Grupos de Trabalho - Documento GTS

Expectativas quanto a Grupos de Resposta a Incidente de Segurança em Computador

Comitê Gestor da Internet/Brasil
Grupo de Trabalho em Seguranca de Redes (GTS)
Janeiro 1999

Status deste Documento

Este documento fornece informações para a comunidade Internet do Brasil, e solicita discussão e sugestões para melhorias. Este documento não especifica padrões Internet de qualquer tipo. A distribuição deste documento é ilimitada.

Resumo

O objetivo deste documento é expressar as expectativas da Comunidade Internet em geral quanto aos Grupos de Resposta a Incidente de Segurança em Computador (CSIRTs - Computer Security Incident Response Teams). Não é possivel definir um conjunto de requisitos que seriam mais apropriados a todos os grupos, mas é possível e de grande ajuda listar e descrever o conjunto geral dos tópicos e assuntos que são de interesse e concernentes s comunidades constituintes. Os constituintes de um CSIRT têm uma legítima necessidade e direito de entender completamente a política e o procedimento do grupo a que estão vinculados. Uma maneira de promover essa compreensão é fornecer informação detalhada, que ser submetida à apreciação dos usuários, na forma de um formulário elaborado pelo grupo. Um esboço de formulário e um exemplo preenchido são fornecidos adiante.

1.Introdução
2. Escopo
          2.1 Publicação da Política e dos Procedimentos do CSIRT
          2.2 Relacionamentos entre os diferentes CSIRTs
          2.3. Estabelecimento de comunicações seguras
3. Informação, Política e Procedimentos
          3.1. Obtenção do documento
          3.2. Informação sobre contato
          3.3. Estatuto
                    3.3.1. Estabelecimento de metas
                    3.3.2. Constituição
                    3.3.3. Organização Patrocinadora/Afiliação
                    3.3.4. Autoridade
          3.4. Política
                    3.4.1. Tipos de Incidentes e Níveis de Suporte
                    3.4.2. Cooperação, Interação e Divulgação de Informação
                    3.4.3. Comunicação e Autenticação
          3.5. Serviços
                    3.5.1. Resposta a Incidente
                              3.5.1.1. Triagem de Incidente
                              3.5.1.2. Coordenação de Incidente
                              3.5.1.3. Resolução de Incidente
                    3.5.2. Atividades de Prevenção
          3.6. Formulários de Relato de Incidente
          3.7. Avisos
4. Agradecimentos
5. Considerações a respeito de Segurança
6. Referências
7. Endereços do autores
8. Indicação completa do Copyright

Apêndice A: Glossário
Apêndice B: Material Correlato
Apêndice C: CSIRTs Conhecidos
Apêndice D: Modelo para formulário do CSIRT
Apêndice E: Exemplo - Formulário preenchido

1. Introdução

O grupo de trabalho GRIP foi formado para criar um documento que descrevesse as expectativas da comunidade em relação aos Grupos de Resposta a Incidente de Segurança em Computador.

Embora a necessidade de tal documento tenha se originado na comunidade Internet em geral, as expectativas expressas corresponderiam também àquelas de comunidades mais restritas. No passado houve mal entendidos quanto ao que esperar dos CSIRTs. O objetivo deste documento é prover uma estrutura apresentando assuntos importantes (relacionados a resposta a incidente) concernentes à comunidade.

Antes de continuar, é importante compreender claramente o significado do termo "Grupo de Resposta a Incidente de Segurança em Computador" - CSIRT. Para o que se propõe este documento, um CSIRT é um grupo que executa, coordena e dá suporte, respondendo a incidentes de segurança que envolvam sites e equipamentos de usuários, entidades e empresas comerciais ou não que este represente. Qualquer grupo que se denomine CSIRT perante uma comunidade específica deve, daí em diante, atender aos relatos de incidentes de segurança e a ameaças à "sua" comunidade nos moldes em que esta comunidade específica concordar que seja do seu interesse geral.

