Beruflich Dokumente
Kultur Dokumente
B. Fraser
Editor
SEI/CMU
Obsoleto: 1244
Setembro 1997
Categoria: Informativo
Resumo
Este manual um guia para desenvolvimento de polticas de segurana
de computador e procedimentos para sites que tm seus sistemas na
Internet. O propsito deste manual proporcionar um guia prtico aos
administradores tentando tornar segura uma grande variedade de
informaes e servios. Os assuntos abordados incluem os contedos de
poltica e formao, tpicos tcnicos de segurana de redes, e, tambm,
reaes a incidentes de segurana.
ndice
1. Introduo
1.1 Propsito deste Trabalho
1.2 Pblico Alvo
1.3 Definies
1.4 Trabalho Relacionado
1.5 Guia Bsico
1.6 Taxa de risco
1. Introduo
Este documento um guia para administradores de sistemas e redes, o
qual explica como tratar assuntos de segurana dentro da comunidade de
Internet. Este foi elaborado com base no RFC 1244 atravs do trabalho
cooperativo de vrios autores. Os autores deste trabalho incluem: Jules P.
Aronson (aronson@nlm.nih.gov), Nevil Brownlee
(n.brownlee@auckland.ac.nz), Frank Byrum (byrum@norfolk.infi.net), Joao
Nuno Ferreira (ferreira@rccn.net), Barbara Fraser (byf@cert.org), Steve
Glass (glass@ftp.com), Erik Guttman (erik.guttman@eng.sun.com), Tom
1.3 Definies
Para a finalidade deste guia, um " site " qualquer organizao que possui
computadores ou recursos de rede relacionados. Estes recursos podem
incluir computadores que os usurios usam, routers, servidores de
terminais, PCs, ou outros dispositivos que tm acesso Internet. Um site
pode ser um usurio final de servios Internet ou um provedor de servio.
Porm, a maioria do enfoque deste guia est nesses usurios finais de
servios de Internet. Ns assumimos que o site tem capacidade de
implementar polticas e procedimentos para si mesmo com o
consentimento e suporte dos que so os donos dos recursos. Ser
assumido que locais que so partes de organizaes maiores saibam
quando eles precisam consultar, colaborar, ou acatar recomendaes de
entidades maiores.
A " Internet " uma coleo de milhares de redes interligadas por um
conjunto de protocolos tcnicos que tornam isto possvel para usurios de
qualquer uma das redes se comunicar com, ou usar os servios localizado
em, quaisquer das outras redes (FYI4, RFC 1594).
O termo " administrador " usado para incluir todas as pessoas que so
responsvel para a operao do dia-a-dia do sistema e recursos da rede.
Podem ser vrios indivduos ou uma organizao.
O termo " administrador de segurana" usado para incluir todas as
pessoas que so responsveis pela segurana das informao e tecnologia
de informao. Em alguns sites esta funo pode ser combinada com a do
administrador (cima citado); a outros, esta ser uma posio separada.
O termo " tomador de deciso" se refere a essas pessoas em um site que
aprovam a poltica. Estes so freqentemente (mas no sempre) as
pessoas responsveis pelos recursos.
2. Polticas de Segurana
Neste documento h uma srie de referncias para polticas de segurana.
Seguidamente, estas referncias incluiro recomendaes para polticas especficas.
O que uma poltica de segurana? Por que ter uma?
O que faz uma boa poltica de segurana?
Mantendo a poltica flexvel
Links Complementares
Introduo:
Texto sobre Segurana, Poltica e tica da Universidade de Stanford
importante mencionar que o papel do conselho legal ir variar de pas para pas.
Clique aqui para acessar informaes sobre o time de resposta a incidentes de
segurana da Universidade de Stanford
Links Complementares:
Poltica de Segurana da NASA para a Internet
Desenvolvimento da Poltica de Segurana
pores do servio, o que significa que o agente receptor tambm tem privilgios do
sistema. Isto abre vrios furos de segurana que este documento no descrever.
Existem algumas implementaes disponveis que permitem uma separao dos
dois agentes. Tais implementaes so geralmente consideradas mais seguras, mas
ainda exigem instalao cuidadosa para evitar a criao de um problema de
segurana.
3.2.3.5 World Wide Web (WWW)
A Web est crescendo exponencialmente em popularidade devido a sua facilidade
de uso e a poderosa habilidade de concentrar servios de informao. A maioria dos
servidores WWW aceitam algum tipo de direo e ao de pessoas acessando seus
servios. O exemplo mais comum enviar um pedido de um usurio remoto e
passar a informao fornecida para um programa executando no servidor para
processar o pedido. Alguns desses programas no so escritos com segurana em
mente e podem criar furos de segurana. Se um servidor Web est disponvel para a
comunidade Internet, especialmente importante que informaes confidenciais
no sejam colocadas no mesmo host que o servidor. De fato, recomendado que o
servidor tenha um host dedicado que no confivel pelos outros hosts internos.
Muitos sites podem querer colocar servio FTP com seu servio WWW. Mas isto
deveria ocorrer somente para servidores de ftp-annimo que apenas fornecem
informaes (ftp-get). Operao put no ftp-annimo, em combinao com WWW,
pode ser perigoso (por exemplo, elas poderiam resultar em modificaes para as
informaes que seu site est publicando para a rede) e eles mesmos fazem as
consideraes de segurana para cada servio diferente.
3.2.3.6 Transferncia de Arquivo (FTP, TFTP)
FTP e TFTP permitem aos usurios receber e enviar arquivos eletrnicos em modo
ponto-a-ponto. Porm, FTP requer autenticao, enquanto o TFP no necessita. Por
esta razo, TFTP deveria ser evitado tanto quanto possvel.
Servidores FTP configurados inadequadamente podem permiter podem permitir
aos intrusos copiar, substituir e apagar arquivos vontade, em qualquer lugar de
um host, ento muito importante configurar este servio corretamente. Acesso a
senhas encriptadas e dados proprietrios e a introduo de cavalos de Tria so
apenas alguns dos potenciais furos de segurana que podem ocorrer quando o
servio configurado incorretamente. Servidores FTP deveriam ter seu prprio host.
Alguns sites decidem colocar FTP com servidor Web, uma vez que os dois protocolos
compartilham consideraes de segurana comuns. Porm, na prtica no
recomendado, especialmente quando o servio FTP permite o depsito de arquivos
(veja seo em WWW acima). Como mencionado nos pargrafos de abertura da
seo 3.2.3, servios fornecidos internamente para seu site no deveriam ser
colocados com servios oferecidos externamente. Cada um deveria ter seu prprio
host.
TFTP no suporta o mesmo conjunto de funes que o FTP e no tem qualquer
segurana. Este servio deveria somente ser considerado para uso interno, e ento
ele deveria ser configurado de maneira restrita tal que o servidor tem acesso
somente a um conjunto pr-determinado de arquivos (ao invs de todos os os
arquivos com permisso de leitura para todos). Provavelmente o uso mais comum
do TFTP para downloading de arquivos de configurao para um roteador. TFTP
deveria residir em seu prprio host, e no deveria ser instalado em hosts suportado
3. Arquitetura
3.1 Objetivos
3.1.1 Planos de Segurana Completamente Definidos
Todos os sites devem definir um amplo plano de segurana, que deve ser de mais
alto nvel que as polticas discutidas no captulo 2, e deve ser projetado como um
framework de objetivos amplos nos quais polticas especficas se enquadraro.
importante ter esse framework de tal maneira que polticas individuais possam ser
consistentes dentro de todo o contexto da arquitetura de segurana do site. Por
exemplo, ter uma poltica forte em relao ao acesso pela Internet e ter baixas
restries no uso do modem inconsistente dentro de uma filosofia de fortes
restries no que diz respeito ao acesso externo.
