CERT.br

Ir para o conteúdo

Núcleo de Informação e Coordenação do Ponto BR

Recomendações para Notificações de Incidentes de Segurança

Autor: CERT.br
Versão: 1.1 — 20/04/2016

Modelos para download: [Português] [Inglês]

Sumário

1. Importância da notificação de incidentes de segurança

Parte indispensável do processo de tratamento de incidentes, a notificação é uma atividade de grande importância visto que:

Este documento tem por objetivo reunir boas práticas para a notificação de incidentes de segurança em computadores e redes, visando sua eficácia.

(1) De acordo com o relatório da Mandiant "M-Trends® 2015: A View from the Frontlines", 69% das instituições vítimas de comprometimento souberam do problema por meio de notificação recebida de entidade externa.[ voltar ]

2. O que notificar

Devem ser notificados eventos adversos relacionados à segurança dos sistemas de computação ou das redes de computadores, em desrespeito à política de segurança ou à política de uso aceitável da organização, como por exemplo:

3. A quem notificar

Enviar a notificação aos contatos apropriados é fundamental para não retardar seu processamento ou, ainda pior, seu descarte. A seleção criteriosa dos contatos é igualmente importante a fim de evitar que a notificação seja remetida ao próprio atacante ou fraudador, para não alertá-lo.

De maneira geral, devem ser notificados os responsáveis pelo equipamento que originou a atividade maliciosa e também os CSIRTs/contatos de abusos das redes envolvidas. Todavia, a escolha dos contatos apropriados pode variar em razão das características do incidente.

Os exemplos abaixo, apesar de não comporem uma lista exaustiva, ilustram a variação de contatos conforme o tipo do incidente:

Em todos os casos, se houver um contato de CSIRT para rede/AS/domínio, este deve ser incluído na notificação, bem como o(s) contato(s) do(s) CSIRT(s) de responsabilidade nacional deve(m) ser incluído(s) em cópia.

Caso algum dos domínios ou redes envolvidos seja brasileiro, mantenha sempre o CERT.br (cert@cert.br) na cópia da mensagem. Reclamações de spam devem ser encaminhadas exclusivamente para o endereço <mail-abuse@cert.br>.

Nos casos de incidentes envolvendo a Administração Pública Federal Brasileira (.gov.br) deve-se incluir também o Centro de Tratamento de Incidentes de Segurança de Redes de Computadores da Administração Pública Federal - CTIR Gov (ctir@ctir.gov.br).

4. Buscando contatos

Não existe uma fonte única de busca para informações de contatos, seja para recursos de números (IP/ASN), de domínios ou de grupos de resposta a incidentes. Seguem abaixo algumas referências relevantes.

4.1 WHOIS

Uma das principais fontes de pesquisa para dados de contatos de redes, domínios, ASs, é o serviço de WHOIS. Não existe uma base de dados única global e, dependendo do cliente WHOIS utilizado, pode ser necessário especificar o servidor WHOIS exato a ser consultado. Algumas ferramentas online podem facilitar a busca e a identificação do servidor WHOIS mantenedor dos registros.

Dos campos de contato disponíveis nos registros WHOIS, o contato "abuse" é quem deve ser notificado. Na ausência do "abuse", o contato técnico é o mais apropriado.

Em virtude da falta de padronização na estrutura de dados do WHOIS, outros campos, até mesmo comentários, podem conter dados relacionados a contatos de segurança/abuso. Informações complementares podem ser encontradas na seção 7 - Exemplos de consultas WHOIS.

Seguem abaixo alguns endereços úteis de serviços de WHOIS:

É comum que as bases de WHOIS contenham dados defasados, visto que depende de cada instituição manter seu próprio registro atualizado. Por conseguinte, é também comum que os CSIRTs recebam respostas à notificações enviadas, informando que o contato referente a tal rede ou domínio mudou. Nestes casos, recomenda-se orientar a instituição para que promova a atualização dos dados de contatos junto à entidade que mantém seus registros e dados de WHOIS.

Exemplos de buscas em bases de dados WHOIS podem ser encontradas na seção 7 - Exemplos de consultas WHOIS.

Um novo padrão, denominado Registration Data Access Protocol (RDAP), foi publicado pelo IETF em Março de 2015 e encontra-se em estágio experimental de implantação.

O novo padrão visa corrigir várias deficiências do WHOIS tradicional, tratando questões como:

O RDAP utiliza o protocolo HTTP para submissão das consultas e as respostas são estruturadas em formato JSON. Detalhes sobre as especificações do protocolo podem ser encontradas nas RFCs 7480, 7481, 7482, 7483 e 7484.

4.2 CSIRTs

Algumas fontes de consulta para contatos de CSIRTs são:

4.3 Top-Level Domains (TLDs)

Para contatos relacionados aos Top-Level Domains (TLDs), e em especial para os novos gTLDs registrados a partir de 2012, pode-se pesquisar informações via a página da IANA:

Para cada um dos domínios listados na página, é possível verificar dados da delegação do domínio, tais como organização responsável, contato administrativo, contato técnico e, em "Registry Information", pode-se obter outros dados de contato bem como informações sobre o servidor WHOIS.

Em geral, os novos gTLDs possuem também uma página com informações para contato cujo endereço segue o formato padrão http://nic.gTLD. Por exemplo: para o gTLD .rio, a página é http://nic.rio.

Todos os novos gTLDs devem ter uma política para tratamento de abuso definida em seu documento de Política de Registro, que especifique canais de atendimento eletrônicos e postais.

4.4 Criando e mantendo base de contatos própria

É importante que os CSIRTs criem e atualizem continuamente sua própria base de dados à medida que forem tomando conhecimento de contatos mais apropriados àqueles indicados nas bases WHOIS, especialmente para instituições relevantes em seu dia-a-dia de notificações.

Com a evolução, a base própria tende a se tornar a primeira fonte de consulta do CSIRT, embora certamente não será a única visto que não há como ser exaustiva.

Dados para alimentar a base própria podem ser obtidos, por exemplo, a partir de:

Algumas considerações importantes sobre a base própria:

Alternativas para busca de contatos, caso as demais falharem, podem ser:

5. Formas e formato de notificar

Existem diferentes formas para se notificar incidentes, embora algumas sejam mais recomendadas que outras em determinadas situações:

Quando os canais formais não resultarem em resposta, pode-se buscar métodos alternativos tais como:

6. O que incluir na notificação

O conteúdo da notificação precisa ser claro, em formato simples e deve incluir as informações necessárias para a rápida e correta identificação do problema e da ação requerida.

É importante também que o campo referente ao "Assunto" (Subject) do e-mail contenha uma descrição clara e sucinta sobre o conteúdo da notificação.

Sobre o formato da notificação, recomenda-se:

Sobre o teor da notificação, são dados essenciais a serem incluídos:

É de extrema importância que o horário de servidores e equipamentos de redes estejam sincronizados com uma fonte confiável de tempo (ex: via protocolo NTP) para que não haja disparidades na correlação de eventos, logs e outros dados.

Ainda sobre o teor da notificação, recomenda-se:

Um modelo genérico de notificação pode ser:

A seção 8 - Modelos de notificações traz sugestões de modelos para diversos tipos de notificações, tanto em língua portuguesa como inglesa.

Em caso de comunicação subsequente, relativa a uma notificação, recomenda-se:

visando preservar o contexto e facilitar o trabalho de tratamento dos incidentes.

7. Exemplos de consultas WHOIS

Apesar de a maioria dos serviços WHOIS oferecerem interface Web para consulta, esta forma de pesquisa pode não ser a mais adequada quando se deseja automatizar a busca, por exemplo, através de scripts. Neste caso, o cliente via linha de comando pode ser mais vantajoso.

Em geral, sistemas baseados em UNIX, Linux e BSD já possuem o software cliente instalado por padrão, ao passo que sistemas Windows requerem instalação adicional, por exemplo, do software whois disponível no pacote Windows Sysinternals. Uma opção, disponível para vários sistemas, inclusive Windows, é o GNU "jwhois", que permite usar um arquivo de configuração para otimização das buscas.

Algumas considerações para utilização do serviço WHOIS:

Devido à falta de padronização dos objetos/campos das bases WHOIS, é possível encontrar endereço de contato de abusos em objetos/campos diversos, tais como:

onde IRT significa "Incident Response Team".

Nos exemplos a seguir serão empregados, sempre que possível, números e nomes especialmente reservados para fins de documentação conforme descrito nas RFCs 2606, 3849, 5398 e 5737. Quando forem exibidos resultados de buscas referenciando entidades terceiras não fictícias, os dados serão sanitizados. As consultas dos exemplos foram realizadas no sistema operacional Ubuntu 14.04 LTS, utilizando o software cliente whois versão 5.1.1.

7.1 Pesquisa por IP sem determinação do servidor WHOIS

Ao não determinar o servidor específico para a busca, o resultado retornado pode variar em função do software cliente utilizado. Há clientes que possuem mecanismos de busca recursiva, que usam parâmetros de arquivo de configuração e outros que possuem alguma "inteligência" para identificação do servidor adequado. Recomenda-se ter mais de um software cliente disponível caso algum deles não consiga efetivar a pesquisa de forma satisfatória.

$ whois 192.0.2.1

[...]

NetRange:       192.0.2.0 - 192.0.2.255
CIDR:           192.0.2.0/24
NetName:        TEST-NET-1
NetHandle:      NET-192-0-2-0-1
Parent:         NET192 (NET-192-0-0-0-0)
NetType:        IANA Special Use
OriginAS:
Organization:   Internet Assigned Numbers Authority (IANA)
RegDate:        2009-06-29
Updated:        2013-08-30
Comment:        Addresses starting with "192.0.2.", "198.51.100.", or
                "203.0.113 ." are reserved for use in documentation
                and sample configurations.  They should never be used
                in a live network configuration.  No one has
                permission to use these addresses on the Internet.
[...]