Como é de vital importância que cada membro de uma comunidade esteja apto a compreender o que razoavelmente pode esperar do seu grupo, um CSIRT deve deixar claro quem pertence à sua comunidade e definir os serviços que oferece comunidade. Além disso, cada CSIRT deve publicar a sua política e procedimentos operacionais. Em contrapartida, esses mesmos constituintes precisam saber o que é esperado deles para que recebam os serviços do seu grupo. Isso exige que o grupo publique também como e onde relatar incidentes.

Este documento detalha um formulário que será usado pelos CSIRTs para comunicar essa informação aos seus constituintes. Estes certamente esperarão que o CSIRT execute os serviços descritos nos formulários.

Deve-se enfatizar que sem a participação ativa dos usuários, a eficácia dos serviços dos CSIRTs pode diminuir significativamente. Este é particularmente o caso dos relatos. No mínimo, os usuários precisam saber que eles devem relatar incidentes de segurança, saber como e onde relatá-los.

Muitos incidentes de segurança em computadores originam-se fora dos limites da comunidade local e afetam os sites internos, outros originam-se dentro da comunidade local e afetam equipamentos ou usuários de fora. Freqüentemente, no entanto, o trabalho com incidentes de segurança envolve vários sites e potencialmente vários CSIRTs. Resolver esses incidentes exigirá cooperação entre sites individuais e CSIRTs e entre diferentes CSIRTs.

Comunidades constituintes precisam saber exatamente como o seu CSIRT trabalhará com outros CSIRTs e organizações fora da sua comunidade e que informações serão compartilhadas.

O resto deste documento descreve o conjunto de tópicos e assuntos que os CSIRTs precisam elaborar para os seus constituintes. No entanto, não há nenhuma tentativa de especificar a resposta "correta" a cada tópico. Ao contrário, cada tópico é discutido nos termos do seu significado.

O capítulo dois nos traz uma visão mais ampla de três áreas importantes: a publicação da informação por um grupo de resposta, a definição do relacionamento entre um grupo de resposta e outros grupos de resposta e a necessidade de comunicação segura.

O capítulo três descreve em detalhes todos os tipos de informação que a comunidade precisa saber sobre o seu grupo de resposta. Para facilitar o uso por parte da comunidade, esses tópicos estão condensados num esboço de formulário encontrado no Apêndice D. Esse formulário pode ser usado pela comunidade como exemplo.

O Grupo de Trabalho espera sinceramente que através da elucidação dos tópicos neste documento, a compreensão entre a comunidade e os respectivos CSIRTs aumente.

2. Escopo

As interações entre um Grupo de Resposta a Incidente e sua comunidade constituinte requer primeiro que a comunidade compreenda a política e os procedimentos do seu Grupo de Resposta. Em segundo lugar, como muitos grupos colaboram com outros, a comunidade deve também entender o relacionamento entre o seu Grupo de Resposta com os outros Grupos de Resposta. Finalmente, muitas interações se darão com as infra-estruturas públicas existentes, de maneira que a comunidade precisa saber como essas comunicações serão protegidas. Cada um desses assuntos será descrito em detalhes nas próximas três seções.

2.1. Publicação da Política e dos Procedimentos dos CSIRTs

Cada usuário que tiver acesso a um Grupo de Resposta a Incidente de Segurança em Computador deve saber tanto quanto possível sobre os serviços e as interações com esse grupo muito antes que venha a precisar dele.

Um claro estabelecimento da política e dos procedimentos do CSIRT ajuda os constituintes a compreender a melhor maneira de relatar um incidente e que tipo de suporte esperar depois. O CSIRT ajudará a resolver o incidente? Ele ajudará a evitar incidentes no futuro?

Tornar claras as expectativas, particularmente quanto às limitações dos serviços prestados por um CSIRT, tornará a interação com ele mais eficiente e efetiva.