Um plano de segurana deve definir: a lista de servios de rede que sero providos;
quais reas da organizao provero os servios; quem ter acesso aos servios;
como o acesso ser provido; quem administrar esses servios; etc.
O plano tambm deve indicar como incidentes sero tratados. Captulo 5 prov uma
discusso profunda neste tpico, mas importante que cada site defina classes de
incidentes e reaes correspondentes. Por exemplo, sites com firewalls devem setar
um nmero de tentativas de ataque suportado antes de tomar uma ao? Nveis de
ao devem ser definidos para todos os ataques e respostas. Sites com firewalls
devem determinar se uma simples tentativa de conexo a um host constitui um
incidente ou no. E em relao procura sistemtica de sistemas?
Para sites conectados Internet, o nmero significativo de incidentes relatados em
relao segurana pode se fazer esquecer dos incidentes internos rede. Da
mesma maneira, organizaes no conectadas Internet devem ter planos fortes e
bem definidos de poltica de segurana interna.
quais podem prover esta capacidade. Uma vez que voc identificar esta capacidade
como sendo necessria, voc pode identificar tecnologias que provero isto.
4.4 Autorizao
Autorizao se refere ao processo de conceder privilgios para processos e, em
ltima anlise, para usurios. Isto difere daquela autenticao que o processo de
identificao de um usurio. Uma vez identificados (seguramente), os privilgios,
direitos, propriedade e aes permissveis do usurio so determinados atravs da
autorizao.
Listar explicitamente as atividades autorizadas de cada usurio (e processo de
usurio) com respeito a todos os recursos (objetos) impossvel em um sistema
razovel. Em um sistema real certas tcnicas so usadas para simplificar o processo
de conceder e verificar autorizaes.
Uma abordagem, popularizada em sistemas de UNIX, associar a cada objeto trs
classes de usurio: proprietrio, grupo e mundo. O proprietrio o criador do objeto
ou o usurio associado como proprietrio pelo super usurio. As permisses de
proprietrio (leitura, escrita e execuo) aplicam-se somente para o proprietrio. Um
grupo uma coleo de usurios que compartilham direitos de acesso sobre um
objeto. As permisses de grupo (leitura, escrita e execuo) aplicam-se a todos os
usurios no grupo (exceto o propritrio). O mundo refere-se a todos outros com
acesso ao sistema. As permisses de mundo (leitura, escrita e execuo) aplicam-se
a todos os usurios (menos o proprietrio e membros do grupo).
Outra abordagem associar a um objeto uma lista que explicitamente contm a
identidade de todos usurios permitidos (ou grupos). Esta uma Lista de Controle
de Acesso (ACL). A vantagem de ACLs que elas so
facilmente mantidas (uma lista central por objeto) e muito fcil verificar
visualmente quem tem acesso ao que. As desvantagens so os recursos extras
exigidos armazenar tais listas, como tambm o vasto nmero de listas requeridas
para sistemas grandes.
4.5 Acesso
4.5.1 Acesso Fsico
Restrinja o acesso fsico aos hosts, permitindo acesso somente a aquelas pessoas
que devem us-los. Hosts incluem terminais confiveis (ou seja, terminais que
permitem uso no autenticado tais como consoles do sistema, terminais de
operadores e terminais dedicados a tarefas especiais), e microcomputadores e
estaes de trabalho individuais, especialmente aqueles conectados a sua rede.
Certifique-se de que as reas de trabalho das pessoas se ajusta bem s restries de
acesso; caso contrrio elas encontraro maneiras de evitar sua segurana fsica (por
exemplo portas fechadas abrindo).
Mantenha cpias originais e backup de programas e dados seguras. Alm de mantlos em boas condies para fins de backup, eles devem ser protegidos contra furtos.
importante manter backups em uma localizao separada dos originais, no
somente em considerao a danos, mas tambem para proteger contra furtos.
Hosts portteis so um risco particular. Certifique-se que eles no causaro
problemas se um computador porttil de seu pessoal for roubado. Considere o
desenvolvimento de polticas para as espcies de dados que deveriam ser
permitidas residirem em discos de computadores portteis bem como a maneira
pela qual os dados deveriam ser protegidos (por exemplo criptografia) quando
estivessem em computadores portteis.
Outras reas onde o acesso fsico deveria ser restringido so os gabinetes de fiao
e elementos importantes de rede como servidores de arquivos, hosts servidores de
nomes e roteadores.
Fique de olho em qualquer rea que contem acesso no monitorado rede, tais
como escritrios vazios. Pode ser sensato desconectar tais reas no gabinete de
cabeamento, e considerar o uso de hubs seguros e monitoramento de tentativas de
conexo de hosts no autorizados.
4.5.4 Modens
4.5.4.1 Linhas de Modem devem ser Gerenciadas
Ainda que elas forneam acesso conveniente a um local para todos seus usurios,
elas podem tambm fornecer um desvio efetivo dos firewalls do local. Por esta razo
essencial manter um controle apropriado dos modens.
No permite aos usurios instalar uma linha de modem sem uma autorizao
apropriada. Isto inclui as instalaes temporrias (por exemplo, pendurar um
modem em um aparelho de fax ou uma linha telefnica durante a noite.
Tenha um registro de todas as suas linhas de modem e mantenha-o atualizado.
Conduza verificaes regulares (idealmente automatizadas) dos modens no
autorizados no "site".
4.5.4.2 Usurios de Discagem devem ser Autenticados
A verificao do cdigo de usurio e da senha deveria ser completada antes que o
usurio possa ter acesso a qualquer coisa na sua rede. Consideraes normais sobre
segurana de senhas so particularmente importantes (veja a seo 4.1.1).
Lembre que linhas telefnicas podem ser escutadas clandestinamente, e que
muito fcil interceptar mensagens em telefones celulares. Os modens modernos de
alta velocidade usam tcnicas de modulao mais sofisticadas que tornam-nos mais
difceis de monitorar, mas prudente assumir que "hackers" sabem como escutar
escondidos suas linhas. Por esta razo, voc deveria usar senhas "one-time" sempre
que possvel.
de grande utilidade ter um nico ponto de entrada para acessos discados (por
exemplo um nico grande "pool" de modens) para que todos usurios sejam
autenticados da mesma forma. Os usurios iro eventualmente digitar
incorretamente uma senha. Estabelea um intervalo curto - digamos de dois
segundos - aps o primeiro e o segundo "login" falho, e force uma desconexo aps
o terceiro. Isto ir frear ataques de senha automatizados. No diga ao usurio se foi
o seu cdigo, a senha, ou ambos que estavam errados.
4.6 Auditoria
Esta seo cobre os procedimentos para coletar os dados gerados pela atividade de
rede, que podem ser teis para analizar a segurana de uma rede e responder a
incidentes de segurana.
Processo de Coleta
O processo de coleta deveria ser ordenado pelo host ou recurso sendo acessado.
Dependendo da importncia dos dados e a necessidade de t-los localmente em
instncias nas quais os servios esto sendo negados, os dados poderiam ser
guardados localmente ao recurso at que sejam necessrios ou serem transmitidos
para armazenamento aps cada evento.
H basicamente trs formas de armazenar registros de auditoria: em um arquivo de
leitura e escrita em um host, em um dispositivo do tipo escreva uma vez, leia vrias
(por exemplo um CD-ROM ou uma unidade de fita especialmente configurada), ou
num dispositivo somente de escrita (por exemplo uma impressora). Cada mtodo
tem suas vantagens e desvantagens.
