FAQ
Perguntas frequentes para o CERT.br.
- 1. Quem é o CERT.br?
- 2. Quais os serviços prestados pelo CERT.br?
- 3. Como faço para entrar em contato com o CERT.br?
- 4. Que tipo de notificações de incidentes o CERT.br recebe?
- 5. O que é um incidente de segurança?
- 6. O que pode ser considerado uso abusivo da rede?
- 7. Por que devo notificar incidentes?
- 8. Para quem devo notificar os incidentes?
- 9. Por que devo manter o CERT.br na cópia das notificações?
- 10. Que informações devo incluir em uma notificação de incidente?
- 11. Onde posso encontrar outras informações a respeito de notificações de incidentes?
- 12. Qual a relação entre o CERT.br e o NBSO/Brazilian CERT?
- 1. Quem é o CERT.br?
O CERT.br é um Grupo de Resposta a Incidentes de Segurança (CSIRT) Nacional de Último Recurso, mantido pelo NIC.br. O CERT.br auxilia no tratamento de incidentes que envolvam qualquer rede que utilize recursos administrados pelo NIC.br (IP ou ASN alocados ao Brasil e domínios sob o ccTLD .br).
Para mais detalhes consulte a missão e os serviços do CERT.br.
- 2. Quais os serviços prestados pelo
CERT.br?
Além do processo de tratamento a incidentes em si, para atingir sua missão, o CERT.br também desenvolve outras atividades que incluem a conscientização sobre os problemas de segurança, a análise de tendências e correlação entre eventos na Internet brasileira e o auxílio ao estabelecimento de novos CSIRTs no Brasil.
Estas atividades são descritas de acordo com o padrão "FIRST CSIRT Services Framework", descrito detalhadamente no documento "Computer Security Incident Response Team (CSIRT) Services Framework".
Este padrão agrupa os serviços prestados por um CSIRT em 5 grandes áreas, sendo que o CERT.br presta serviços que são parte de apenas 3 destas áreas, a saber: Gestão de Incidentes (Information Security Incident Management), Consciênca Situacional (Situational Awareness) e Transferência de Conhecimento (Knowledge Transfer).
A Figura a seguir lista os principais serviços e funções realizadas pelo CERT.br em cada uma destas grandes áreas de serviço:
Para mais detalhes consulte a a descrição dos serviços do CERT.br.
- 3. Como faço para entrar em contato com o
CERT.br?
O CERT.br atende ao público exclusivamente através de email.
As informações para contato estão disponíveis em:
- 4. Que tipo de notificações de
incidentes o CERT.br recebe?
Como o CERT.br auxilia o tratamento de qualquer incidente envolvendo redes conectadas à Internet no Brasil, o grupo recebe notificações de quaisquer atividades que sejam julgadas um incidente de segurança pelas partes envolvidas.
Estes incidentes podem ser varreduras (scans), tentativas de invasão, ataques de negação de serviço, ataques de engenharia social, entre outros.
- 5. O que é um incidente de
segurança?
Um incidente de segurança pode ser definido como qualquer evento adverso, confirmado ou sob suspeita, relacionado à segurança de sistemas de computação ou de redes de computadores.
São exemplos de incidentes de segurança:
- tentativas de ganhar acesso não autorizado a sistemas ou dados;
- ataques de negação de serviço;
- uso ou acesso não autorizado a um sistema;
- modificações em um sistema, sem o conhecimento, instruções ou consentimento prévio do dono do sistema;
- desrespeito à política de segurança ou à política de uso aceitável de uma empresa ou provedor de acesso.
- 6. O que pode ser considerado uso abusivo da
rede?
Não há uma definição exata do que possa ser considerado um uso abusivo da rede.
Internamente às empresas e instituições, situações que caracterizam o uso abusivo da rede devem estar definidas na política de uso aceitável. Na Internet como um todo, os comportamentos listados abaixo são geralmente considerados como uso abusivo:
- envio de spam;
- envio de boatos (hoaxes) e de correntes para ganhar dinheiro rápido;
- utilização da Internet para fazer difamação, calúnia, ameaças e fraudes;
- tentativas de ataques a outros computadores;
- comprometimento de computadores ou redes.