Há vários tipos de grupos de resposta: alguns têm constituições bastante abrangentes (p.ex., CERT Coordination Center and the Internet), outros são de constituições mais limitadas ( p.ex., DFN-CERT, CIAC), e outros ainda têm constituições muito restritas (e.g., grupos de resposta comerciais, grupos de resposta corporativos). Independentemente do tipo de grupo de resposta, a comunidade a que ele dá suporte deve ter conhecimento da política do grupo e dos seus procedimentos. Por isso, é imperativo que os grupos de resposta publiquem esse tipo de informação para sua comunidade.

Um CSIRT deve comunicar toda a informação necessária a respeito de sua política e serviços num formulário correspondente às necessidades da sua comunidade. É importante entender que nem todas as políticas e procedimentos precisam estar publicamente disponíveis. Por exemplo, não é necessário entender a operação interna de um grupo para interagir com ele, como quando um usuário reporta um incidente ou recebe orientação ou como o grupo analisa ou assegura os sistemas de alguém.

No passado, alguns grupos forneciam uma espécie de Estrutura Operacional, outros forneciam uma Lista de Perguntas mais Freqüentes (FAQ ), enquanto outros escreviam textos técnicos para distribuição em encontros de usuários ou os enviavam para publicações especializadas.

Recomenda-se que cada CSIRT publique suas diretrizes e procedimentos no seu próprio servidor de informações (p.ex., servidor da World Wide Web). Isto permitirá que os constituintes possam facilmente acessá-los, embora permaneça o problema de como um constituinte poderá encontrar o seu grupo; as pessoas dentro de uma comunidade terão que descobrir que existe um CSIRT "à sua disposição".

É de se supor que os formulários dos CSIRTs tornem-se em breve acessíveis através de mecanismos de busca, que ajudarão na divulgação sobre a sua existência e das informações básicas necessárias para se chegar até eles.

Seria bastante útil ter um repositório central contendo todos os formulários. Tal repositório não existe no momento, embora isso possa mudar no futuro.

Independentemente da fonte onde a informação foi obtida, o usuário do formulário deve checar sua autenticidade. É extremamente recomendável que documentos de tamanha importância estejam protegidos por assinaturas digitais. Isso permitirá ao usuário verificar que o formulário foi realmente publicado pelo CSIRT e não foi alterado. Presume-se que o leitor esteja familiarizado com o uso adequado de assinaturas digitais como forma de determinar se um documento é autêntico.

2.2. Relacionamento entre diferentes CSIRTs

Em alguns casos um CSIRT terá condições de efetivamente operar sozinho e em estreita cooperação com seus constituintes, mas com a atual internacionalização das redes torna-se mais provável que a maioria dos incidentes de que um CSIRT esteja tratando envolvam partes externas à sua comunidade. Por essa razão, um grupo precisará interagir com outros CSRITs e sites fora externos.

A comunidade deve entender a natureza e extensão dessa colaboração,como informações sensíveis sobre uma determinada instalação podem ser divulgadas nesse processo.

Interação entre CSIRTs podem incluir questionamento a outro grupo, para advertir, disseminar conhecimento de problemas, e trabalho cooperativo para resolver incidentes de segurança que afetem um ou mais usuários dos CSIRTs.

No estabelecimento desse relacionamento onde existirá uma interação, os CSIRTs devem decidir que tipos de acordo podem existir entre eles, sobre como compartilhar informações sigilosas , se esse relacionamento pode ser divulgado, e em caso afirmativo, para quem.

Observe que há uma diferença entre um acordo de parceria, em que os CSIRTs envolvidos concordam em trabalhar juntos e compartilhar informações e uma simples cooperação, em que um CSIRT (ou qualquer outra organização) simplesmente entra em contato com outro CSIRT epede ajuda ou orientação.

Embora o estabelecimento de tais relacionamentos seja muito importante e afete a capacidade de um CSIRT dar suporte aos seus constituintes, cabe aos grupos envolvidos decidir sobre os detalhes. Está além do escopo deste documento fazer recomendações sobre esse processo.