O registro em um sistema de arquivos o que consome recursos menos
intensamente dentre os trs mtodos. Ele permite acesso instantneo aos registros
para anlise, o que pode ser importante se um ataque est em curso. Entretanto,
tambem o mtodo menos confivel. Se o host que efetua o registro foi
comprometido, o sistema de arquivos usualmente a primeira coisa onde ir; um
intruso poderia facilmente acobertar rastreios da intruso.
Coletar dados de auditoria em um dispositivo de escrita nica ligeiramente mais
trabalhoso de configurar que um simples arquivo, mas ele tem a significante
vantagem da segurana significativamente aumentada porque um intruso no
poderia alterar os dados indicadores de que uma invaso aconteceu. A desvantagem
deste mtodo a necessidade de manter um fornecimento de meio de
armazenamento e o custo desse meio. Tambem, os dados podem no estar
instantaneamente disponveis.
Registro em impressora til em sistemas onde registros ("logs") permanentes e
imediatos so necessrios. Um sistema de tempo real um exemplo disto, onde o
ponto exato de falha ou ataque deve ser registrado. Uma impressora laser, ou outro
dispositivo que buferiza dados (por exemplo um servidor de impresso) podem
sofrer de dados perdidos se os buffers contm os dados necessrios num instante
crtico. A desvantagem de, literalmente, trilhas de papel a necessidade de
vasculhar os registros a mo. H tambem a questo de tornar seguro o caminho
entre o dispositivo que gera o registro e o que realmente armazena o registro (por
exemplo um servidor de arquivos, uma unidade de fita/CD-ROM, uma impressora).
Se o caminho est comprometido, o registro pode ser parado ou adulterado ou
ambos. Em um mundo ideal, o dispositivo de registro estaria diretamente ligado por
um simples e nico cabo ponto-a-ponto. Como isto usualmente impraticvel, o
caminho deveria passar por um nmero mnimo de redes e roteadores. Mesmo que
os registros possam ser bloqueados, adulterao pode ser evitada com somas de
verificao criptogrficas (provavelmente no necessrio criptografar os registros
porque ees no deveriam conter informaes sensitivas em primeiro lugar.
Tambm importante priorizar as aes a ser tomadas durante um incidente com bastante
antecendncia antes do incidente acontecer. s vezes um incidente pode ser to complexo que
impossvel fazer tudo ao mesmo tempo para responder a ele; prioridades so essenciais. Embora
prioridades variem de instituio para instituio, as seguintes sugestes de prioridades podem servir
como ponto de partida para definir a resposta de sua organizao:
Prioridade 1 --proteja vida humana e segurana das pessoas; vida humana sempre tem precedncia
sobre outras consideraes.
Prioridade 2 -- proteger dados importantes. Previna explorao sistemas, redes ou locais importantes.
Informe sistemas, redes ou locais importantes que tenham sido afetados sobre invases acontecidas.
(Esteja atento aos regulamentos de seu site ou do governo)
Prioridade 3--proteja outros dados incluindo dados proprietrios, cientficos, administrativos e outros,
pois perda de dados cara em termos de recursos.Previna exploraes de outros sistemas, redes ou
locais e informe os sistemas, redes ou locais afetados sobre invases bem sucedidas.
Prioridade 4--previna dano para sistemas (por exemplo, perda ou alterao de arquivos de sistemas,
danos a unidades de disco, etc.). Danos em sistemas pode resultar em custo de recuperao alto.
Prioridade 5--minimize a interrupodos recursos de computao(inclusive processos). melhor em
muitos casos desligar um sistema ou desconecta-lo de uma rede que arriscar dano para dados ou
sistemas. Os sites tero que avaliar a melhor opo entre desligar e desconectar, manter o sistema
funcionando. Pode haver acordos de servios em lugares que podem requerer a manuteno dos
sistemas no ar mesmo com a possibilidade de danos adicionais. Porm, o dano e escopo de um
incidente podem ser to extensos que aqueles acordos de servio podem ter que ser ignorados.
Uma implicao importante para definir prioridades que uma vez que a vida humana e consideraes
de segurana nacionais foram previstas, geralmente mais importante salvar dados que software e
hardware. Embora indesejvel ter qualquer dano ou perda durante um incidente, sistemas podem ser
substitudos. Porm, a perda ou comprometimento de dados (especialmente classificados ou
proprietrios) normalmente no de forma alguma um resultado aceitvel.
Outra preocupao importante o efeito em outros, alm dos sistemas e redes onde o incidente
acontece. Dentro dos limites impostos por regulamentos governamentais sempre importante informar
as partess afetadas o mais cedo possvel. Devido s implicaes legais deste tpico, ele deveria ser
includo nos procedimentos planejados para evitar demoras adicionais e incertezas para os
administradores.
Qualquer plano para responder a incidentes de segurana deveria ser guiado por polticas locais e
regulamentos. Sites privados e do governo que lidem com material classificado tem regras especficas
que eles devem seguir.
As polticas escolhidas por seu site sobre como reagir a incidentes ir moldar sua resposta Por exemplo,
pode fazer pouco sentido criar mecanismos para monitorar e rastrear intrusos se o seu site no planeja
entrar em ao contra os intrusos caso eles sejam pegos. Outras organizaes podem ter polticas que
afetam seus planos. Companhias de telefone freqentemente liberam informaes sobre rastreamento
de telefones apenas para agncias responsveis pela execuo da lei.
Tratar incidentes pode ser tedioso e requerer qualquer nmero de tarefas rotineiras que poderiam ser
tratadas pelo pessoal de apoio. Para liberar o pessoal tcnico, til identificar pessoal de apoio que
ajudar com tarefas como: fotocopiar, passar fax, etc.
5.2 Notificao e Pontos de Contato
importante estabelecer contatos com vrias pessoas antes de um incidente real acontecer. Muitas
vezes, incidentes no so emergncias reais. Na realidade, com freqncia voc poder tratar as
atividades internamente. Porm, tambm haver muitas vezes quando outros fora de seu departamento
imediato precisaro ser includos no tratamento de incidentes. Estes contatos adicionais incluem os
gerentes locais e os administradores de sistemas, contatos administrativos para outros sites na Internet,
e vrias organizaes investigativas. Conhecendo estes contatos antes dos incidentes acontecerem
ajudar a fazer seu processo de tratamento de incidentes mais eficiente.
Para cada tipo de contato de comunicao, Pontos de Contato (POC) especficos deveriam ser definido.
Estes podem ser de natureza tcnica ou administrativa e podem incluir agncias legais ou investigativas
como tambm os provedores de servio e vendedores. Ao estabelecer estes contatos, importante
decidir quanta informao ser compartilhada com cada classe de contato. especialmente importante
definir, com antecedncia, que informao ser compartilhada com os usurios de um site, com o
pblico (inclusive a imprensa), e com outros sites.
Determinar estes assuntos especialmente importantes para a pessoa local responsvel por tratar o
incidente, j que essa pessoa responsvel pela notificao dos outros. Uma lista de contatos em cada
uma destas categorias representam uma economia de tempo importante para esta pessoa durante um
incidente. Pode ser bastante difcil achar uma pessoa apropriada durante um incidente quando muitos
eventos urgentes esto acontecendo. fortemente recomendado que os nmeros de telefone
pertinentes (tambm endereos de correio eletrnicos e nmeros de fax) sejam includos na poltica de
segurana do site. Os nomes e informaes de contato de todos os indivduos que estaro envolvidos
diretamente no tratamento de um incidente devem ser colocados no topo desta lista.