OrgAbuseHandle: IANA-IP-ARIN
OrgAbuseName:   ICANN
OrgAbusePhone:  +1-310-301-5820
OrgAbuseEmail:  abuse@iana.org
OrgAbuseRef:    http://whois.arin.net/rest/poc/IANA-IP-ARIN

Neste caso, os campos iniciados com "OrgAbuse" identificam os dados de contato de abuso.

7.2 Pesquisa por IP selecionando o servidor WHOIS

Eventualmente, o software cliente pode não ser capaz de identificar o servidor WHOIS adequado para a consulta. Será então necessário tentar manualmente diferentes servidores. Alternativas para se iniciar a busca são:

No exemplo abaixo, a pesquisa será direcionada ao servidor do LACNIC usando-se a opção "-h" (host):

$ whois -h whois.lacnic.net 2001:DB8::1

% Joint Whois - whois.lacnic.net
%  This server accepts single ASN, IPv4 or IPv6 queries

% [whois.apnic.net]
% Whois data copyright terms    http://www.apnic.net/db/dbcopyright.html


% Information related to '2001:0DB8::/32'

inet6num:       2001:0DB8::/32
netname:        IPV6-DOC-AP
descr:          IPv6 prefix for documentation purpose
country:        AP
admin-c:        HM20-AP
tech-c:         HM20-AP
status:         ALLOCATED PORTABLE
remarks:        This address range is to be used for documentation
remarks:        purpose only. For more information please see
remarks:        http://www.apnic.net/info/faq/ipv6-documentation-prefix-faq.html

[...]

role:           APNIC Hostmaster
address:        6 Cordelia Street
address:        South Brisbane
address:        QLD 4101
country:        AU
[...]

e-mail:         helpdesk@apnic.net

[...]
nic-hdl:        HM20-AP
remarks:        Administrator for APNIC

Como não há identificador para contato "abuse", então utiliza-se o contato técnico, HM20-AP.

7.3 Pesquisa por nome de domínio

$ whois example.org

Domain Name:EXAMPLE.ORG
Domain ID: D2328855-LROR
Creation Date: 1995-08-31T04:00:00Z
Updated Date: 2010-07-27T20:57:51Z
Registry Expiry Date: 2010-08-30T04:00:00Z
Sponsoring Registrar:Internet Assigned Numbers Authority (IANA) (R193-LROR)
Sponsoring Registrar IANA ID: 376
WHOIS Server:
Referral URL:

[...]

Tech ID:IANA
Tech Name:Internet Assigned Numbers Authority
Tech Organization:Internet Assigned Numbers Authority (IANA)
[...]
Tech Email:res-dom@iana.org

[...]

Como não existe contato de abuso, utilizar o e-mail do contato técnico.

7.4 Mapeamento de IP para ASN e busca por ASN

Pode ser que se queira saber se um IP faz parte de um AS (ex: para agrupar um conjunto de notificações por ASN). Entretanto, nem todos os serviços de WHOIS identificam se um determinado IP está associado a um AS. Uma alternativa é utilizar o serviço de WHOIS do Team Cymru que além de fazer o mapeamento de IP para ASN, identifica o RIR e o "country code" do respectivo IP/AS.

$ whois -h whois.cymru.com " -v 2001:12ff:0:4::6"

AS      | IP                | BGP Prefix      | CC | Registry | Allocated  | AS Name
22548   | 2001:12ff:0:4::6  | 2001:12ff::/32  | BR | lacnic   | 2007-12-19 | Núcleo de Inf. e Coord. do Ponto BR - NIC.BR,BR

Ao se obter o ASN e o respectivo RIR, pode-se fazer outra pesquisa WHOIS para se obter os contatos:

$ whois -h whois.lacnic.net AS22548

% Joint Whois - whois.lacnic.net
%  This server accepts single ASN, IPv4 or IPv6 queries

% Brazilian resource: whois.registro.br


% Copyright (c) Nic.br
%  The use of the data below is only permitted as described in
%  full by the terms of use at http://registro.br/termo/en.html ,
%  being prohibited its distribution, comercialization or
%  reproduction, in particular, to use it for advertising or
%  any similar purpose.
%  2015-05-08 19:39:03 (BRT -03:00)

aut-num:     AS22548
owner:       Núcleo de Inf. e Coord. do Ponto BR - NIC.BR
ownerid:     005.506.560/0001-36
responsible: Demi Getschko
country:     BR
owner-c:     FAN
routing-c:   FAN
abuse-c:     FAN
created:     20011016
changed:     20130306
inetnum:     200.160.0/20
inetnum:     2001:12ff::/32
as-in:       from AS3549 100 accept ANY
as-in:       from AS16735 100 accept ANY
as-out:      to AS3549 announce AS22548
as-out:      to AS16735 announce AS22548

nic-hdl-br:  FAN
person:      Frederico Augusto de Carvalho Neves
e-mail:      fneves@registro.br
created:     19971217
changed:     20140703

% Security and mail abuse issues should also be addressed to
% cert.br, http://www.cert.br/, respectivelly to cert@cert.br
% and mail-abuse@cert.br
%
% whois.registro.br accepts only direct match queries. Types
% of queries are: domain (.br), registrant (tax ID), ticket,
% provider, contact handle (ID), CIDR block, IP and ASN.

Neste caso, o contato de abuso pode ser localizado através do identificador "abuse-c:" e nos comentários há indicação de contato adicional a ser incluído em cópia nas notificações.

7.5 Exemplos de indicação de contato de abuso em campos diversos

Os exemplos abaixo ilustram o uso de campos diversos para informar contatos de abuso e formas de notificação. As informações foram obtidas a partir de consultas WHOIS a redes efetivamente em uso, porém menções a nomes, números, domínios e endereços de e-mail foram sanitizadas ou omitidas.

7.5.1 Campo "Comment"
------------------------------------------

Comment:        *** The IP addresses under this netblock are in use by
Comment:        EXAMPLE customers ***
Comment:
Comment:        Please direct all abuse and legal complaints regarding
Comment:        these addresses to the EXAMPLE Abuse desk
Comment:        (compliance@example.com). Complaints sent to
Comment:        any other POC will be ignored.

------------------------------------------

------------------------------------------

Comment:        To report suspected security issues specific to
Comment:        traffic emanating from EXAMPLE online services,
Comment:        including the distribution of malicious content or
Comment:        other illicit or illegal material through a EXAMPLE
Comment:        online service, please submit reports to:
Comment:        * https://cert.example.com
Comment:
Comment:        For SPAM and other abuse issues, such as EXAMPLE
Comment:        Accounts, please contact:
Comment:        * abuse@example.com
Comment:
Comment:        To report security vulnerabilities in EXAMPLE products
Comment:        and services, please contact:
Comment:        * secure@example.com

------------------------------------------

------------------------------------------

Comment:        The activity you have detected originates from a
Comment:        dynamic hosting environment.
Comment:        For fastest response, please submit abuse reports at
Comment:        http://example.com/.../EXEAbuse
[...]
Comment:        All reports MUST include:
Comment:        * src IP
Comment:        * dest IP (your IP)
Comment:        * dest port
Comment:        * Accurate date/timestamp and timezone of activity
Comment:        * Intensity/frequency (short log extracts)
Comment:        * Your contact details (phone and email) Without these
Comment:        we will be unable to identify the correct owner of the
Comment:        IP address at that point in time.

------------------------------------------
7.5.2 Campo "remarks" e "% Abuse contact for"
------------------------------------------

% Abuse contact for '109.xxx.yyy.0 - 109.xxx.yyy.255' is 'abuse@example.net'

[...]

remarks:        trouble:      +---------------------------------------------------
remarks:        trouble:      | Abuse and Spam issues:  abuse@example.net        |
remarks:        trouble:      | * IN CASE OF HACK ATTACKS ILLEGAL ACTIVITY,      |
remarks:        trouble:      | * VIOLATION, SCANS, PROBES, SPAM, ETC. *         |
remarks:        trouble:      | DNS issues:             hostmaster@example.net   |
remarks:        trouble:      +---------------------------------------------------
remarks:        24x7 @ +1234567890

------------------------------------------

------------------------------------------

remarks:     Federal Higher education
remarks:     Security issues should be adressed to Fulano de Tal,
remarks:     email: fulano@exemplo.br, phone: +1234567890

------------------------------------------

------------------------------------------

remarks:        Email address for spam or abuse complaints : abuse@example.com

------------------------------------------

------------------------------------------

remarks:        *************************************************
remarks:        * For spam/abuse/security issues please contact *
remarks:        *   abuse@example.com, not this address.        *
remarks:        *   The contents of your abuse email will be    *
remarks:        *   forwarded directly on to our client for     *
remarks:        *   handling.                                   *
remarks:        *************************************************

------------------------------------------
7.5.3 Objeto "irt"
irt:            IRT-EXAMPLE
[...]
abuse-mailbox:  cert@example.nl
signature:      PGPKEY-A1B2C3D4
encryption:     PGPKEY-A1B2C3D4
[...]
irt-nfy:        cert@example.nl

8. Modelos de notificações

Os modelos apresentados a seguir foram elaborados para cobrir situações típicas de incidentes de segurança vivenciadas por grupos de resposta a incidentes. Não se trata de uma coletânea completa mas de um conjunto de exemplos que podem ser adaptados para o uso por qualquer entidade e para uma variedade de outros incidentes.

Nas seções a seguir há uma descrição detalhada de cada um dos modelos, bem como são listados os tipos de incidentes que se enquadram em cada modelo de notificação.

