O Que é o CSIRT UFPA

1 - O que é o CSIRT UFPA ?

O “Computer Security Incident Response Team (CSIRT)”, ou Grupo de Resposta a Incidentes de Segurança, é uma organização responsável por receber, analisar e responder a notificações e atividades relacionadas a incidentes de segurança em computadores. O CSIRT UFPA presta serviços para uma comunidade acadêmica, relatando invasões e resolvendo problemas relacionados à segurança computacional.


2- Quais os serviços prestados pelo CSIRT UFPA ?

O conjunto de serviços providos pelo CSIRT UFPA pode ser dividido em:

  • Tratamento de incidentes;

  • Notificação de Incidentes;

  • Análise de Incidentes;

  • Suporte à resposta a incidentes;

  • Gerenciamento de vulnerabilidades;

  • Educação e treinamento em segurança da informação;


3 - O que é um incidente de segurança ?

Um incidente de segurança pode ser definido como qualquer evento adverso, confirmado ou sob suspeita, relacionado à segurança de sistemas de computação ou de redes de computadores. São exemplos de incidentes de segurança:

  • Tentativas de ganhar acesso não autorizado a sistemas ou dados;

  • Ataques de negação de serviço;

  • Uso ou acesso não autorizado a um sistema;

  • Modificações em um sistema, sem o conhecimento, instruções ou consentimento prévio do dono do sistema;

  • Desrespeito à política de segurança ou à política de uso aceitável de uma empresa ou provedor de acesso.


4 - Por que devo notificar um incidente ?

Quando um ataque é lançado contra uma máquina ele normalmente tem uma destas duas origens:

  • Um programa malicioso que está fazendo um ataque de modo automático, como por exemplo um worm ou um bot;

  • Uma pessoa que pode estar ou não utilizando ferramentas que automatizam ataques.

  • Uso ou acesso não autorizado a um sistema.

  • Quando o ataque parte de uma máquina que foi vítima de um worm ou de um bot, reportar este incidente.


Se este não for o caso, a pessoa que está atacando o seu computador pode estar violando a política de uso aceitável da rede que utiliza ou, pior ainda, pode ter invadido uma máquina e a estar utilizando para atacar outros computadores. Neste caso, avisar os responsáveis pela máquina de onde parte o ataque pode alertá-los para o mau comportamento de um usuário ou para uma invasão que ainda não havia sido detectada.


5 - Para quem devo notificar os incidentes ?

Os incidentes ocorridos devem ser notificados para os responsáveis pela máquina que originou a atividade e também para os grupos de resposta a incidentes e abusos das redes envolvidas. De modo geral a lista de pessoas/entidades a serem notificadas inclui:

  • Os responsáveis pela rede que originou o incidente, incluindo o grupo de segurança e abusos, se existir um para aquela rede;

  • O grupo de segurança e abusos da rede em que você está conectado (seja um provedor, empresa, universidade ou outro tipo de instituição);

  • De qualquer modo deverá entrar em contato com o CSIRT - UFPA pelo email csirt@ufpa.br.


6 - Como faço para notificar uma tentativa de fraude pela internet ?

A recomendação para aqueles que receberem e-mails de phishing/scam é que os enviem, com conteúdo e cabeçalhos completos, para o e-mail csirt@ufpa.br. Deste modo podemos contatar o site que está hospedando o cavalo de troia, verificar se este já é detectado pelos softwares antivírus e tomar as ações necessárias.

Vale ressaltar que todas as notificações de fraudes são tratadas, porém, devido ao grande volume de notificações, nem todas as mensagens são respondidas individualmente.


7 - O que pode ser considerado uso abusivo da rede ?

Não há uma definição exata do que possa ser considerado um uso abusivo da rede. Internamente às empresas e instituições, situações que caracterizam o uso abusivo da rede, estão definidas na política de uso aceitável. Na Internet como um todo, os comportamentos listados abaixo são geralmente considerados como uso abusivo:

  • Envio de spam;

  • Envio de boatos (hoaxes) e de correntes para ganhar dinheiro rápido;

  • Cópia e distribuição não autorizada de material protegido por direitos autorais;

  • Utilização da Internet para fazer difamação, calúnia, ameaças e fraudes;

  • Tentativas de ataques a outros computadores;

  • Comprometimento de computadores ou redes.