5.2.1 Gerentes locais e Pessoal
Quando um incidente est ocorrendo, uma questo importante decidir quem est encarregado de
coordenar a atividade dos diversos jogadores. Um dos maiores enganos que pode ser cometido ter
vrias pessoas cada qual trabalhando independentemente, mas no trabalhando junto. Isto s aumenta
a confuso do evento e provavelmente conduzir a esforo desperdiado ou ineficaz.
O nico POC pode ou no ser a pessoa responsvel por tratar o incidente. H dois papis distintos a
serem preenchidos quando se est decidindo quem ser POC e quem ser a pessoa encarregada do
incidente. A pessoa emcarregada do incidente tomar decises sobre a interpretao da poltica
aplicada ao evento. Em contraste, o POC deve coordenar os esforos de todas as partes envolvidas no
tratamento do evento.
O POC deve ser uma pessoa com percia tcnica para coordenar com sucesso os esforos dos gerentes
de sistemas e usurios envolvidos na monitorao e reao ao ataque. Cuidado deveria ser tomado ao
identificar quem ser esta pessoa. No deveria ser necessariamente a mesma pessoa que tem
responsabilidade administrativa pelos sistemas comprometidos uma vez que freqentemente tais
administradores tem conhecimento suficiente apenas para o uso dos computadores no dia-a-dia,
faltando-lhes conhecimento tcnico mais profundo.
Outra funo importante do POC manter contato com as autoridades legais competentes e outras
agncias externas para assegurar que o envolvimento multi-agncia. O nvel de envolvimento ser
determinado atravs de decises de administrao bem como por restries legais.
Um nico POC tambm deveria ser a nica pessoa encarregada de coletar evidncias, desde que como
regra geral, quanto mais pessoas tocam uma pea potencial de evidncia, o maior a possibilidade de
que esta seja inadmissvel no tribunal. Para assegurar que as evidncias sero aceitveis para a
comunidade legal, a coleta de evidncias deve ser feita seguindo-se procedimentos predefinedos, de
acordo com leis locais e regulamentos legais.
Um das tarefas mais crticas para o POC a coordenao de todos os processos pertinentes.
Responsabilidades podem ser distribudas sobre o site inteiro, envolvendo mltiplos departamentos ou
grupos independentes. Isto ir requerer um esforo bem coordenado para alcanar sucesso global. A
situao fica ainda mais complexa se mltiplos sites esto envolvidos. Quando isto acontece, raramente
um nico POC num site poder coordenar o tratamento do incidente inteiro adequadamente. Ao invs
disso, deveriam ser envolvidos grupos apropriados de resposta a incidentes.
O processo de tratamento de incidentes deveria prover alguns mecanismos de ampliao. Para definir
tal mecanismo, os sites precisaro criar um esquema de classificao interno para incidentes. Associado
a cada nvel de incidente estaro o POC e procedimentos apropriados. Conforme um incidente aumenta,
pode haver uma mudana do POC que precisar ser comunicada a todos os outros envolvidos no
tratamento do incidente. Quando uma mudana no POC acontece, o POC antigo deve fazer um resumo
para o POC novo sobre toda a informao background.
Finalmente, usurios tm que saber informar incidentes suspeitos. Os sites devem estabelecer
procedimentos de informe que iro funcionar durante e fora de horas de trabalho normais. "Help desks"
freqentemente so usadas para receber estes relatrios durante horas de trabalho normais, enquanto
beepers e telefones podem ser usados fora de hora.
5.2.2 Agncias de Investigao e de Execuo da Lei
No caso de um incidente que tem conseqncias legais, importante estabelecer contato com agncias
investigativas (por exemplo, o FBI e Servio Secreto nos E.U.A.) o mais cedo possvel. As autoridades
locais, escritrios de segurana locais, e departamento policial do campus tambm deveriam ser
informados conforme apropriado. Esta seo descreve muitos dos assuntos que sero confrontados,
mas reconhecido que cada organizao ter suas prprias leis e regulamentos locais e do governo
que tero impacto sobre como eles interagem com a execuo da lei e agncias investigativas. O ponto
mais importante que cada site precisa trabalhar estes assuntos.
Uma razo primria por determinar estes pontos de contato com antecedncia, antes de um incidente
que uma vez que um ataque maior est em progresso, h pouco tempo para chamar estas agncias
para determinar exatamente quem o ponto de contato correto. Outra razo que importante
cooperar com estas agncias de maneira a nutrir uma boa relao de trabalho, e a estar de acordo com
os procedimentos de trabalho destas agncias. Conhecer os procedimentos de funcionamento com
antecedncia, e as expectativas de seu ponto de contato um grande passo nesta direo. Por
exemplo, importante juntar evidncias que sero admissveis em qualquer procedimento legal
subseqente, e isto requer conhecimento anterior de como juntar tal evidncia. Uma razo final para
estabelecer contatos o mais cedo possvel que impossvel conhecer que agncia em particular
assumir a jurisdio em um dado incidente. Fazer contatos e achar os canais apropriados cedo faro a
resposta a um incidente transcorrer consideravelmente mais suavemente.
Se sua organizao ou site tem um conselho legal, voc precisa notificar esta entidade logo em seguida
que voc perceber que um incidente est ocorrendo. Nomnimo, seu conselho legal precisa estar
envolvido para proteger os interesses legais e financeiros de seu site ou organizao. Existem muitos
assuntos legais e prticos, alguns deles sendo:
(1) Se seu site ou organizao est disposta a arriscar publicidade ou exposio negativa para cooperar
com esforos de prossecuo legais.
(2) Obrigao "downstream"-se voc deixa um sistema comprometido como est para poder ser
monitorado e outro computador danificado porque o ataque se originou de seu sistema, seu site ou
organizao pode ser responsvel por danos incorridos.
(3) Distribuio de informao--se seu site ou organizao distribui informaes sobre um ataque no
qual outro site ou organizao pode ser envolvida ou a vulnerabilidade dm um produto isso pode afetar
a habilidade de comercializar aquele produto, seu site ou organizao pode ser novamente
responsabilizado por qualquer dano (incluindo dano de reputao).
(4) Obrigaes devido a monitorao--seu site ou organizao pode ser processada se usurios em seu
site ou em outro lugar descobrem que seu site est monitorando atividades das contas sem informar os
usurios.
Infelizmente, no h ainda nenhum precedente claro nas obrigaes ou responsabilidades de
organizaes envolvidas em um incidente de segurana ou quem poderia ser envolvido no apoio a um
esforo investigativo. Investigadores encorajaro freqentemente organizaes para ajudar a rastrear e
monitorar intrusos. Realmente, a maioria dos investigadores no pode procurar intruses de
computador sem apoio extenso das organizaes envolvidas. Porm, investigadores no podem prover
proteo contra reivindicaes de obrigao, e estes tipos de esforos podem se arrastar por meses e
tomar muito esforo.
Por outro lado, o conselho legal de uma organizao pode aconselhar precauo extrema e sugerir que
atividades de rastramento sejam detidas e um intruso mantido fora do sistema. Isto, em si mesmo,
pode no prover proteo de responsabilidades, e pode impedir os investigadores de identificar o
perpetrador.
O equilbrio entre apoiar atividade investigativa e limitar obrigao enganador. Voc precisar
considerar as sugestes de seu conselho legal e o dano que o intruso est causando (se algum) ao
tomar sua deciso sobre o que fazer durante qualquer incidente em particular.
Seu conselho legal tambm deveria ser envolvido em qualquer deciso para contactar agncias
investigativas quando um incidente acontece em seu site. A deciso para coordenar esforos com
agncias investigativas de seu site ou organizao. Envolver seu conselho legal tambm nutrir a
coordenao multi-nvel entre seu site e a agncia investigativa envolvida, o que resulta em uma
diviso eficiente de trabalho. Outro resultado que provvel que voc obtenha direcionamento que o
ajudar a evitar futuros enganos legais.