8.1 Modelos para download

Para facilitar a integração com sistemas de acompanhamento e notificação de incidentes, os modelos também estão disponíveis em arquivos .txt nos idiomas português (pt-br) e inglês (en-us). Estes modelos estão todos disponíveis para download, compactados em arquivos .zip, conforme o idioma:

Para facilitar a utilização em diversos sistemas operacionais, foram incluídos nos .zips, arquivos .txt convertidos para suportar diferentes delimitadores de linha (LF para Unix e CRLF para Windows) e distintas codificações, Latin1 (ISO-8859-1), UTF-8, UTF-16LE e ASCII.

Ao descompactar o arquivo .zip, será obtida uma estrutura de diretórios semelhante à descrita abaixo:

   diretorio-base
      |_ idioma
         |_ sistema-operacional-1
            |_ codificacao-1
            ...
            |_ codificacao-n
         |_ sistema-operacional-2
            |_ codificacao-1
            ...
            |_ codificacao-n

sendo que as codificações disponíveis variam conforme o idioma e o sistema operacional.

Dentro de cada .zip há um arquivo chamado README (ASCII) com detalhes acerca de seu conteúdo.

8.2 Licença de uso dos modelos de notificações

Os modelos de notificações de incidentes são disponibilizados pelo CERT.br sob a licença Creative Commons Atribuição-NãoComercial-CompartilhaIgual 4.0 Internacional (CC BY-NC-SA 4.0).

Você tem o direito de:

O licenciante não pode revogar estes direitos desde que você respeite os termos da licença.

De acordo com os termos seguintes:

Mais detalhes sobre esta licença de uso dos Modelos estão disponíveis em: https://creativecommons.org/licenses/by-nc-sa/4.0/deed.pt_BR

8.3 Descrição das variáveis de texto

As variáveis de texto (placeholders) são representações de informações necessárias nos modelos. Elas devem ser substituídas pelo seu conteúdo correspondente em cada notificação a ser enviada. Seguem as descrições para as variáveis de texto empregadas nos modelos:

Variável                            Descrição

<ATTACK_TYPE>                       Descrição do ataque sendo notificado.

<ORGANIZATION_DESCRIPTION>          Breve descritivo da instituição
                                    que está enviando a notificação.

<ORGANIZATION_NAME>                 Nome da instituição que está enviando a
                                    notificação.

<ARTIFACT_DESCRIPTION>              Descritivo do artefato malicioso que está
                                    se solicitando a remoção.

<DOMAIN_CONTACT>                    E-mail do responsável pelo domínio
                                    sendo notificado.

<DOMAIN>                            Nome do domínio notificado.

<HOSTNAME>                          Porção da URL que identifica o
                                    nome completo do host (hostname).
                                    Hostname sendo notificado.

<HOSTNAME_OFFICIAL>                 Hostname da instituição sendo
                                    referenciada na fraude.

<IP>                                Endereço IP sendo notificado.

<NATIONAL_CSIRT>                    E-mail de contato do CSIRT nacional
                                    responsável pelo IP / rede.

<NETWORK_CONTACT>                   E-mail do responsável pela rede
                                    sendo notificada.

<NOTE_GEO>                          Observação acerca de geolocalização
                                    em páginas de phishing.

<PORT>                              Porta de conexão/serviço sendo notificada.

<PORT_PHISHING>                     Porta utilizada na URL do phishing.

<PROTOCOL>                          Protocolo de comunicação observado em
                                    conexão maliciosa sendo notificada.

<REGISTRAR_CONTACT>                 E-mail de contato do Registrar
                                    (entidade de registro) responsável
                                    pelo registro do domínio.

<SERVICE_NAME>                      Nome do serviço explorado para
                                    realização de ataque.

<SIGNATURE>                         Assinatura de quem está enviando a
                                    notificação.

<TIMEZONE>                          Fuso horário dos registros dos
                                    logs. Pode ser expresso nos
                                    formatos ±hh:mm, ±hhmm, ou
                                    ±hh. UTC "+hhmm" indica que a
                                    data/hora foi expressa em um fuso
                                    horário que é "hh" horas e "mm" à
                                    frente da hora UTC. UTC "-hhmm"
                                    indica que a data/hora foi
                                    expressa em um fuso horário que é
                                    "hh" horas e "mm" atrás da hora UTC.

<URL_ARTIFACT>                      URL do artefato malicioso.

<URL_DEFACEMENT>		    URL que sofreu desfiguração.

<URL_OFFICIAL>                      URL do site oficial da instituição
                                    reclamante da fraude.

<URL_PHISHING>                      URL do phishing.

<URL_PII>                           URL onde estão sendo publicados
                                    dados sensíveis de identificação
                                    pessoal.

8.4 Desfiguração de página

Desfiguração de página - Português

Modelo de notificação para casos onde deseja-se informar uma instituição brasileira que seu site foi desfigurado e o conteúdo adulterado permanece acessível.

Arquivo do Modelo: defacement-pt-br.txt

Subject: Desfiguracao de pagina <HOSTNAME>.
To: <NETWORK_CONTACT>, <DOMAIN_CONTACT>
Cc: cert@cert.br

Caro responsável,

Somos o grupo de tratamento de incidentes de segurança da
<ORGANIZATION_NAME>. A <ORGANIZATION_NAME> é <ORGANIZATION_DESCRIPTION>.

Você está recebendo esta mensagem porque está listado na base WHOIS
como contato da rede e/ou do domínio citados abaixo. Esta mensagem é
destinada ao responsável pela segurança de sua rede e, se este não for
o endereço correto, por favor encaminhe-a ao destinatário apropriado.

Informamos que o endereço abaixo teve sua página desfigurada e que o
conteúdo alterado permanece online:

	<URL_DEFACEMENT>

Pedimos sua colaboração na análise e solução deste incidente.
Recomendamos também que as vulnerabilidades que permitiram esse ataque
sejam identificadas e corrigidas.

Agradecemos desde já e solicitamos que, se possível, uma resposta nos
seja enviada confirmando o recebimento desta mensagem.


Atenciosamente,
<SIGNATURE>
Desfiguração de página - Inglês

Modelo de notificação para casos onde deseja-se informar uma instituição estrangeira que seu site foi desfigurado e o conteúdo adulterado permanece acessível.

Arquivo do Modelo: defacement-en-us.txt

Subject: Website defacement <HOSTNAME>
To: <NETWORK_CONTACT>, <DOMAIN_CONTACT>
Cc: <NATIONAL_CSIRT>, cert@cert.br


Dear Sir/Madam,

We are the computer security incident response team for
<ORGANIZATION_NAME>. <ORGANIZATION_NAME> is <ORGANIZATION_DESCRIPTION>.

You've received this message because you are the WHOIS contact for the
network and/or domain mentioned below. This message is intended for
the person responsible for computer security at your site. If this is
not the correct address, please forward this message to the
appropriate party.

We have noticed that the web page below has been defaced and the
modified page remains online:

	<URL_DEFACEMENT>

We kindly request you to look into the matter. We also recommend
finding and mitigating the vulnerabilities that let the attack
succeed.

Thanks in advance. We would also appreciate a reply that this message
has been received.


Best regards,
<SIGNATURE>

8.5 Domínios utilizados para fraudes

Domínios utilizados para fraudes - Português

Modelo de notificação e solicitação de verificação de domínios brasileiros usados para prática de fraudes contra instituições brasileiras e/ou seus usuários, como por exemplo, quando o nome do domínio é similar ao da instituição referenciada na fraude e está associado a conteúdo fraudulento.

Para domínios .br, os casos podem ser notificados diretamente ao Registro.br (hostmaster@registro.br), mantendo o CERT.br em cópia.

Para novos gTLDs (registrados a partir de 2012), deve-se localizar a instituição responsável e o contato adequado para abusos, conforme indicado na seção 4.3 - Top-Level Domains (TLDs).

É importante salientar que as entidades registradoras de domínios (Registrars e Registries) só tem capacidade de sanção contra domínios que estejam desrespeitando cláusulas contratuais, ou por ordem judicial. Se o procedimento para verificação do domínio não constatar violação de contrato, será necessário que a entidade vítima da fraude mova ação judicial contra o dono do domínio fraudulento, a fim de obter ordem judicial para cancelamento do domínio. Este modelo NÃO contempla esta situação.

Arquivo do Modelo: domain-pt-br.txt

Subject: Dominio usado em fraudes (<DOMAIN>)
To: <REGISTRAR_CONTACT>
Cc: cert@cert.br

Cara Entidade Registradora de Domínios,

Somos o grupo de tratamento de incidentes de segurança da
<ORGANIZATION_NAME>. A <ORGANIZATION_NAME> é <ORGANIZATION_DESCRIPTION>.

Identificamos o seguinte domínio sendo utilizado para prática de fraudes:

    <DOMAIN>

Este domínio se faz passar pelo domínio da <ORGANIZATION_NAME>, cujo
site oficial é:

   <URL_OFFICIAL>

e está associado à páginas fraudulentas, como as destacadas abaixo:

   <URL_PHISHING>

Gentilmente solicitamos que o domínio em questão seja verificado e, se
possível, sejam instaurados os procedimentos administrativos cabíveis.

Não hesite em nos contactar caso necessite de mais informações.

Agradecemos desde já,


Atenciosamente,
<SIGNATURE>
Domínios utilizados para fraudes - Inglês

Modelo de notificação e solicitação de verificação de domínios NÃO brasileiros usados para prática de fraudes contra instituições brasileiras e/ou seus usuários, como por exemplo, quando o nome do domínio é similar ao da instituição referenciada na fraude e está associado a conteúdo fraudulento.

