
    Intruder IP : x.x.x.x
    Intruder Name :
    Port  : port=111&flags=SF&options=
    Attack Count : 3
    Victim IP : x.x.x.x
           
    21 de jan de 2001 23:56:09, Port 1243, TCP, Sub7 Trojan Horse
    IP x.x.x.x
           

    (OBS: todos os endereços IP foram trocados por "x.x.x.x")


  14. Em que formato devo enviar os logs?

    Procure sempre enviar os logs em formato ASCII (texto puro). Evite enviar logs em formatos como: .bmp, .doc, .xls, .zip, .png, etc.


  15. O que é timezone?

    Timezone é o fuso horário.

    Considerando o horário de Brasília, o Timezone é "GMT-3", mas no horário de verão ele muda para "GMT-2". Mas veja que isso só vale para quem entra no horário de verão e acompanha o horário de Brasília. Se você mora em uma região que não segue o horário de Brasília, informe-se sobre o timezone de sua região.


  16. Por que é importante incluir o timezone?

    Essa informação é muito importante, pois se você estiver em um fuso horário e quem atacou sua máquina em outro, a identificação não será possível se não for fornecido o timezone correto.


  17. Tentativas de invasão são consideradas crime?

    Tentativas de invasão não são consideradas crime. Qualquer tipo de punição aos usuários que tenham feito apenas tentativas de invasão dependerá exclusivamente da política de uso aceitável do provedor de acesso ao qual o atacante pertence.


  18. E se realmente houve uma invasão, isso é crime?

    Em casos em que é comprovada uma invasão, tendo-se provas ligando danos causados à sua máquina com um endereço IP de onde tenha vindo de fato uma invasão (e não apenas uma tentativa), pode-se levar o caso à polícia.


  19. Quando eu reclamar para o provedor, ele vai me fornecer os dados do usuário que me atacou?

    Não. Os provedores só poderão liberar os dados pessoais de quem estava utilizando um deteminado IP mediante mandado judicial.


  20. Como o CERT.br atua nos casos de fraudes pela Internet?

    As ações do CERT.br têm sido em duas frentes:

    • agilizar o processo de notificação a sites que estejam hospedando cavalos de tróia usados em fraudes, de modo que eles permaneçam o menor tempo possível no ar. Com isto, mesmo com os e-mails de phishing/scam referenciando estes sites, o alcance da fraude é minimizado pois a URL não está mais no ar.

    • trocar informações com fornecedores de softwares antivírus, enviando para eles aqueles cavalos de tróia que ainda não são reconhecidos pelos seus produtos. A intenção é aumentar a taxa de proteção dos usuários de softwares antivírus, pois a maioria dos usuários tem o antivírus como sua principal, se não única, defesa. Atualmente temos mais de 25 fornecedores que recebem diariamente exemplares de novos cavalos de tróia.

    Para permitir que estas ações sejam mais efetivas nós temos partes deste processo já automatizadas, de forma a torná-lo mais ágil e capaz de lidar com um volume maior de informações.


  21. Como faço para notificar uma tentativa de fraude pela Internet?

    A recomendação para aqueles que receberem e-mails de phishing/scam é que os enviem, com conteúdo e cabeçalhos completos, para o e-mail <cert@cert.br>. Deste modo podemos contatar o site que está hospedando o cavalo de tróia, verificar se este já é detectado pelos softwares antivírus e tomar as ações necessárias.

    Vale ressaltar que todas as notificações de fraudes são tratadas, porém, devido ao grande volume de notificações, nem todas as mensagens são respondidas individualmente.


  22. Onde posso obter mais informações básicas sobre precauções que devo tomar ao utilizar a Internet?

    Muitas informações estão disponíveis na "Cartilha de Segurança para Internet", que pode ser obtida em:

    http://cartilha.cert.br/


  23. Como posso contribuir para esta FAQ?

    Caso você tenha mais alguma dúvida ou deseje colaborar com esta FAQ por favor envie e-mail para faq@cert.br.

$Date: 2012/03/19 21:46:50 $