Finalmente, sua conselho legal deveria avaliar o procedimentos escritos de seu site para responder a
incidentes. essencial obter uma aprovao de uma perspectiva legal antes que voc de fato leve a
cabo estes procedimentos.
vital, quando lidando com agncias investigativas, verificar que a pessoa que chama pedindo
informao uma representante legtima da agncia em questo. Infelizmente, muitas pessoas bem
intencionadas tm vazado detalhes sensveis sobre incidentes sem perceber, permitido pessoas sem
autorizao nos sistemas, etc., porque um visitante disfarou-se como representante de uma agncia
governamental. (Nota: esta palavra de precauo na verdade se aplica a todos os contatos externos.)
Uma considerao semelhante envolve usar meios seguros de comunicao. Porque muitos atacantes
de rede podem desviar correio eletrnico facilmente, evite usar correio eletrnico para comunicar-se
com outras agncias (como bem com outros lidando com o incidente em questo). Linhas telefnicas
inseguras (os telefones normalmente usados no mundo empresarial) tambm so alvos freqentes para
escutas por intrusos de rede, logo tenha cuidado!
No h um conjunto estabelecido de regras para responder a um incidente quando o governo local
envolvido. Normalmente (nos E.U.A.), exceto atravs de ordem legal, nenhuma agncia pode o for-lo
a monitorar, desconectar da rede, evitar contato de telefone com os atacantes suspeitos, etc. Cada
organizao ter um conjunto de leis e regulamentos locais e nacionais aos quais devem ser aderidos
quando do tratamento de incidentes. recomendado que cada site esteja familiarizado com essas leis e
regulamentos, e identifique e conhea os contatos para agncias com jurisdio com antecedncia do
tratamento de um incidente.
5.2.3 Grupos de Tratamento de Incidentes de Segurana de Computadores
H atualmente vrios Grupos de Resposta a Incidentes de Segurana (CSIRTs) como o CERT
Coordination Center, o DFN-CERT alemo, e outros ao redor do globo. Esses grupos existem para muitas
agncias governamentais importantes e corporaes grandes. Se um desses grupos est disponvel,
notific-lo deveria ser de considerao primria durante as fases iniciais de um incidente. Estes times
so responsveis por coordenar incidentes de segurana de computador numa srie de de sites e
entidades maiores. At mesmo acreditando-se que o incidente est contido dentro de um nico site,
possvel que a informao disponvel por um grupo de resposta possa ajudar a solucionar o incidente
completamente.
Se determinado que a brecha aconteceu devido a uma falha no hardware do sistema ou software, o
vendedor (ou provedor) e um Grupos de Tratamento de Incidentes de Segurana de Computadores deve
ser notificado to logo possvel. Isto especialmente importante porque muitos outros sistemas so
vulnerveis, e este vendedor e gruopos de resposta podem ajudar a disseminar ajuda para outros locais
afetados.
Ao montar uma poltica de site para tratamento de incidente, pode ser desejvel criar um subgrupo,
semelhante aos que j existem, que ser responsvel por tratar de incidentes de segurana para o site
(ou organizao). Se tal grupo criado, essencial que linhas de comunicao sejam abertas entre este
gurpo e outros. Uma vez que um incidente ocorre, difcil abrir um dilogo confiante entres gurpos, se
no havia nenhum antes.
5.2.4 Sites Afetados e Envolvidos
Se um incidente tem um impacto em outros sites, informlos uma boa prtica. Pode ser bvio desde o
princpio que o incidente no limitado para o site local, ou isso pode s emergir depois de anlise
adicional.
Cada site pode escolher contatar outros sites diretamente ou passar a informao para um grupo de
resposta a incidentes apropriado. freqentemente difcil de achar o POC responsvel por sites
distantes e o grupo de resposta poder facilitar essecontato fazendo uso de j canais estabelecidos.
As questes legais e de obrigao que surgem de um incidente de segurana diferir de site para site.
importante definir uma poltica para o compartilhando e logging de informao sobre outros sites antes
que um incidente acontea.
Informao sobre pessoas especficas especialmente sensvel, e pode estar sujeito a leis de
privacidade. Para evitar problemas nesta rea, deveria ser apagada informao irrelevante e uma
declarao de como tratar a informao restante deveria ser includa. Uma declarao clara de como
esta informao ser usada essencial. Ningum que informa um aite sobre um incidente de segurana
quer ler sobre isto na imprensa pblica. Grupos de resposta a incidentes so valiosos neste sentido.
Quando eles passam informaes para POCs responsveis, eles podem proteger o anonimato da fonte
original. Mas, esteja atento que, em muitos casos, a anlise de logs e informaes em outros sites vai
revelar endereos de seu site .
Os problemas discutidos acima no deveriam ser considerados razes para no envolver outros sites.
De fato, as experincias de grupos existentes revelam que a maioria dos sites informados sobre
problemas de segurana nem mesmo haviam notado que seu site havia sido comprometido. Sem serem
informados a tempo, outros sites esto freqentemente impossibilitados entrar em ao contra intrusos.
5.2.5 Comunicaes internas
crucial durante um incidente grande, comunicar porque certas aes esto sendo tomadas, e como se
espera que os usurios (ou departamentos) se comportem. Em particular, deveria ser deixado muito
claro para os usurios o que lhes permitido dizer (e no dizer) para o mundo externo (incluindo outros
departamentos). Por exemplo, no seria bom para uma organizao se os usurios respondessem aos
clientes com algo como, " Eu lamento, os sistemas esto fora do ar, ns tivemos um intruso e ns
estamos tentand escalrecer as coisas". Seria muito melhor se ensinassem que eles respondessem com
uma declarao preparada como, " Lamento, nossos sistemas no esto disponveis, eles esto sendo
em manuteno para melhor servi-lo no futuro".
Comunicaes com os clientes e scios contratuais devem ser dirigidos de modo sennsato, mas
tambm sensvel. Uma pessoa pode se preparar para os assuntos principais preparando um cheklist.
Quando um incidente acontece, a lista pode ser usada com a adio de uma frase ou duas sobre as
circunstncias especficas do incidente.
Departamentos de relaes pblicos podem ser muito teis durante incidentes. Eles deveriam ser
envolvidos em todo o planejamento e podem prover respostas bem construdas para uso quando
contato de fora dos departamentos e organizaes so necessrios.
5.2.6 Relaes pblicas - "Press Releases"
Houve um tremendo crescimento na cobertura de mdia dedicada a incidentes de segurana de
computador nos Estados Unidos. Tal cobertura de imprensa est fadada a se estender a outros pases,
como a Internet continua crescendo e se expandindo internacionalmente. Leitores de pases onde tal
ateno da mdia ainda no aconteceu, podem aprender com as experincias dos E.U.A. e deveriam ser
avisados e preparado.
Um dos assuntos mais importantes a considerar quando, quem, e quanto liberar ao pblico em geral
pela imprensa. H muitos assuntos para considerar quando decidindo este ponto em particular. Primeiro
e antes de mais nada, se um escritrio de relaes pblicas existe para o site importante usar este
escritrio como ligao para a imprensa. O escritrio de relaes pblicas treinado no tipo e
formulao de informao a serem liberadas, e ajudar a assegurar que a imagem do site protegida
durante e depois do incidente (se possvel). Um escritrio de relaes pblicas tem a vantagem de que
voc pode se comunicar francamente com eles, e prov um pra-choque entre a ateno de imprensa
constante e a necessidade do POC para manter controle sobre o incidente.