Tais casos devem ser notificados diretamente à organização onde o domínio foi registrado (Registrar), mantendo em cópia o CERT.br e o CSIRT Nacional do país de registro.

É importante salientar que as entidades registradoras de domínios (Registrars e Registries) só tem capacidade de sanção contra domínios que estejam desrespeitando cláusulas contratuais, ou por ordem judicial. Se o procedimento para verificação do domínio não constatar violação de contrato, será necessário que a entidade vítima da fraude mova ação judicial contra o dono do domínio fraudulento, a fim de obter ordem judicial para cancelamento do domínio. Este modelo NÃO contempla esta situação.

Arquivo do Modelo: domain-en-us.txt

Subject: Domain used in frauds (<DOMAIN>)
To: <REGISTRAR_CONTACT>
Cc: <NATIONAL_CSIRT>, cert@cert.br

Dear Sir/Madam,

We are the computer security incident response team for
<ORGANIZATION_NAME>. <ORGANIZATION_NAME> is <ORGANIZATION_DESCRIPTION>.

You've received this message because you are the Registrar contact for
the domain mentioned below. This message is intended for the person
responsible for treating abuse cases and if this is not the correct
address, please forward this message to the appropriate party.

We have detected the following domain being used for fraud:

    <DOMAIN>

This is a domain pretending to be a <ORGANIZATION_NAME> domain,
whose official website is

    <URL_OFFICIAL>

and it is associated with fraudulent pages such as those listed
below:

    <URL_PHISHING>

We kindly ask your cooperation to verify this domain and, according to
your policies, take the appropriate measures to cease any
irregularity, if it's the case.

Please let us know if any additional information is required.

Thanks in advance. We would also appreciate a reply that this message
has been received.


Best regards,
<SIGNATURE>

8.6 Divulgação de dados pessoais sensíveis

Divulgação de dados pessoais sensíveis - Português

Modelo de notificação para casos onde dados pessoais sensíveis, indevidamente obtidos, estão sendo divulgados através de site em rede/domínio no Brasil.

Caso seja evidente que o domínio do site usado para a divulgação dos dados não é malicioso e/ou possa estar sendo vítima de abuso, recomenda-se incluir o contato do respectivo domínio aos destinatários (To:) da notificação.

Arquivo do Modelo: pii-pt-br.txt

Subject: Dados pessois sensiveis divulgados em seu site <HOSTNAME>
To: <NETWORK_CONTACT>
Cc: cert@cert.br

Caro responsável,

Somos o grupo de tratamento de incidentes de segurança da
<ORGANIZATION_NAME>. A <ORGANIZATION_NAME> é <ORGANIZATION_DESCRIPTION>.

Você está recebendo esta mensagem porque está listado na base WHOIS
como contato da rede e/ou do domínio citados abaixo. Esta mensagem é
destinada ao responsável pela segurança de sua rede e, se este não for
o endereço correto, por favor encaminhe-a ao destinatário apropriado.

Tomamos conhecimento que sua infraestrutura está sendo utilizada para
armazenar e divulgar dados sensíveis de identificação pessoal de
usuários de nossa instituição/cliente.

Estes dados estão acessíveis através do site:

   <URL_PII>

   <HOSTNAME> com endereço IP <IP>

Solicitamos sua colaboração para que:

  * sejam removidos todos os dados armazenados e páginas relacionadas;

  * nos sejam enviados quaisquer logs ou outras informações
    relacionadas à publicação destes dados, se possível, de acordo com
    suas políticas. Tais informações podem ser de grande valia em
    nossas análises.

Agradecemos desde já e solicitamos que, se possível, uma resposta nos
seja enviada confirmando o recebimento desta mensagem.


Atenciosamente,
<SIGNATURE>
Divulgação de dados pessoais sensíveis - Inglês

Modelo de notificação para casos onde dados pessoais sensíveis, indevidamente obtidos, estão sendo divulgados através de site em rede/domínio no exterior.

Caso seja evidente que o domínio do site usado para a divulgação dos dados não é malicioso e/ou possa estar sendo vítima de abuso, recomenda-se incluir o contato do respectivo domínio aos destinatários (To:) da notificação.

Arquivo do Modelo: pii-en-us.txt

Subject: Sensitive personal information published at your site <HOSTNAME>
To: <NETWORK_CONTACT>
Cc: <NATIONAL_CSIRT>, cert@cert.br


Dear Sir/Madam,

We are the computer security incident response team for
<ORGANIZATION_NAME>. <ORGANIZATION_NAME> is <ORGANIZATION_DESCRIPTION>.

You've received this message because you are the WHOIS contact for the
network and/or domain mentioned below. This message is intended for
the person responsible for computer security at your site. If this is
not the correct address, please forward this message to the
appropriate party.

We have noticed that your infrastructure is being used to store and
publish sensitive personally identifiable information (PII) from our
users/customers.

These data are accessible at:

    <URL_PII>

    <HOSTNAME> with IP <IP>

We kindly ask your cooperation:

  * to delete all stored data and related pages;

  * if possible, and according to your policies, sending us any logs
    or other information regarding the publication of to this data. It
    could help us in our analysis.

Thanks in advance. We would also appreciate a reply that this message
has been received.


Best regards,
<SIGNATURE>

8.7 Ataques à rede em geral

Ataques à rede em geral - Português

Modelo de notificação para casos de ataques de varredura de portas, de força bruta e tentativas de exploração de vulnerabilidades conhecidas, originados a partir de IPs em redes no Brasil.

Neste modelo, o <ATTACK_TYPE> deve ser substituído por um descritivo do tipo de ataque identificado nos logs que serão enviados na notificação. Alguns exemplos de <ATTACK_TYPE> são:

Arquivo do Modelo: misc-pt-br.txt

Subject: <IP> - maquina realizando atividades maliciosas
To: <NETWORK_CONTACT>
Cc: cert@cert.br

Caro responsável,

Somos o grupo de tratamento de incidentes de segurança da
<ORGANIZATION_NAME>. A <ORGANIZATION_NAME> é <ORGANIZATION_DESCRIPTION>.

Você está recebendo esta mensagem porque está listado na base WHOIS
como contato da rede citada abaixo. Esta mensagem é destinada ao
responsável pela segurança de sua rede e, se este não for o endereço
correto, por favor encaminhe-a ao destinatário apropriado.

Os logs anexados ao final desta mensagem mostram atividades maliciosas
aparentemente partindo de um endereço IP em sua rede. São amostras de
<ATTACK_TYPE>. Os horários estão em UTC<TIMEZONE>.

Pode tratar-se de:

  * uma máquina em sua rede que foi comprometida e está sendo usada
    como base para ataques, ou;

  * algum usuário legítimo envolvido em atividades que, provavelmente,
    são contrárias à sua política de uso aceitável da rede.

Em qualquer um dos casos pedimos sua colaboração na análise e solução
deste incidente.

Agradecemos desde já e solicitamos que, se possível, uma resposta nos
seja enviada confirmando o recebimento desta mensagem.


Atenciosamente,
<SIGNATURE>

##################################################################
## LOGs em UTC<TIMEZONE>
Ataques à rede em geral - Inglês

Modelo de notificação para casos de ataques de varredura de portas, de força bruta e tentativas de exploração de vulnerabilidades conhecidas, originados a partir de IPs do exterior.

Neste modelo, o <ATTACK_TYPE> deve ser substituído por um descritivo do tipo de ataque identificado nos logs que serão enviados na notificação. Alguns exemplos de <ATTACK_TYPE> são:

Arquivo do Modelo: misc-en-us.txt

Subject: <IP> - possible malicious activity from this host
To: <NETWORK_CONTACT>
Cc: <NATIONAL_CSIRT>, cert@cert.br

Dear Sir/Madam,

We are the computer security incident response team for
<ORGANIZATION_NAME>. <ORGANIZATION_NAME> is <ORGANIZATION_DESCRIPTION>.

You've received this message because you are the the WHOIS contact for the
network mentioned below. This message is intended for the person
responsible for computer security at your site. If this is not the
correct address, please forward this message to the appropriate party.

The logs attached at the end of this message show malicious activity
originated from an IP address in your network. They are samples of
<ATTACK_TYPE>. All times are UTC<TIMEZONE>.

Either:

  * a machine in your network has been compromised and is now being
    used to launch attacks, or;

  * a legitimate user is engaged in activity that is probably in
    violation of your Terms of Service.

We kindly request you to look into the matter.

Thanks in advance. We would also appreciate a reply that this message
has been received.


Best regards,
<SIGNATURE>

##################################################################
## LOGs - all times are UTC<TIMEZONE>

8.8 Servidor DNS malicioso

DNS malicioso - Português

Modelo de notificação para casos de servidor DNS, ativo em IPs de redes no Brasil, respondendo maliciosamente por nomes de domínios de instituições conhecidas, a fim de direcionar os usuários para sites falsos (ataque de pharming).

Arquivo do Modelo: rogue-dns-pt-br.txt

Subject: <IP> - Servidor DNS malicioso usado em ataques de pharming
To: <NETWORK_CONTACT>
Cc: cert@cert.br


Caro responsável,

Somos o grupo de tratamento de incidentes de segurança da
<ORGANIZATION_NAME>. A <ORGANIZATION_NAME> é <ORGANIZATION_DESCRIPTION>.

Você está recebendo esta mensagem porque está listado na base WHOIS
como contato da rede citada abaixo. Esta mensagem é destinada ao
responsável pela segurança de sua rede e, se este não for o endereço
correto, por favor encaminhe-a ao destinatário apropriado.

Nossos logs indicam um servidor DNS malicioso ativo em um IP da sua
rede.