- 7. Por que devo notificar incidentes?
Parte indispensável do processo de tratamento de incidentes, a notificação é uma atividade de grande importância visto que:
- Melhora a capacidade de detecção de incidentes. Muitas instituições descobrem que estão comprometidas apenas quando são notificadas por terceiros. Notificar incidentes pode ajudar a identificar problemas e prevenir novas ocorrências;
- Contribui para a segurança geral da Internet. Ao notificar uma tentativa de ataque da qual foi vítima, ao invés de apenas mitigá-la, busca-se a solução do problema e demonstra-se comprometimento com questões de segurança;
- Pode ajudar a conter danos e prejuízos. Notificações podem ser instrumentos eficazes na mitigação de incidentes e na contenção dos prejuízos, como por exemplo, em casos de fraudes;
- Permite gerar estatísticas, correlacionar dados e identificar tendências que ajudarão a elaborar recomendações e materiais de apoio, a orientar campanhas pela adoção de boas práticas e a estabelecer ações em cooperação.
- 8. Para quem devo notificar os incidentes?
Os incidentes ocorridos devem ser notificados para os responsáveis pela máquina que originou a atividade e também para os grupos de resposta a incidentes e abusos das redes envolvidas. De modo geral a lista de pessoas/entidades a serem notificadas inclui:
- os responsáveis pela rede que originou o incidente, incluindo o grupo de segurança e abusos, se existir um para aquela rede;
- o grupo de segurança e abusos da rede em que você está conectado (seja um provedor, empresa, universidade ou outro tipo de instituição).
Caso algum dos sites envolvidos seja brasileiro mantenha o CERT.br (
<cert@cert.br>) na cópia da mensagem.O documento Recomendações para Notificações de Incidentes de Segurança aborda em detalhes quem contatar em quais tipos de incidentes e também como encontrar as informações corretas de contato.
- 9. Por que devo manter o CERT.br na cópia das
notificações?
O CERT.br atua facilitando o contato entre sites, no caso de incidentes de segurança em computadores envolvendo redes conectadas à Internet no Brasil.
O CERT.br também mantém estatísticas sobre os incidentes a ele reportados e desenvolve documentação de apoio para usuários e administradores de redes Internet.
Manter o CERT.br nas cópias das notificações de incidentes de segurança é importante para permitir que:
- as estatísticas geradas reflitam os incidentes ocorridos na Internet brasileira;
- o CERT.br escreva documentos direcionados para as necessidades dos usuários da Internet no Brasil;
- o CERT.br possa correlacionar dados relativos a vários incidentes, identificar ataques coordenados, novos tipos de ataques, etc.
- 10. Que informações devo incluir em uma
notificação de incidente?
Para que os responsáveis pela rede de onde partiu o incidente possam identificar a origem da atividade é necessário que a notificação contenha dados que permitam esta identificação.
São dados essenciais a serem incluídos em uma notificação:
- logs completos;
- data, horário e timezone dos logs ou da ocorrência da atividade sendo notificada;
- dados completos do incidente ou qualquer outra informação que tenha sido utilizada para identificar a atividade.
- 11. Onde posso encontrar outras informações a
respeito de notificações de incidentes?
O CERT.br mantém o documento Recomendações para Notificações de Incidentes de Segurança, que possui mais detalhes sobre o que notificar, formas e formatos de notificações e como encontrar contatos.
- 12. Qual a relação entre o CERT.br e o
NBSO/Brazilian CERT?
NBSO era o antigo nome do grupo, trocado para CERT.br em 2005, de modo a melhor refletir sua missão e os serviços prestados pelo grupo para a comunidade Internet no Brasil.
Não houve nenhuma outra alteração. O grupo continuou sendo mantido pelo NIC.br, com a mesma equipe e prestando os mesmos serviços à comunidade.