De qualquer forma, o mesmo conjunto de informações disponibilizado aos usuários tratando da divulgação de informações ajudará outras partes a compreender os objetivos e serviços de um CSIRT específico, facilitando um primeiro contato.

2.3. Estabelecimento de comunicações seguras

Uma vez que uma parte tenha decidido trocar informação com outra parte, ou duas partes tenham concordado em trocar informação ou trabalhar em conjunto - como exigido para a coordenação de resposta a incidente de segurança em computador - todas as partes envolvidas precisam de canais de comunicação seguros. (Neste contexto "seguro" refere-se a transmissão de comunicação protegida compartilhada entre as várias partes, e não ao uso apropriado da informação pelas partes).

Os objetivos de comunicação segura são:

- Sigilo Alguém mais pode ter acesso ao conteúdo da comunicação?
- Integridade Alguém mais pode manipular o conteúdo da comunicação?
- Autenticidade Estou me comunicando com a pessoa "certa"?

É muito fácil enviar e-mails falsos e não é difícil criar uma (falsa) identidade por telefone. Técnicas criptográficas, por exemplo Pretty Good Privacy (PGP) ou Privacy Enhanced Mail (PEM) podem eficazmente prover meios de proteger e-mail. Com o equipamento correto também é possível proteger comunicação telefônica. Mas antes de usar tais mecanismos, ambas as partes precisam da infra-estrutura "certa", ao que se chamaria de preparação prévia. A preparação mais importante é assegurar a autenticidade das chaves criptográficas usadas na comunicação segura:

- Chaves públicas (para técnicas como PGP e PEM): Como são acessíveis através da Internet, as chaves públicas devem ser autenticadas antes de usadas. Enquanto PGP se baseia numa "Rede de Confiança" (onde usuários assinam as chaves de outros usuários), PEM se baseia numa hierarquia (onde autoridades de certificação assinam as chaves dos usuários).

- Chaves secretas (para técnicas como DES e PGP/conventional encrytion): Como devem ser conhecidas tanto pelo emissor quanto pelo receptor, as chaves secretas devem ser trocadas antes da comunicação através de um canal seguro.

A comunicação é crítica em todos os aspectos de resposta a incidentes um grupo pode fazer melhor uso das técnicas acima mencionadas recolhendo toda informação relevante, de maneira consistente. Requerimentos específicos (como discar um número específico para checar a autenticidade das chaves) devem estar claros desde o começo. Os formulários dos CSIRTs fornecem um meio padronizado para transportar esta informação. Está além do escopo deste documento endereçar os problemas técnicos e administrativos de comunicação segura. A questão é que grupos de resposta devem dar suporte e utilizar um método para assegurar a comunicação entre eles e seus constituintes (ou outros grupos de resposta). Qualquer que seja o mecanismo, o nível de proteção que ele oferecer deve ser aceitável à comunidade constituinte.

3. Informação, Política e Procedimentos

No capítulo 2 foi mencionado que a política e os procedimentos de um grupo de resposta precisam ser publicados para a comunidade constituinte. Neste capítulo listaremos todos os tipos de informação que a comunidade precisa receber do seu grupo de resposta. Como esta informação é comunicada varia de grupo para grupo, da mesma forma que varia também o conteúdo da informação. A intenção aqui é descrever claramente os diversos tipos de informação que uma comunidade constituinte espera do seu grupo de resposta.

Para facilitar a compreensão dos assuntos e tópicos relevantes à interação dos constituintes com o seu CSIRT, sugerimos que o grupo publique toda a informação, política e procedimentos endereçando-os aos seus constituintes como um documento, seguindo o formulário fornecido no Apêndice D. O formulário organiza itens, facilitando o acréscimo de informação específica; no Apêndice E fornecemos um exemplo de formulário preenchido para uma universidade XYZ fictícia.