Se um escritrio de relaes pblicas no est disponvel, a informao, lanado imprensa deve ser
considerada cuidadosamente. Se a informao sensvel, pode ser vantajoso s prover mnima
informao para a imprensa. bastante possvel que qualquer informao provida imprensa ser vista
depressa pelo perpetrador do incidente. Tambm note que enganar a imprensa pode sair pela culatra
freqentemente e pode causar mais dano que liberar informaes delicadas.
Enquanto difcil de determinar com antecedncia que nvel de detalhe prover imprensa, algumas
diretrizes para serem lembradas so:
(1) mantenha o nvel de detalhes tcnicos baixo. Informao detalhada sobre o incidente pode prover
bastante informao para outros lanarem ataques semelhantes em outros sites, ou at mesmo
danificar habilidade do sitel para processar a parte culpada uma vez que o evento terminou.
(2) Mantenha a especulao fora de declaraes de imprensa. Especulao sobre quem est causando o
incidente ou os motivos, est muito sujeita a erros e pode causar uma viso inflamada do incidente.
(3) Trabalhe com profissionais da lei para assegurar que a evidncia protegida. Se prossecuo for
envolvida, assegurar que a evidncia coletada no divulgada imprensa.
(4) Tente no ser forado a uma entrevista de imprensa antes de voc estar preparado. A imprensa
popular famosa pela "entrevista das 2 das manh", onde a esperana pegar o entrevistado
desprevenido e obter informao no disponvel em outras circunstncias.
(5) No permita que a ateno de imprensa diminua o tratamento do evento. Sempre se lembre que o
fechamento com sucesso de um incidente de importncia fundamental.
5.3 Identificando um Incidente
5.3.1 Real?
Esta fase envolve determinar se um problema realmente existe. Naturalmente muitos, se no a maioria,
dos sinais associados freqentemente com infeco de vrus, intruses de sistema, usurios maliciosos,
etc., simplesmente so anomalias tal como falhas de hardware ou comportamento de suspeito de
sistema/usurio. Para ajudar a identificar se realmente h um incidente, normalmente til obter e usar
qualquer software de deteco que possa estar disponvel. Informao de auditoria tambm
extremamente til, especialmente para determinar se h um ataque a rede. extremamente
importante obter um retrato instantneo do sistema assim que se suspeite que algo est errado. Muitos
incidentes levam uma cadeia dinmica de eventos a acontecer, e um retrato instantneo do sistema
inicial pode ser a mais valiosa ferramenta para identificar o problema e qualquer fonte de ataque.
Finalmente, importante comear um livro de log. Gravar eventos de sistemas , conversas de telefone,
timestamps, etc., pode conduzir a uma identificao mais rpida e sistemtica do problema, e a base
para fases subseqentes de tratamento de incidente.
H certas indicaes ou " sintomas " de um incidente que merecem ateno especial:
(1) Crashes de sistemas.
(2) Novas contas de usurio (a conta RUMPLESTILTSKIN foi criada inesperadamente), ou atividade alta
em uma conta previamente pouco usada.
(3) arquivos novos (normalmente com nomes de arquivo estranhos, como data.xx ou k ou .xx).
(4) discrepncias de contabilidade (em um sistema de UNIX pode voc notar a diminuio de um
arquivo de contabilidade chamado /usr/admin/lastlog, algo que o deveria muito desconfiado de que
pode haver um intruso).
(5) mudanas em tamanho ou data de arquivo (um usurio deveria desconfiar se .arquivos EXE em um
computador MS-DOS tenha inexplicavelmente aumentado mais de 1800 bytes).
(6) Tentativas de escrever em system (um gerente de sistema nota que um usurio privilegiado em um
sistema de VMS est tentando alterar RIGHTSLIST.DAT).
(7) modificao de dados ou apagamento (arquivos comeam a desaparecer).
(8) negao de servio (gerente de sistema e todos os outros usurios so impedidos de entrar num
sistema de UNIX, agora em modo de usurio nico).
(9) desempenho de sistema inexplicavelmente, baixo
(10) anomalias (GOTCHA " exibido no monitor ou h freqentes e inexplicveis "beeps ").
(11) sondas suspeitas (h numerosas tantativas de login sem sucesso de outro nodo).
(12) Browsing suspeito (algum se torna um usurio root em um sistema UNIX e acessa arquivos
arquivo aps arquivo em contas de muitos usurio.)
(13) inabilidade de um usurio para se logar devido a modificaes em sua conta.
De forma alguma esta lista completa; ns listamos apenas um certo nmero de indicadores comuns.
melhor colaborar com outro pessoal tcnico e de segurana de computador para tomar uma deciso
como um grupo sobre se um incidente est acontecendo.
5.3.2 Tipos e Escopo de Incidentes
Junto com a identificao do incidente, est a avaliao do mbito e impacto do problema. importante
identificar os limites do incidente corretamente para lidar efetivamente com ele e priorizar respostas.
Para identificar o escopo e impacto um conjunto de critrios deveria ser definido, o qual apropriado
para o site e para o tipo de conexes disponveis. Alguns dos pontos incluem:
(1) este um incidente multi-site?
(2) muitos computadores em seu site oram afetados por este incidente?
til passar este tipo de informao para um grupo de tratamento de incidentes pois eles podem lhe
ajudar com sugestes teis para erradicar as vulnerabilidades envolvidas em um incidente. Por outro
lado, pondo o conhecimento crtico no domnio pblico (por exemplo, por newsgroups de USENET ou
remetendo para listas) pode pr um nmero grande de sistemas potencialmente a risco de intruso.
nulo assumir que todos os administradores que lem um newsgroup particular tm acesso ao cdigo
fonte do sistema operacional, ou podem entender o bastante para fazer os passos adequados.
Em primeiro lugar, qualquer notificao para local ou pessoal de fora do site deve ser explcito. Isto
requer que qualquer declarao (seja isto uma mensagem de correio eletrnico, telefonema, fac-smile,
beeper, ou semaphone) provendo informao sobre o incidente seja clara, concisa, e completamente
qualificada. Quando voc est notificando outros que o ajudaro a tratar um evento, uma "tela de
fumaa" s dividir o esforo e criar confuso. Se uma diviso de trabalho sugerida, til prover
informaes para cada participante sobre o que est sendo realizado em outros esforos. Isto no s
reduzir duplicao de esforos, mas permite que as pessoas que trabalham em partes do problema
possam saber onde obter informaes pertinentes a parte deles no incidente.
Outra considerao importante quando comunicar sobre o incidente ser efetivo. Tentar esconder
aspectos do incidente provendo falsa ou incompleta informao no s podem evitar uma soluo com
sucesso para o incidente, mas pode at mesmo piorar a situao.
A escolha do idioma usado quando notificar as pessoas sobre o incidente pode ter um efeito profundo
no modo que informao recebida. Quando voc usa termos emocionais ou inflamatrios, voc eleva
o potencial para dano e resultados negativos do incidente. importante permanecer tranqilo ambos as
comunicaes escrita e falada.
Outra considerao que nem todas as pessoas falam o mesmo idioma.
Devido a este fato, podem surgir enganos e demora, especialmente se um incidente multi-nacional.
Em outras preocupaes internacionais inclua a diferena nas implicaes legais de um incidente de
segurana e diferenas culturais. Porm, diferenas culturais no s existem entre pases. Elas
igualmente existem dentro de pases, entre diferente grupos sociais ou de usurios. Por exemplo,
administrador de um sistema universitrio muito relaxado sobre tentativas para conectar o sistema
por telnet, mas provvel que o administrador de um sistema militar considere a mesma ao como
um possvel ataque.