    Endereço IP do servidor DNS: <IP>

Tal DNS está fornecendo respostas incorretas para nome(s) de
domínio(s) de nossa instituição e/ou dominios bastante conhecidos
utilizados por usuários da nossa rede, com propósito de direcionar os
usuários para sites falsos, como parte de ataques de pharming.

Ao final desta desta mensagem anexamos partes de nossos logs para
facilitar sua análise. Todos os horários estão em UTC<TIMEZONE>.

Pode tratar-se de:

  * um servidor DNS instalado pelo próprio atacante (por exemplo,
    contratando serviços de hospedagem ou de nuvem), ou;

  * um servidor DNS legítimo que foi comprometido.

Em qualquer um dos casos pedimos sua colaboração na análise e solução
deste incidente.

Agradecemos desde já e solicitamos que, se possível, uma resposta nos
seja enviada confirmando o recebimento desta mensagem.


Atenciosamente,
<SIGNATURE>


##################################################################
## LOGs em UTC<TIMEZONE>
DNS malicioso - Inglês

Modelo de notificação para casos de servidor DNS, ativo em IPs de redes no exterior, respondendo maliciosamente por nomes de domínios de instituições conhecidas, a fim de direcionar os usuários para sites falsos (ataque de pharming).

Arquivo do Modelo: rogue-dns-en-us.txt

Subject: <IP> - Rogue DNS server used in pharming attacks.
To: <NETWORK_CONTACT>
Cc: <NATIONAL_CSIRT>, cert@cert.br


Dear Sir/Madam,

We are the computer security incident response team for
<ORGANIZATION_NAME>. <ORGANIZATION_NAME> is <ORGANIZATION_DESCRIPTION>.

You've received this message because you are the WHOIS contact for the
network mentioned below. This message is intended for the person
responsible for computer security at your site. If this is not the
correct address, please forward this message to the appropriate party.

Our logs indicate a rogue DNS server active on an IP in your
network.

  DNS Server IP Address: <IP>

Such DNS is providing wrong answers to domain name(s) from our company
and/or known domains that affects users from our network, with the
purpose of misdirecting users to fake sites as part of pharming
attacks.

Either:

  * this is a DNS server installed by the attacker (e.g. buying
    hosting or cloud services for this purpose);

  * this is a legitimate DNS server that has been compromised.

In either case, we kindly request you to look into the matter.

At the end of this message we have attached partial logs in order to
facilitate your analysis. All times are UTC<TIMEZONE>.

Thanks in advance. We would also appreciate a reply that this message
has been received.


Best regards,
<SIGNATURE>

##################################################################
## LOGs - all times are UTC<TIMEZONE>

8.9 DDoS por botnet sem spoofing

DDoS por botnet sem spoofing - Português

Modelo de notificação para casos de ataque de negação de serviço a instituição brasileira, realizado por IPs de redes no Brasil, caracterizados por participarem de botnet, sem spoofing de endereço.

Arquivo do Modelo: dosbot-pt-br.txt

Subject: <IP> usado em ataque de negacao de servico.
To: <NETWORK_CONTACT>
Cc: cert@cert.br


Caro responsável,

Somos o grupo de tratamento de incidentes de segurança da
<ORGANIZATION_NAME>. <ORGANIZATION_NAME> é <ORGANIZATION_DESCRIPTION>.

Você está recebendo esta mensagem porque está listado na base WHOIS
como contato da rede citada abaixo. Esta mensagem é destinada ao
responsável pela segurança de sua rede e, se este não for o endereço
correto, por favor encaminhe-a ao destinatário apropriado.

Nossos logs indicam que um dispositivo da sua rede participou de um
ataque de negação de serviço contra nossa instituição/cliente. Ao
final desta mensagem anexamos partes dos logs para facilitar a
análise. Os horários estão em UTC<TIMEZONE>.

O tráfego analisado é compatível com atividade de botnet usada para
DDoS. Também em função dos padrões de tráfego, acreditamos que o
endereço IP de origem dos pacotes NÃO tenha sido adulterado.

Pode tratar-se de:

  * um computador/dispositivo de rede que foi comprometido e está
    sendo controlado remotamente ("bot") para realização de ataques,
    ou;

  * algum usuário legítimo envolvido em atividades que, provavelmente,
    são contrárias à sua política de uso aceitável da rede.

Em qualquer um dos casos pedimos sua colaboração na análise e solução
deste incidente.

Agradecemos desde já e solicitamos que, se possível, uma resposta nos
seja enviada confirmando o recebimento desta mensagem.


Atenciosamente,
<SIGNATURE>

##################################################################
## LOGs em UTC<TIMEZONE>
DDoS por botnet sem spoofing - Inglês

Modelo de notificação para casos de ataque de negação de serviço a instituição brasileira, realizado por IPs de redes no exterior, caracterizados por participarem de botnet, sem spoofing de endereço.

Arquivo do Modelo: dosbot-en-us.txt

Subject: <IP> used in denial of service attack.
To: <NETWORK_CONTACT>
Cc: <NATIONAL_CSIRT>, cert@cert.br


Dear Sir/Madam,

We are the computer security incident response team for
<ORGANIZATION_NAME>. <ORGANIZATION_NAME> is <ORGANIZATION_DESCRIPTION>.

You've received this message because you are the WHOIS contact for the
network mentioned below. This message is intended for the person
responsible for computer security at your site. If this is not the
correct address, please forward this message to the appropriate party.

Our logs indicate that a computer/network device in your network
participated in a deny of service attack against our company /
customer. At the end of this message we have attached partial logs in
order to facilitate your analysis. All times are UTC<TIMEZONE>.

The network traffic shows specific characteristics related to DDoS
botnet activities. Still according to traffic patterns we do NOT
believe the source IP address has been spoofed.

Either:

  * a computer/network device has been compromised and is being
    remotely controlled (bot) to launch attacks, or;

  * a legitimate user is engaged in activity that is probably in
    violation of your Terms of Service.

In either case, we kindly request you to look into the matter.

Thanks in advance. We would also appreciate a reply that this message
has been received.


Best regards,
<SIGNATURE>

##################################################################
## LOGs - all times are UTC<TIMEZONE>

8.10 Ataque de negação de serviço distribuído com uso de amplificação (DRDoS)

Ataque de negação de serviço distribuído com uso de amplificação (DRDoS) - Português

Modelo de notificação para casos de ataque de negação de serviço distribuído com uso de amplificação (DRDoS) contra instituição brasileira, com IP de rede no Brasil participando como amplificador do ataque.

Nos casos de amplificação/reflexão, em virtude do uso de endereços de origem adulterados (spoofing), só é possível notificar os servidores de amplificação/reflexão e não os responsáveis pelas máquinas que originaram as requisições (origem do abuso).

Neste modelo, <SERVICE_NAME> deve ser substituído pelo descritivo do serviço/protocolo explorado para produzir a amplificação do ataque. Alguns exemplos de <SERVICE_NAME> são:

Arquivo do Modelo: drdos-pt-br.txt

Subject: <IP> - servico vulneravel usado em ataque de negacao de servico.
To: <NETWORK_CONTACT>
Cc: cert@cert.br


Caro responsável,

Somos o grupo de tratamento de incidentes de segurança da
<ORGANIZATION_NAME>. A <ORGANIZATION_NAME> é <ORGANIZATION_DESCRIPTION>.

Você está recebendo esta mensagem porque está listado na base WHOIS
como contato da rede citada abaixo. Esta mensagem é destinada ao
responsável pela segurança de sua rede e, se este não for o endereço
correto, por favor encaminhe-a ao destinatário apropriado.

Nossos logs indicam que uma máquina da sua rede participou de um
ataque de negação de serviço contra nossa instituição/cliente. Ao
final desta mensagem anexamos partes dos logs referentes ao ataque. Os
horários estão em UTC<TIMEZONE>.

A análise do tráfego indica que o serviço

  <SERVICE_NAME>

encontra-se possivelmente ativo em sua rede, no endereço

  IP: <IP>

e servindo como amplificador de tráfego em ataques de negação de
serviço.

Este serviço pode gerar respostas de tamanho muito grande (várias
vezes maior que o da requisição) e, através de requisições forjadas
com endereço IP adulterado (IP spoofing), um atacante pode direcionar
as respostas ao alvo de seu ataque. Tal abuso parece ocorrer porque o
serviço aparenta atender, sem restrições, a qualquer requisição
proveniente da Internet.

Solicitamos sua colaboração na solução deste incidente, seja mitigando
as vulnerabilidades que permitem o abuso do serviço ou desativando-o
completamente, caso não tenha uso efetivo.

Agradecemos desde já e solicitamos que, se possível, uma resposta nos
seja enviada confirmando o recebimento desta mensagem.


Atenciosamente,
<SIGNATURE>

##################################################################
## LOGs em UTC<TIMEZONE>
Ataque de negação de serviço distribuído com uso de amplificação (DRDoS) - Inglês

Modelo de notificação para casos de ataque de negação de serviço distribuído com uso de amplificação (DRDoS) contra instituição brasileira, com IP de rede no exterior participando como amplificador do ataque.

Nos casos de amplificação/reflexão, em virtude do uso de endereços de origem adulterados (spoofing), só é possível notificar os servidores de amplificação/reflexão e não os responsáveis pelas máquinas que originaram as requisições (origem do abuso).

Neste modelo, <SERVICE_NAME> deve ser substituído pelo descritivo do serviço/protocolo explorado para produzir a amplificação do ataque. Alguns exemplos de <SERVICE_NAME> são:

Arquivo do Modelo: drdos-en-us.txt

Subject: <IP> - exploitable service used in denial of service attack.
To: <NETWORK_CONTACT>
Cc: <NATIONAL_CSIRT>, cert@cert.br


Dear Sir/Madam,

We are the computer security incident response team for
<ORGANIZATION_NAME>. <ORGANIZATION_NAME> is <ORGANIZATION_DESCRIPTION>.