Enquanto nenhuma recomendação é feita quanto ao que um CSRIT deve adotar como sua política ou procedimentos, diversas possibilidades aparecem como exemplos. O mais importante é que um CSIRT tenha uma política e que aqueles que com ele interagem estejam aptos a obtê-la e compreendê-la.

Como sempre, nem todos os aspectos para cada ambiente e/ou grupo podem ser listados. Este modelo deve ser visto como uma sugestão. Cada grupo deve sentir-se livre para incluir o que quer que eles achem que seja necessário para o suporte da sua comunidade.

3.1. Obtenção do documento

Detalhes de um CSIRT mudam com o tempo, portanto, o formulário deve indicar quando foi modificado pela última vez. Adicionalmente, informação sobre como encontrar futuras atualizações deve ser fornecida. Do contrário, é inevitável que mal-entendidos e concepções errôneas surjam com o tempo. Documentos desatualizados podem trazer mais prejuízo do que benefício.

- Data da última atualização - Deve ser suficiente para permitir a qualquer interessado avaliar se o formulário é atual ou não.

- Distribuição de listas - Enviar listas é um mecanismo conveniente para distribuir informação atualizada a um grande número de usuários. Um grupo pode decidir se usa sua própria lista ou alguma já existente para notificar os usuários sempre que houver mudanças no documento. A lista pode ser de grupos com os quais os CSIRTs interajam com freqüência. Assinaturas digitais devem ser utilizadas em mensagens de atualização enviadas por um CSIRT.

- Localização do documento - O lugar onde uma versão atualizada do documento poderá ser acessada através dos serviços de informação on-line do grupo. Os constituintes poderão então facilmente aprender mais sobre o grupo e checar atualizações recentes Esta versão on-line também deve vir acompanhada de uma assinatura digital.

3.2. Informação sobre contato

Detalhes completos sobre como contatar o CSIRT deve ser listada aqui, embora eles possam diferir muito de grupo para grupo; por exemplo, alguns podem optar por não listar os nomes dos membros do seu grupo.

Nenhum esclarecimento adicional deve ser dado quando o significado de um item pode ser presumido.

- Nome do CSIRT

- Endereço para correspondência

- Fuso horário É útil para coordenar incidentes em que ocorra diferença de fuso horário. - Número de telefone

- Número de fax

- Outros tipos de telecomunicação Alguns grupos podem oferecer contato telefônico seguro

- Endereço de correio eletrônico

- Chaves públicas e criptografia O uso de técnicas específicas depende da habilidade de os parceiros na comunicação acessar os programas, chaves, etc. Informação relevante deve ser dada para capacitar os usuários a determinar se e como eles podem fazer uso de comunicação criptografada durante a interação com o CSIRT.

- Membros do grupo

- Horário de funcionamento Horário de funcionamento e escala em feriados devem ser Fornecidas. Existe uma linha funcionando 24 horas?

- Informação adicional sobre contato Existe alguma informação específica sobre contato do cliente Informação detalhada adicional sobre contato deve ser fornecida. Isso pode incluir diferentes contatos para diferentes serviços. Se houver procedimentos específicos para acesso a alguns serviços (por exemplo endereços para solicitação de mala direta), deve ser explicado aqui.

3.3. Estatuto

Cada CSIRT deve ter um estatuto que especifique o que fazer e sob a autoridade de quem fazer. O estatuto deve incluir ao menos os seguintes itens:

- Estabelecimento de metas - Constituição - Patrocínio/afiliação

- Autoridade

3.3.1. Estabelecimento de metas

O estabelecimento das metas deve focalizar as atividades essenciais do grupo, já especificadas na definição de um CSIRT. Para ser considerado um Grupo de Resposta a Incidente de Segurança em Computador, um grupo deve dar suporte aos relatos de incidentes e à sua comunidade lidando com os incidentes.

As metas e proposições de um grupo são especialmente importantes e exigem uma definição clara, não ambígua.