Outro assunto associado com a escolha de idioma a notificao de pessoas no tcnicas ou de fora do
site. importante descrever o incidente com preciso sem gerar alarme imprprio ou confuso.
Enquanto mais difcil de descrever o incidente a uma conjunto de pessoas no-tcnicas,
freqentemente mais importante. Uma descrio no-tcnica pode ser requerida pela administrao de
nveis superiores, a imprensa, ou instituies responveis pela execuo de lei. A importncia destas
comunicaes no pode ser menosprezada e pode fazer a diferena entre a soluo do incidente
corretamente ou eleva-lo a algum nvel mais alto de dano.
Se um grupo de resposta a incidentes envolvido, poderia ser necessrio preencher um modelo para a
troca de informao. Embora isto possa parecer ser um fardo adicional e possa somar uma certa
demora, isto, ajuda o grupo para agir neste mnimo conjunto de informao. O grupo de resposta
poder responder a aspectos do incidente do qual o administrador local desavisado. Se a informao
dada para uma pessoa de fora ento, esta pessoa deveria ter um mnimo de informao contando o
seguinte:
1. timezone de logs,... em GMT ou hora local
2. informao sobre o sistema remoto, inclusive nomes de host, endereos IP e (talvez) IDs de
usurios
3. todas as entradas de log relevantes para o local distante
4. tipo de incidente (o que aconteceu, por que se voc deveria se preocupar)
Se informaes locais (i.e., IDs de usurios locais) so includas nas entradas de logs, ser
anteriormente necessrio a **sanitize** as entradas para evitar assuntos de isolamento. Em geral, toda
a informao que poderia ajudar um local distante solucionando um incidente deveria ser distribudas, a
menos que polticas locais proibem isto.
5.4.2 Protegendo as Evidncias e Logs de Atividade
Quando voc responde a um incidente, documente todos os detalhes relacionados ao incidente. Isto
prover valiosa informao para voc e outros como voc tentando desvendar o curso dos eventos.
Documentando todos os detalhes economizaro em ltima instncia, seu tempo. Se voc no
documenta todos os telefonemas importantes, por exemplo, provvel que voc esquea uma poro
significante de informao voc obtm o que requer que voce contacte a fonte de informao
novamente. Ao mesmo tempo, detalhes armazenados provero evidncias para esforos de
prossecuo e provero os movimentos naquela direo. A documentao de um incidente tambm lhe
ajudaro a executar uma taxa final de dano (algum da administrao, como tambm instities de
execuo de lei, podero querer saber), e prover a base para mais recentes fases do processo de
tratamento de incidentes:
erradicao, recuperao, e seqncia, "lies aprendidas".
Durante as fases iniciais de um incidente, freqentemente imprevisvel determinar se a prossecuo
vivel, assim voc deveria documentar como se voc pois est juntando evidncias para um caso de
tribunal. Um mnimo, voc dever registrar:
todos os eventos de sistemas (registros de auditoria)
todas as aes que voc fez (tempo usado)
todas as conversaes externas (inclusive a pessoa com quem voc falou, a data e tempo, e o
contedo da conversao)
O modo mais direto para manter documentao mantendo um livro de log. Isto lhe permite ter uma
centralizada e cronolgica fonte de informao quando voc precisar disto, em vez do requerer, chame
por folhas individuais de papel. Muitas destas informaes so evidncias potenciais em um tribunal de
lei. Assim, quando um procedimento legal uma possibilidade, a pessoa deveria seguir os
procedimentos preparados e evitar por em perigo o procedimento legal por manipulao imprpria de
possvel evidncia. Se apropriado, os passos seguintes podem ser levados.
1. regularmente (por exemplo, diariamente) fazer cpias assinadas de seu logbook (como tambm
mdias que voc usa para registrar eventos de sistemas) para um adminitrador de documentos.
2. adminitrador deveria armazenar estas pginas copiadas em um seguro lugar (por exemplo, uma
caixa forte).
3. quando voc submete informao para armazenamento, voc deve receba um recibo datado e
assinado pelo administrador do documento.
Fracasso para observar estes procedimentos pode resultar em invalidao de qualquer evidncia que
voc obtm em um tribunal de lei.
5.4.3 Reteno
O propsito de reteno limitar a extenso de um ataque. Uma parte essencial de reteno deciso
do que fazer (por exemplo, determinando desligar um sistema, desconectar da rede, monitorar
sistemas ou atividades de rede, set traps, incapacitar funes como transferncia de arquivo remotoss,
etc.).
s vezes esta deciso trivial; desligar o sistema se a informao secreta, importante, ou
proprietria. Tenha em mente que isso remove todo o acesso enquanto um incidente est em
prograsso, obviamente notifique todos os usurios, inclusive os usurios que alegaram problemas, que
os administradores esto atentos ao problema; isto pode ter um efeito danoso uma investigao. Em
alguns casos, prudente remover todo o acesso ou funcionalidade o mais cedo possvel, ento
restabelea operao normal em fases limitadas. Em outros casos, vale a pena arriscar algum dano
para o sistema, se manter o sistema poderiam habilitar voc identificar o intruso.
Esta fase deveria se desenvolver levando a cabo procedimentos predeterminados.
Sua organizao ou site devem, por exemplo, definir riscos aceitvel lidando com um incidente, e
deveria prescrever aes especficas e estratgias adequadas. Isto especialmente importante quando
uma deciso rpida necessria e no possvel contactar todas as partes envolvidas primeiro para
discutir a deciso. Na ausncia de procedimentos predefinidos, a pessoa no cargo do incidente no ter
freqentemente o poder para tomar decises de administrao difceis (como perder os resultados de
uma experincia cara desligando um sistema). Uma atividade final que deveria acontecer durante esta
fase de tratamento do incidente a notificao de autoridades apropriadas.
5.4.4 Erradicao
Uma vez que o incidente foi contido, tempo para erradicar a causa. Mas antes de erradicar a causa,
deveria ser tomado grande cuidado colecionar todas as informaes necessrias sobre os sistemas
comprometidos e a causa do incidente como elas sero provavelmente sero perdidas quando o
sistema for limpo.
Softwares podem estar disponveis para ajudar no processo de erradicao, como software de anti-vrus.
Se qualquer falso arquivos foram criados, devem ser apagados. No caso de infeces de vrus,
importante limpar e reformatar qualquer mdia que contm arquivos infetados. Finalmente, assegura
que todos os backups esto limpos. Muitos sistemas infetados com vrus ficam periodicamente rinfetados simplesmente porque as pessoas no erradicam o vrus do backup. Depois de erradicao,
deveria ser feito um novo backup.
Removendo todas as vulnerabilidades uma vez um incidente aconteceu difcil. A chave para remover
vulnerabilidades conhecimento e entendimento da brecha.
Pode ser necessrio voltar para as mdia de distribuio originais e r-customizar o sistema. Para
facilitar esta situao de pior caso, um registro do setup do sistema original e de cada mudana de
customizao deveria ser mantido. No caso de um ataque baseado na rede, importante instalar
remendos para cada vulnerabilidade de sistema operacional que foi explorado.
Como discutido na seo 5.4.2, um log de segurana pode ser muito valioso durante esta fase de
remover vulnerabilidade. Os logs que mostram como o incidente foi descoberto e foi contido pode ser
usado para ajudar depois a determinar qual a extenso do dano de um determinado incidente. O passos
podem ser usados no futuro para ter certeza que o problema no ir ocorrer. Idealmente, a pessoa
deveria automatizar e regularmente deveria aplicar o mesmo teste como foi usado para descobrir o
incidente de segurana.