You've received this message because you are the WHOIS contact for the
network mentioned below. This message is intended for the person
responsible for computer security at your site. If this is not the
correct address, please forward this message to the appropriate party.

Our logs indicate that a computer in your network participated in a
denial of service attack against our company/customer. At the end of
this message we have attached partial logs in order to facilitate your
analysis. All times are UTC<TIMEZONE>.

The network traffic indicates a service

  <SERVICE_NAME>

possibly active in your network at

   IP:  <IP>

and serving as amplifier in denial of service attacks.

This service can produce large responses (several times larger than
the request size) and an attacker can abuse it by creating spoofed
requests in a way that the responses are directed to its desired
target. Such abuse seems to be taking place because the service
apparently is answering to requests from the open Internet without
any restriction.

We kindly ask your cooperation to solve this incident by mitigating
the vulnerabilities that allow the service abuse, or by disabling the
service completely if it has no effective use.

Thanks in advance. We would also appreciate a reply that this message
has been received.


Best regards,
<SIGNATURE>

##################################################################
## LOGs - all times are UTC<TIMEZONE>

8.11 Hospedagem de artefatos maliciosos

Hospedagem de artefatos maliciosos - Português

Modelo de notificação para casos de artefatos maliciosos (ex: páginas com iFrame malicioso, código binário ou script, arquivo tipo .pac, etc) hospedados em IPs de redes no Brasil.

Neste modelo, <ARTIFACT_DESCRIPTION> deve ser substituído por um descritivo do artefato malicioso para o qual se pede a remoção, e de como foi detectado, a fim de permitir o entendimento do problema e das entradas de log anexas. Alguns exemplos de <ARTIFACT_DESCRIPTION> são:

Caso seja evidente que o domínio usado na URL do artefato não é malicioso e que esteja sendo vítima de abuso, recomenda-se incluir o contato do respectivo domínio aos destinatários (To:) da notificação.

Arquivo do Modelo: malware-pt-br.txt

Subject: Artefato malicioso hospedado em <HOSTNAME> -> <IP>.
To: <NETWORK_CONTACT>
Cc: cert@cert.br


Caro responsável,

Somos o grupo de tratamento de incidentes de segurança da
<ORGANIZATION_NAME>. A <ORGANIZATION_NAME> é <ORGANIZATION_DESCRIPTION>.

Você está recebendo esta mensagem porque está listado na base WHOIS
como contato da rede citada abaixo. Esta mensagem é destinada ao
responsável pela segurança de sua rede e, se este não for o endereço
correto, por favor encaminhe-a ao destinatário apropriado.

Nossos logs indicam que seu site está hospedando artefato
malicioso. Trata-se de <ARTIFACT_DESCRIPTION>.

O artefato está hospedado em:

   <URL_ARTIFACT>

   <HOSTNAME> com endereço IP  <IP>

Ao final desta desta mensagem anexamos partes de nossos logs para
facilitar a análise. Os horários estão em UTC<TIMEZONE>.

Solicitamos sua colaboração para que:

  * o código malicioso seja removido do site;

  * seja verificado se esta máquina foi comprometida e, possivelmente,
    esteja sendo usada por invasores como repositório de ferramentas,
    ou se um usuário legítimo está envolvido em atividades que são,
    provavelmente, contrárias à sua política de uso aceitável da rede.

Caso haja mais de um código malicioso hospedado em sua rede, você
receberá múltiplas mensagens semelhantes a esta, cada uma contendo
evidências (logs) diferentes.

Agradecemos desde já e solicitamos que, se possível, uma resposta nos
seja enviada confirmando o recebimento desta mensagem.


Atenciosamente,
<SIGNATURE>


##################################################################
## LOGs em UTC<TIMEZONE>
Hospedagem de artefatos maliciosos - Inglês

Modelo de notificação para casos de artefatos maliciosos (ex: páginas com iFrame malicioso, código binário ou script, arquivo tipo .pac, etc) hospedados em IPs de redes no exterior.

Neste modelo, <ARTIFACT_DESCRIPTION> deve ser substituído por um descritivo do artefato malicioso para o qual se pede a remoção, e de como foi detectado, a fim de permitir o entendimento do problema e das entradas de log anexas. Alguns exemplos de <ARTIFACT_DESCRIPTION> são:

Caso seja evidente que o domínio usado na URL do artefato não é malicioso e que esteja sendo vítima de abuso, recomenda-se incluir o contato do respectivo domínio aos destinatários (To:) da notificação.

Arquivo do Modelo: malware-en-us.txt

Subject: Malicious artifact hosted at your site (<HOSTNAME> -> <IP>)
To: <NETWORK_CONTACT>
Cc: <NATIONAL_CSIRT>, cert@cert.br


Dear Sir/Madam,

We are the computer security incident response team for
<ORGANIZATION_NAME>. <ORGANIZATION_NAME> is <ORGANIZATION_DESCRIPTION>.

You've received this message because you are the WHOIS contact for the
network mentioned below. This message is intended for the person
responsible for computer security at your site. If this is not the
correct address, please forward this message to the appropriate party.

Our logs indicate that your site is hosting malicious artifact. It
seems to be a <ARTIFACT_DESCRIPTION>.

The artifact is hosted at:

   <URL_ARTIFACT>

   <HOSTNAME> with IP address <IP>

At the end of this message we have attached partial logs in order to
facilitate your analysis. All times are UTC<TIMEZONE>.

We kindly ask your cooperation to:

  * remove the malicious files from your site;

  * verify whether this machine has been compromised and it's being
    used by intruders to host malicious files, or a legitimate user is
    engaged in activity that is probably in violation of your Terms of
    Service.

In case we detect more than one malicious code hosted on your network,
you will receive multiple messages similar to this, each one containing
different evidence (logs).

Thanks in advance. We would also appreciate a reply that this message
has been received.


Best regards,
<SIGNATURE>


##################################################################
## LOGs - all times are UTC<TIMEZONE>

8.12 Phishing simples ou com geolocalização

Phishing simples ou com geolocalização - Português

Modelo de notificação para de casos de páginas falsas (phishing) hospedadas em IPs e/ou domínio brasileiros, referenciando instituições brasileiras ou estrangeiras.

Caso seja evidente que o domínio usado na URL do phishing <URL-PHISHING> não é malicioso e que esteja sendo vítima de abuso, recomenda-se incluir o contato do respectivo domínio aos destinatários (To:) da notificação.

Em casos de páginas de phishing que utilizam técnicas de geolocalização para serem exibidas apenas a IPs alocados ao Brasil, acrescentar a mensagem abaixo em substituição ao item <NOTE_GEO>. Do contrário, apenas remover <NOTE_GEO> do texto principal.

IMPORTANTE: Esta página falsa faz uso de técnicas de geolocalização e
            somente pode ser visualizada por IPs alocados ao Brasil.
            Assim, caso a página não esteja visível em seu navegador,
            por favor procure por ela diretamente no sistema de
            arquivos do servidor Web.

Arquivo do Modelo: phishing-pt-br.txt

Subject: Pagina falsa hospedada em sua infraestrutura (<HOSTNAME> -> <IP>)
To: <NETWORK_CONTACT>
Cc: cert@cert.br

Caro responsável,

Somos o grupo de tratamento de incidentes de segurança da
<ORGANIZATION_NAME>. A <ORGANIZATION_NAME> é <ORGANIZATION_DESCRIPTION>.

Você está recebendo esta mensagem porque está listado na base WHOIS
como contato da rede e/ou do domínio citados abaixo. Esta mensagem é
destinada ao responsável pela segurança de sua rede e, se este não for
o endereço correto, por favor encaminhe-a ao destinatário apropriado.

Identificamos um site de phishing hospedado em:

   <URL_PHISHING>

   <HOSTNAME> com endereço IP <IP>

Esta página falsa se faz passar pela página da <ORGANIZATION_NAME> com
o propósito de cometer fraude contra a instituição e/ou seus usuários.
O site legítimo da instituição é:

   <URL_OFFICIAL>

<NOTE_GEO>

Solicitamos sua colaboração, de acordo com suas políticas, para que:

  * seja interrompido o acesso a esta página falsa;

  * nos sejam enviados quaisquer logs ou outras informações
    relacionadas com o acesso a estes dados;

  * nos sejam enviados os arquivos que compõem o site de phishing;

  * seja determinado para onde os dados coletados estão sendo
    enviados, caso seja possível. Tais informações podem ser de grande
    valia em nossas análises.

Agradecemos desde já e solicitamos que, se possível, uma resposta nos
seja enviada confirmando o recebimento desta mensagem.


Atenciosamente,
<SIGNATURE>
Phishing simples ou com geolocalização - Inglês

Modelo de notificação para de casos de página falsa (phishing) hospedadas em IPs e/ou domínios no exterior, referenciando instituições brasileiras.

Caso seja evidente que o domínio usado na URL do phishing <URL-PHISHING> não é malicioso e que esteja sendo vítima de abuso, recomenda-se incluir o contato do respectivo domínio aos destinatários (To:) da notificação.

Em casos de páginas de phishing que utilizam técnicas de geolocalização para serem exibidas apenas a IPs alocados ao Brasil, acrescentar a mensagem abaixo em substituição ao item <NOTE_GEO>. Do contrário, apenas remover <NOTE_GEO> do texto principal.

IMPORTANT: This fake page makes use of geolocation techniques and can
           only be seen by IPs allocated to Brazil. Therefore, if the
           page is not visible on your Web browser, please, search for
           it directly at your Web server file system.