3.3.2. Constituição

A constituição de um grupo pode ser determinada de várias maneiras. Pode tratar-se, por exemplo, dos empregados de uma companhia ou dos seus assinantes pagos, ou pode ser definida, ainda, a partir de um ângulo tecnológico, como os usuários de um sistema operacional em particular.

A definição de uma constituição deve criar em torno do grupo um perímetro a quem o mesmo prestará serviço. A seção de política do documento (veja abaixo) explicará como as solicitações de fora deste perímetro serão conduzidas.

Se um CSIRT decidir não divulgar suas diretrizes, deve explicar as razões por trás dessa decisão. Por exemplo, alguns CSIRTs podem não listar seus clientes, mas declararão que prestam serviços a uma vasta clientela que será mantida sob sigilo em decorrência de acordos contratuais.

Pode ocorrer sobreposição de constituições, como quando um ISP provê um CSIRT que transporta serviços a um cliente que também tem CSIRTs. A seção "Autoridade" da descrição dos CSIRTs (veja abaixo) deve esclarecer essas relações.

3.3.3. Organização patrocinadora / Afiliação

A organização patrocinadora, que autoriza as ações de um CSIRT deve vir em seguida. Sabendo que isso ajudará os usuários a entender o que está por trás de um CSIRT e a sua estruturação, e é uma informação vital para construir a confiança entre os constituintes e um CSIRT.

3.3.4. Autoridade

Esta seção vai variar muito de um CSIRT para outro, baseada no relacionamento entre um grupo e a sua comunidade. Enquanto a autoridade de um CSIRT organizacional será dada pela gerência da organização, um CSIRT comunitário será escolhido e legitimado pela comunidade, normalmente num papel de orientação.

Um CSIRT pode ou não ter autoridade para intervir na operação de todos os sistemas dentro do seu perímetro. Ele deve identificar o escopo do seu controle diferenciando-o do perímetro da sua comunidade. Se outros CSIRTs operam hierarquicamente dentro do seu perímetro, isto deve ser mencionado os CSIRTs devem ser identificados.

A divulgação da autoridade de um grupo pode expô-la a reivindicações de responsabilidade legal. Cada grupo deve procurar aconselhamento legal nesta matéria (veja mais sobre responsabilidade na seção 3.7).

3.4. Política

É crucial que um grupo de resposta defina sua política. As seções seguintes discutem a comunicação da política do grupo à comunidade constituinte.

3.4.1. Tipos de Incidentes e Níveis de Suporte

Os tipos de incidente que o grupo está capacitado a endereçar e o nível de suporte que irá oferecer ao responder a cada tipo de incidente deve estar resumido aqui na lista do formulário. A seção "Serviços" (ver abaixo) oferece a oportunidade de dar descrições mais detalhadas e de endereçar tópicos não relacionados a incidentes.

O nível de suporte pode mudar dependendo de fatores tais como a carga de trabalho do grupo e a integridade da informação disponível. Tais fatores devem ser esboçados e o seu impacto deve ser explicado.

Como uma lista de tipos conhecidos de incidentes será incompleta tendo em vista possíveis ou futuros incidentes, um CSIRT deve também dar algum tipo de informação de como será tratado um tipo de incidente que não tenha sido mencionado.

O grupo deve estabelecer se vai agir ao receber informação sobre vulnerabilidades que criem oportunidades para futuros incidentes. O compromisso de agir diante de tal informação no interesse de sua comunidade é visto como uma política de serviços de precaução do que um serviço essencial exigido de um CSIRT.

3.4.2. Cooperação, Interação e Divulgação de Informação

Esta seção deve explicitar com que grupos correlatos o CSIRT interage. Essas interações não são necessariamente relacionadas a resposta a incidente de segurança , mas são usadas para facilitar cooperação em tópicos técnicos ou serviços. De maneira alguma há necessidade de fornecer os detalhes sobre os acordos de cooperação.;o objetivo principal desta seção é dar aos constituintes uma compreensão básica do tipo de interação que é estabelecida e qual o seu propósito.