Se uma vulnerabilidade particular isolada como explorada, o prximo passo achar um mecanismo
para proteger seu sistema. A segurana que remete listas e boletins seria um lugar bom para procurar
esta informao, e voc pode obter conselhos dos grupos de resposta a incidentes.
5.4.5 Recuperao
Uma vez que a causa de um incidente foi erradicada, a fase de recuperao define a prxima fase de
ao. A meta de recuperao retornar o sistema ao normal. Em geral, expondo servios na ordem de
demanda e com um mnimo de inconvenincia aos usurio a melhor prtica. Entenda que os
procedimentos de recuperao formais para o sistema extremamente importante e deveria ser
especfico para o site.
5.4.6 Acompanhamento
Uma vez que voc acredita que o sistema foi restabelecido a um " estado seguro ", ainda possvel que
buracos, e at mesmo armadilhas, podem estar espreitando o sistema. Uma das fases mais importantes
de respostas a incidentes tambm freqentemente omitida, a fase de acompanhamento. Na fase de
acompanhamento, o sistema deveria ser monitorado para itens que podem ter sido perdidos durante a
fase de limpeza. Seria prudente utilizar algumas das ferramentas mencionados captulo 7 como um
comeo.
Lembre-se, estas ferramentas no substituem uma monitorao continuada do sistema e boas prticas
de administrao de sistemas.
O elemento mais importante da fase de seguimento executar uma anlise de pos morte. Exatamente
o que aconteceu, em que momento? Como foi o desempenho do pessoal envolvido com o incidente?
Que tipo de informao foi necessria rapidamente para o pessoal, e como eles obtiveram aquela
informao o mais cedo possvel? O que faria o pessoal diferentemente da prxima vez?
Aps um incidente, prudente escrever um relatrio que descreve a sucesso exata de eventos: o
mtodo de descoberta, procedimento de correo, procedimento de monitorao, e um resumo da lio
aprendida.
Isto ajudar na compreenso clara do problema. Criando uma cronologia formal de eventos (inclusive
time stamps) tambm importante por razes legais.
Um relatrio de seguimento valioso por muitas razes. Prov uma referncias a serem usadas no caso
de outros incidentes semelhantes. Tambm importante para que, to depressa quanto possvel
obtenha-se uma estimativa da quantia monetria dos danos que o incidente causou. Esta estimativa
deve incluir custos associados com qualquer perda de software e arquivos(especialmente o valor de
dados proprietrio que podem ter sido descoberto), dano de hardware, e fora de trabalho usada para
restabelecer arquivos alterados, reconfigure sistemas afetados, e assim sucessivamente. Esta
estimativa pode se tornar a base para atividade de prossecuo subseqente. O relatrio tambm pode
ajudar justifique o esforo de segurana dos computadores de uma organizao para administrao.
5.5 Resultado de um Incidente
Aps um incidente, deveriam acontecer vrias aes. Estas aes podem ser resumidas nas seguintes:
1. um inventrio deveria ser feito dos recursos dos sistemas,(i.e., um exame cuidadoso deveria
determinar como o sistema foi afetado pelo incidente).
2. as lies aprendidas como resultado do incidente deveria ser includo em plano de segurana
revisado para impedir o incidente de r-acontecer.
3. uma anlise de risco nova deveria ser desenvolvida levando em conta o incidente.
4. uma investigao e prossecuo dos indivduos que causaram o incidente deveria comear, se
julgado desejvel.
Se um incidente est baseado em poltica pobre, e a menos que a poltica seja mudada, voc ento
sentenciado repetir o passado. Uma vez que um site se recuperou de um incidente deveriam ser
revisadas a poltica do site e os procedimentos para cercar mudanas para prevenir incidentes
semelhantes. At mesmo sem um incidente, seria prudente revisar polticas e procedimentos com uma
base regular. Revises so imperativas devido aos ambientes de computao variveis de hoje.
O propsito inteiro deste processo de pos morte melhorar tuda a segurana para proteger o site
contra ataques futuros. Como resultado de um incidente, um site ou organizao ganhar conhecimento
prtico da experincia. Uma meta concreta do pos morte desenvolver novos mtodos de proactive.
Outra faceta importante do resultado pode ser a educao do usurio final e administrador para
prevenir a nova ocorrncia do problema de segurana.
5.6 Responsabilidades
5.6.1 No cruzando a Linha
uma coisa para proteger a sua prpria rede, mas outra assumir que deveria proteger outras redes.
Durante o tratamento de um incidente, certas vulnerabilidades dos prprios sistemas e os sistemas de
outros ficam aparentes. bastante fcil e pode ser tentado a procurar os intrusos para localiza-los.
Persista em mente que isso em um certo ponto possvel cruzar a linha e, com a melhor das intenes,
no se torne melhor que o intruso.
A melhor regra quando vem a decoro no usar facilidades de locais distantes que no so pblicos.
Isto exclui qualquer entrada claramente sobre um sistema (como uma concha distante ou sesso de
login) que no permitido expressamente. Isto pode ser muito tentador depois de uma brecha de
segurana descoberta, um administrador de sistema pode ter os meios para fazer isto, averiguar que
danos pode estr danificando o site remoto. No fa
6. Atividades em andamento
Neste momento, seu site esperanosamente desenvolveu uma poltica completa de
segurana bem como os procedimentos para assistir na configurao e
gerenciamento da sua tecnologia no suporte destas polticas. Como seria bom se
voc pudesse sentar e relaxar neste momento j que voc concluiu com o trabalho
de segurana. Infelizmente isto no possvel. Os seus sistemas e redes no so
um ambiente esttico, ento voc ter que rever suas polticas e procedimentos nos
seus fundamentos. H um nmero de passos que voc pode seguir para ajuda-lo a
manter as mudanas sob controle de forma a poder tomar as aes
correspondentes. A seguir apresentado um conjunto inicial de passos ao qual voc
pode adicionar outros de forma a ajust-lo ao seu site.
(1) Assine as publicaes que so editadas por vrios times de resposta a
incidentes de segurana, como os Centros de Coordenao CERT, e atualize os
seus sistemas contra as ameaas que se aplicam tecnologia do seu site.
(2) Mantenha-se atualizado sobre os patches produzidos pelos vendedores do
seu equipamento e obtenha e instale os que se aplicam ao seu sistema.
(3) Mantenha sob vigilncia as configuraes do seu sistema para identificar
qualquer mudana que possa ter ocorrido e investigar anomalias.
(4) Revise todas as polticas de segurana e procedimentos anualmente (no
mnimo).
(5) Leia os mailing lists relevantes e USENET newsgroups para manter-se
atualizado das ltimas informaes compartilhadas pelos colegas de classe.
(6) Verifique regularmente por polticas e procedimentos complacentes. Esta
auditoria deve ser feita preferencialmente por algum que no tenha
participado da definio ou implementao destas polticas ou procedimentos.
TCP WRAPPERS
In The Public Domain - October 1994
tiger
FTP Index
Tripwire*
Tripwire Slide
FTP Index
TROJAN.PL
FTP Index
RFC 2196
Site Security HandBook
1. Introduo
2. Polticas de Segurana
3. Arquitetura:
Parte 1 - Plano de segurana
Parte 2 - Proteo de servios
4. Servios de Segurana e Procedimentos:
4.1 Servios e procedimentos seguros
4.1 Autenticao
4.2 Confiana
4.3 Integridade
4.4 Autorizao
4.5 Acesso
4.6 Auditoria
4.7 Protegendo Backups
5. Tratamento de Incidentes de Segurana
6. Atividades em Andamento
7. Ferramentas e Endereos
8. Mailing list