8 - Como faço para entrar em contato com o CSIRT UFPA ?

Incidentes de segurança relacionados à rede e aos sistemas computacionais da UFPA poderão ser encaminhados à equipe do CSIRT através do correio eletrônico csirt@ufpa.br.

OBS: Os CSIRT’s pesquisados disponibilizam junto ao e-mail sua chave PGP e alguns também sua Fingerprint relacionada a chave. CERT b@hia.


9 - Quais informações devo incluir em uma notificação de incidente ?


São dados essenciais a serem incluídos em uma notificação:

  • Logs completos, com datas, horários e timezones dos registros;

  • Dados completos do incidente, inclusive da sua respectiva detecção;

  • Cabeçalhos completos do e-mail, no caso de phishing.

No caso da UFPA, convém analisar para informar quais dados adicionais deverão ser enviados no e-mail para CSIRT.


10 - Quais os tipos de incidentes são tratados pelo CSIRT UFPA ?


O Centro recebe notificações, no âmbito das redes da APF, de quaisquer eventos que sejam julgadas um incidente de segurança. Esses incidentes podem ser varreduras (scans), tentativa de invasão, desfiguração de sítio, ataque de negação de serviço, ataque de engenharia social (phishing) e outros. Esse parágrafo condiz com o FAQ CTIR.gov. Deve-se adequar ao da UFPA.


11 - Quais as diferenças entre SPAM e Phishing ?


Spam é o termo usado para se referir aos e-mails não solicitados, que geralmente são enviados para um grande número de pessoas. Quando este tipo de mensagem possui conteúdo exclusivamente comercial também é referenciado como UCE (Unsolicited Commercial E-mail).

Phishing, phishing-scam ou phishing/scam, é o tipo de fraude por meio da qual um golpista tenta obter dados pessoais e financeiros de um usuário, pela utilização combinada de meios técnicos e engenharia social. O phishing ocorre por meio do envio de mensagens eletrônicas que:

  • Tentam se passar pela comunicação oficial de uma instituição conhecida, como um banco, uma empresa ou um site popular;

  • Procuram atrair a atenção do usuário, seja por curiosidade, por caridade ou pela possibilidade de obter alguma vantagem financeira;

  • Informam que a não execução dos procedimentos descritos pode acarretar sérias consequências, como a inscrição em serviços de proteção de crédito e o cancelamento de um cadastro, de uma conta bancária ou de um cartão de crédito;

  • Tentam induzir o usuário a fornecer dados pessoais e financeiros, por meio do acesso a páginas falsas, que tentam se passar pela página oficial da instituição; da instalação de códigos maliciosos, projetados para coletar informações sensíveis; e do preenchimento de formulários contidos na mensagem ou em páginas Web.


12 - Quais as recomendações do CSIRT UFPA em caso de ocorrência ou suspeita de crime ?


Em relação a esse aspecto, a Norma Complementar nº 08/IN01/DSIC/GSIPR estabelece:

"8.5 Durante o gerenciamento de incidentes de segurança em redes de computadores, havendo indícios de ilícitos criminais, as ETIR têm como dever, sem prejuízo do disposto no item 6 desta Norma Complementar e do item 10.6 da Norma Complementar nº 05/IN01/DSIC/GSIPR:

8.5.1 Acionar as autoridades policiais competentes para a adoção dos procedimentos legais julgados necessários;

8.5.2 Observar os procedimentos para preservação das evidências exigindo consulta às orientações sobre cadeia de custódia, conforme ato normativo específico a ser expedido;

8.5.3 Priorizar a continuidade dos serviços da ETIR e da missão institucional da organização, observando os procedimentos previstos no item 8.5.2."

Bibliografia

CERT.br - Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil, https://www.cert.br/

Informações de Contato de Grupos de Segurança Brasileiros - CERT.br, https://www.cert.br/csirts/brasil/

FAQ: Perguntas Freqüentes ao CERT.br, https://www.cert.br/docs/certbr-faq.html

FAQ: Perguntas Frequentes ao CTIR Gov - Centro de Tratamento de Incidentes de Redes do Governo, http://www.ctir.gov.br/faq.html