Arquivo do Modelo: phishing-en-us.txt

Subject: Phishing hosted at your site (<HOSTNAME> -> <IP>)
To: <NETWORK_CONTACT>
Cc: <NATIONAL_CSIRT>, cert@cert.br


Dear Sir/Madam,

We are the computer security incident response team for
<ORGANIZATION_NAME>. <ORGANIZATION_NAME> is <ORGANIZATION_DESCRIPTION>.

You've received this message because you are the WHOIS contact for the
network mentioned below. This message is intended for the person
responsible for computer security at your site. If this is not the
correct address, please forward this message to the appropriate party.

We detected a phishing web site hosted at:

    <URL_PHISHING>

    <HOSTNAME> with IP <IP>

This is a fake website pretending to be <ORGANIZATION_NAME> website
with the intent of committing fraud against the organization and/or
its users. The organization's legitimate website is:

    <URL_OFFICIAL>

<NOTE_GEO>

We kindly ask your cooperation, according to your policies:

  * to cease this activity and shut down the phishing page;

  * sending us any logs or other information regarding the access to
    this homepage;

  * sending us the phishing website files;

  * also, if in the course of your analysis you can determine where
    the data collected is being sent, please send us this
    information. It could help us in our analysis.


Thanks in advance. We would also appreciate a reply that this message
has been received.


Best regards,
<SIGNATURE>

8.13 Phishing com Pharming

Phishing com Pharming - Português

Modelo de notificação para de casos de páginas falsas (phishing) referenciando instituições brasileiras, hospedadas em IPs no Brasil, e em associação com ataques de pharming para direcionar os usuários.

Arquivo do Modelo: phishing-pharming-pt-br.txt

Subject: Pagina falsa da <ORGANIZATION_NAME> hospedada em <IP>
To: <NETWORK_CONTACT>
Cc: cert@cert.br

Caro responsável,

Somos o grupo de tratamento de incidentes de segurança da
<ORGANIZATION_NAME>. A <ORGANIZATION_NAME> é <ORGANIZATION_DESCRIPTION>.

Você está recebendo esta mensagem porque está listado na base WHOIS
como contato da rede citada abaixo. Esta mensagem é destinada ao
responsável pela segurança de sua rede e, se este não for o endereço
correto, por favor encaminhe-a ao destinatário apropriado.

Identificamos uma página falsa hospedada em:

  Endereço IP:  <IP>

Esta página falsa se faz passar pela página da <ORGANIZATION_NAME>
com o propósito de cometer fraude contra a instituição e/ou seus
usuários. O site legítimo da instituição é:

  <URL_OFFICIAL>

Esta fraude também emprega alguns subterfúgios para alterar a
resolução de nomes no contexto do usuário a fim de direcioná-lo à
pagina falsa (ataque de pharming). Por esta razão, nem sempre é
possível a visualização da página falsa usando o navegador de
computadores não afetados.

As seguintes alternativas podem ser usadas para permitir a visualização
da página falsa:

1. via utilitário "wget":

   wget --header="Host: <HOSTNAME_OFFICIAL>" <URL_PHISHING>

   Versões do wget estão disponíveis em:

     http://gnuwin32.sourceforge.net/packages/wget.htm    (Windows)
     http://www.gnu.org/software/wget/wget.html

     e também via os repositórios oficiais das distribuições de
     diversos sistemas operacionais.

2. editando o arquivo "hosts" da máquina e adicionando a seguinte linha:

   <IP>         <HOSTNAME_OFFICIAL>

   e acessando o site como:

   <URL_OFFICIAL>

   Por favor não se esqueça de remover a linha adicionada ao arquivo
   "hosts" após verificar o site de phishing.

3. mudando a configuração de proxy do browser:

   Configure o proxy do browser para:

      servidor:  <IP>
      porta:     <PORT_PHISHING>

   e acesso o site usando:

      <URL_OFFICIAL>

   Por favor, não se esqueça de remover esta configuração do proxy após
   verificar a página de phishing.

4. Caso utilize o Firefox, você pode instalar a extensão "Modify
   Headers" disponível em:

   https://addons.mozilla.org/en-US/firefox/addon/modify-headers/

   e modificar o valor do campo de cabeçalho "Host" enviado pelo
   navegador para:

   <HOSTNAME_OFFICIAL>

   e acessando o site como:

   <URL_PHISHING>

Solicitamos sua colaboração, de acordo com suas políticas, para que:

  * seja interrompido o acesso a esta página falsa;

  * nos sejam enviados quaisquer logs ou outras informações
    relacionadas com o acesso a estes dados;

  * nos sejam enviados os arquivos que compõem o site de phishing;

  * seja determinado para onde os dados coletados estão sendo
    enviados, caso seja possível. Tais informações podem ser de grande
    valia em nossas análises.

Agradecemos desde já e solicitamos que, se possível, uma resposta nos
seja enviada confirmando o recebimento desta mensagem.


Atenciosamente,
<SIGNATURE>
Phishing com Pharming - Inglês

Modelo de notificação para de casos de páginas falsas (phishing) referenciando instituições brasileiras, hospedadas em IPs no exterior, e em associação com ataques de pharming para direcionar os usuários.

Arquivo do Modelo: phishing-pharming-en-us.txt

Subject: Fake page of <ORGANIZATION_NAME> hosted at <IP>
To: <NETWORK_CONTACT>
Cc: <NATIONAL_CSIRT>, cert@cert.br


Dear Sir/Madam,

We are the computer security incident response team for
<ORGANIZATION_NAME>. <ORGANIZATION_NAME> is <ORGANIZATION_DESCRIPTION>.

You've received this message because you are the WHOIS contact for the
network mentioned below. This message is intended for the person
responsible for computer security at your site. If this is not the
correct address, please forward this message to the appropriate party.

We detected a phishing web site hosted at

   IP address: <IP>

This is a fake website pretending to be <ORGANIZATION_NAME> website
with the intent of committing fraud against the organization and/or
its users. The organization's legitimate website is:

   <URL_OFFICIAL>

This fraud also uses some subterfuges to modify the name resolution to
misdirect users to the fake page (pharming attack). Because of this,
it's not always possible to see the page in the browser of unaffected
computers.

In order to access the page, the following options may be used:

1. using the "wget" tool:

   wget --header="Host: <HOSTNAME_OFFICIAL>" <URL_PHISHING>

   wget versions are available at:

     http://gnuwin32.sourceforge.net/packages/wget.htm    (Windows)
     http://www.gnu.org/software/wget/wget.html

     an also via official repository of several operating system
     distributions.

2. editing the "hosts" file adding the follow line:

   <IP>          <HOSTNAME_OFFICIAL>

   and accessing the site as:

   <URL_OFFICIAL>

   Please, don't forget to remove the line added to the "hosts" file
   after checking the phishing site.

3. changing your browser proxy configuration:

    Set your proxy configuration to:

      server:  <IP>
      port:    <PORT_PHISHING>

    and access the site as:

      <URL_OFFICIAL>

   Please, don't forget to remove the browser proxy configuration
   after checking the phishing site.


4. If you use Firefox, you can install the "Modify Headers" add-on
   from:

   https://addons.mozilla.org/en-US/firefox/addon/modify-headers/

   and modify the value of the "Host" header field sent by the browser
   to:

   <HOSTNAME_OFFICIAL>

   and accessing the site as:

   <URL_PHISHING>


We kindly ask your cooperation, according to your policies:

  * to cease this activity and shut down the phishing page;

  * sending us any logs or other information regarding the access to
    this homepage;

  * sending us the phishing website files;

  * also, if in the course of your analysis you can determine where
    the data collected is being sent, please send us this
    information. It could help us in our analysis.


Thanks in advance. We would also appreciate a reply that this message
has been received.


Best regards,
<SIGNATURE>

8.14 Servidor enviando phishing scam

Servidor enviando phishing scam - Português

Modelo de notificação para casos de servidor de e-mail enviando phishing scam, a partir de IPs no Brasil.

Se após análise do cabeçalho da mensagem ficar evidente a conta de e-mail utilizada para envio, pode-se acrescentá-la às informações da notificação, pois pode ajudar a identificar uma conta de usuário ou máquina comprometida.

Entretanto, é importante salientar que identificar a conta do remetente apenas pelo campo "From:" da mensagem não é evidência suficiente, pois tal campo pode ser facilmente forjado, a menos que seja possível validá-lo, por exemplo, pela verificação de assinatura DKIM.

Arquivo do Modelo: phishing-scam-pt-br.txt

Subject:  <HOSTNAME> -> <IP> enviando e-mail phishing.
To: <NETWORK_CONTACT>
Cc: cert@cert.br


Caro responsável,

Somos o grupo de tratamento de incidentes de segurança da
<ORGANIZATION_NAME>. A <ORGANIZATION_NAME> é <ORGANIZATION_DESCRIPTION>.

Você está recebendo esta mensagem porque está listado na base WHOIS
como contato da rede citada abaixo. Esta mensagem é destinada ao
responsável pela segurança de sua rede e, se este não for o endereço
correto, por favor encaminhe-a ao destinatário apropriado.

Usuários de nossa rede receberam mensagens de phishing enviadas a
partir do seguinte servidor de e-mail sob sua responsabilidade:

   Endereço: <IP>

   Servidor: <HOSTNAME>

A mensagem falsa tenta fazer o leitor acreditar que foi enviada
pelo(a) <ORGANIZATION_NAME> e tem o propósito de cometer fraude contra
a instituição e/ou seus usuários.

Ao final desta mensagem anexamos o e-mail original, incluindo
cabeçalhos, para sua análise.

Pode tratar-se de:

  * uma conta de usuário comprometida (senha conhecida pelo atacante)
    sendo abusada para envio de phishing;

  * um servidor de e-mail configurado como "open relay", permitindo
    envio de mensagens por terceiros, externos à sua rede;

  * um servidor ou dispositivo de usuário infectado com malware para
    envio de phishing;

  * algum sistema Web, com capacidade de envio de e-mail (ex:
    formulário em página Web), sendo abusado;

  * algum usuário legítimo envolvido em atividades que, provavelmente,
    são contrárias à sua política de uso aceitável da rede.

Em qualquer um dos casos pedimos sua colaboração na análise e solução
deste incidente.

Agradecemos desde já e solicitamos que, se possível, uma resposta nos
seja enviada confirmando o recebimento desta mensagem.


Atenciosamente,
<SIGNATURE>

##################################################################
## MENSAGEM com CABEÇALHOS
Servidor enviando phishing scam - Inglês

Modelo de notificação para casos de servidor de e-mail enviando phishing scam, a partir de IPs no exterior.

Se após análise do cabeçalho da mensagem ficar evidente a conta de e-mail utilizada para envio, pode-se acrescentá-la às informações da notificação, pois pode ajudar a identificar uma conta de usuário ou máquina comprometida.

Entretanto, é importante salientar que identificar a conta do remetente apenas pelo campo "From:" da mensagem não é evidência suficiente, pois tal campo pode ser facilmente forjado, a menos que seja possível validá-lo, por exemplo, pela verificação de assinatura DKIM.

Arquivo do Modelo: phishing-scam-en-us.txt

Subject: <HOSTNAME> -> <IP> sending phishing scam.
To: <NETWORK_CONTACT>
Cc: <NATIONAL_CSIRT>, cert@cert.br


Dear Sir/Madam,

We are the computer security incident response team for
<ORGANIZATION_NAME>. <ORGANIZATION_NAME> is <ORGANIZATION_DESCRIPTION>.

You've received this message because you are the WHOIS contact for the
network mentioned below. This message is intended for the person
responsible for computer security at your site. If this is not the
correct address, please forward this message to the appropriate party.

Users of our network have received phishing messages sent from the
following e-mail server:

   IP:     <IP>

   Server: <HOSTNAME>

The fake message tries to make the reader believe that it was sent by
<ORGANIZATION_NAME> for the purpose of committing fraud against the
institution and/or its users.

At the end of this message we have attached the original e-mail
including headers to facilitate your analysis.

Possible causes are:

  * a compromised user account (password known by the attacker) being
    abused for sending phishing;

  * an e-mail server configured as an "open relay", allowing third
    parties external to your network to send messages;

  * a server or user device infected with malware to send phishing;

  * a Web system with e-mail sending capability (e.g. form on Web
    page), being abused;

  * a legitimate user is engaged in activity that is probably in
    violation of your Terms of Service.

In any case, we kindly request you to look into the matter.

Thanks in advance. We would also appreciate a reply that this message
has been received.


Best regards,
<SIGNATURE>

##################################################################
## MESSAGE with HEADERS

8.15 Servidor de comando e controle de RAT

Servidor de comando e controle de RAT - Português

Modelo de notificação para casos de servidor de comando e controle de trojan de acesso remoto (RAT), ativo em IPs de redes no Brasil.

Se, após análise dos logs, estiver disponível a informação do nome do servidor (HOSTNAME), pode-se acrescentá-la ao conjunto de dados da notificação.

Arquivo do Modelo: cc-rat-pt-br.txt

Subject: Comando e Controle de RAT em <IP>.
To: <NETWORK_CONTACT>
Cc: cert@cert.br


Caro responsável,

Somos o grupo de tratamento de incidentes de segurança da
<ORGANIZATION_NAME>. A <ORGANIZATION_NAME> é <ORGANIZATION_DESCRIPTION>.

Você está recebendo esta mensagem porque está listado na base WHOIS
como contato da rede citada abaixo. Esta mensagem é destinada ao
responsável pela segurança de sua rede e, se este não for o endereço
correto, por favor encaminhe-a ao destinatário apropriado.

Nossas análises indicam um servidor de comando e controle (C&C) de
trojan de acesso remoto (RAT) ativo em sua rede:

    Endereço IP:        <IP>

    Porta/Protocolo:    <PORT>/<PROTOCOL>

Servidores de comando e controle (C&C) são ferramentas utilizadas por
criminosos para controlar remotamente dispositivos infectados com
trojan de acesso remoto (RAT), normalmente com propósito de coletar
informações sensíveis, de maneira interativa (ex: durante atividade do
usuário em sessão de Internet Banking).

IMPORTANTE: a tentativa simples de conexão ao IP e porta acima citados
pode não resultar em qualquer mensagem pois tais servidores são, em
geral, programados para responder somente a comandos específicos e
parâmetros pré-determinados.

Ao final desta mensagem anexamos partes de nossos logs para facilitar
a análise. Trata-se de tráfego de rede capturado durante interações
entre o C&C e a máquina controlada. Os horários estão em UTC<TIMEZONE>.

Pode tratar-se de:

   * uma máquina em sua rede que foi comprometida e está sendo abusada
     por invasores, ou;

   * algum usuário legítimo envolvido em atividades que, provavelmente,
     são contrárias à sua política de uso aceitável da rede.

Em qualquer um dos casos pedimos sua colaboração para:

   * análise e solução deste incidente, a fim de cessar as atividades
     maliciosas deste servidor;

   * se possível, de acordo com suas políticas, nos enviar quaisquer
     logs ou outras informações armazenadas no servidor, relacionadas
     à nossa instituição. Tais informações podem ser de grande valia
     em nossas análises.

Agradecemos desde já e solicitamos que, se possível, uma resposta nos
seja enviada confirmando o recebimento desta mensagem.


Atenciosamente,
<SIGNATURE>


##################################################################
## LOGs em UTC<TIMEZONE>
Servidor de comando e controle de RAT - Inglês

Modelo de notificação para casos de servidor de comando e controle de trojan de acesso remoto (RAT), ativo em IPs de redes no exterior.

Se, após análise dos logs, estiver disponível a informação do nome do servidor (HOSTNAME), pode-se acrescentá-la ao conjunto de dados da notificação.

Arquivo do Modelo: cc-rat-en-us.txt

Subject: RAT command and control server active on <IP>
To: <NETWORK_CONTACT>
Cc: <NATIONAL_CSIRT>, cert@cert.br


Dear Sir/Madam,

We are the computer security incident response team for
<ORGANIZATION_NAME>. <ORGANIZATION_NAME> is <ORGANIZATION_DESCRIPTION>.

You've received this message because you are the WHOIS contact for the
network mentioned below. This message is intended for the person
responsible for computer security at your site. If this is not the
correct address, please forward this message to the appropriate party.

Our logs indicate a remote access Trojan (RAT) command and control
(C&C) server active on your network:

    IP Address:		<IP>

    Port/Protocol:	<PORT>/<PROTOCOL>

Command and control servers (C&C) are tools used by criminals to
remotely control devices infected with RATs, in order to interactively
collect sensitive information (e.g. during user activity on Internet
Banking).

IMPORTANT: a simple attempt to connect to the aforementioned IP and
port may not result in any message because these servers are generally
programmed to respond only to specific commands and predetermined
parameters.

At the end of this message we have attached partial logs in order to
facilitate your analysis. This is network traffic captured during
interactions between the C&C and controlled machine. All times are
UTC<TIMEZONE>.

Either:

  * a machine in your network has been compromised and is being abused
    by intruders, or;

  * a legitimate user is engaged in activity that is probably in
    violation of your Terms of Service.

In either case, we kindly ask your cooperation, according to your
policies:

  * to solve this incident in order to cease the malicious activities
    from this server, and;

  * sending us any logs or information stored in this server related
    to our institution. Such information may be of great value in our
    analysis.

Thanks in advance. We would also appreciate a reply that this message
has been received.


Best regards,
<SIGNATURE>


##################################################################
## LOGs - all times are UTC<TIMEZONE>

9. Glossário

AS
Autonomous System ou sistema autônomo, é o conjunto de redes com a mesma política de roteamento.
ASN
Autonomous System Number é o identificador único para um AS.
ccTLD
veja TLD.
CSIRT
Computer Security Incident Response Team - Grupo de Resposta a Incidentes de Segurança em Computadores.
gTLD
veja TLD.
INOC-DBA
Inter-Network Operation Center Dial By Autonomous System Number.
NOC
Network Operations Center - Centro de operações de rede.
PII
Personally Identifiable Information - Informação de Identificação Pessoal ou, simplesmente, dado pessoal, é qualquer informação que sozinha ou agregada possa ser usada para identificar, contatar ou localizar uma pessoa.
TLD
Top-Level Domain - É o nível mais alto da hierarquia de nomes de domínios da Internet (root domain). Existem diferentes tipos de TLDs, tais como Country-Code Top-Level Domains (ccTLD) para paises, Generic Top-Level Domains (gTLD) para nomes genéricos, entre outros.
VoIP
Voice over Internet Protocol - Voz sobre IP ou telefonia IP.

10. Referências

Segue abaixo uma lista de referências que subsidiaram a escrita deste documento e que são recomendadas como leitura complementar.

11. Agradecimentos

Gostaríamos de agradecer a Lucimara Desiderá pelo desenvolvimento da versão inicial deste documento e a Cristine Hoepers, Klaus Steding-Jessen, Luiz Eduardo R. Cordeiro, Miriam von Zuben e Renato Otranto Jr. pela revisão e por sugestões para o desenvolvimento deste documento.

12. Histórico de Revisões

$Date: 2016/04/20 15:58:48 $