Cooperação entre CSIRTs pode ser facilitada pelo uso de um único número de protocolo combinado com procedimentos acordados de maneira explicita.

Isso reduz a chance de mal-entendidos, duplicação de esforços, ajuda no rastreamento de incidente e evita repetições na comunicação. O relatório e a divulgação da política deve deixar claro quem será o receptor do relato de um CSIRT em qualquer circunstância. Deve também assinalar se o grupo espera operar através de outro CSIRT ou diretamente com um membro de outra comunidade em assuntos especificamente concernentes àquele membro.

Grupos correlatos com os quais um CSIRT irá interagir são listados abaixo:

Grupos de Resposta a Incidente:

Um CSIRT precisará freqüentemente interagir com outros CSIRTs. Por exemplo, um CSIRT dentro de uma grande companhia talvez precise relatar incidentes a um CSIRT nacional, e um CSIRT nacional talvez precise relatar incidentes a CSIRTs nacionais de outros países para lidar com todos os sites envolvidos num ataque de larga escala.

Colaboração entre CSIRTs pode levar a divulgação de informação. Seguem-se exemplos de tal divulgação, mas não são se pretende que seja uma lista exaustiva:

- Relatando incidentes dentro da comunidade a outros grupos. Se isso ocorre, informação de sites correlatos podem se tornar de conhecimento público, acessível a qualquer um, em particular a imprensa.

- Lidando com incidentes ocorrendo dentro da comunidade, mas relatados de fora dele (o que implica que alguma informação já foi disponibilizada fora do site).

- Reportando observações de dentro da comunidade indicando suspeita ou confirmação de incidente de fora.

- Agindo em relatos de incidentes de fora da comunidade.

- Passando informação sobre vulnerabilidades a fabricantes, a parceiros dos CSIRTs ou diretamente a sites afetados dentro ou fora da comunidade.

- Resposta a outras partes que relatem incidentes ou vulnerabilidades.

- A provisão de informação sobre contato relacionada a membros da comunidade, a outros CSIRTs ou representantes da lei.

Fabricantes:

Alguns fabricantes têm seu próprio CSIRT, mas alguns podem não ter. Nesses casos, um CSIRT precisará trabalhar diretamente com um fabricante para sugerir melhoramentos ou modificações, para analisar o problema técnico ou para testar novas soluções. O fabricantes têm um papel importante em casos de incidente se as vulnerabilidades do seu produto estiverem envolvidas no incidente.

Representantes da Lei:

Incluem-se nesses a polícia e outras agências investigadoras. CSIRts e usuários do formulário devem estar atentos às leis locais e regulamentos, que podem variar consideravelmente em diferentes países. Um CSIRT pode dar aconselhamento em detalhes técnicos de ataques ou buscar aconselhamento sobre as implicações legais de um incidente. As leis locais podem incluir exigência de relatos específicos ou sigilo.

Imprensa:

Um CSIRT pode ser abordado pela imprensa para informações e comentários de tempos em tempos.

Uma política explícita concernente a divulgação para a imprensa pode ser de grande ajuda, particularmente para clarificar as expectativas de uma comunidade de um CSIRT. A política de imprensa terá detalhar os tópicos, uma vez que a comunidade estará normalmente muito sensível a contatos da imprensa.

Outros:

Este pode incluir atividades de pesquisa em relação à organização patrocinadora. O estado de qualquer e todas as informações relacionadas com segurança que um grupo receba será normalmente "confidencial", mas uma adesão rígida a isso faz com que o grupo apareça como um "buraco negro" informal que pode reduzir a probabilidade de o grupo obter cooperação dos clientes e de outras organizações. O formulário do CSIRT deve definir que informação ele vai relatar ou divulgar, para quem e quando.

Grupos distintos estão igualmente propensos a ser sujeitos de diferentes restrições legais que exijam ou limitem a divulgação, especialmente se eles funcionam em jurisdições diferentes. Além disso, eles podem ter exigências de relatos impostas por sua organização patrocinadora. Cada formulário de grupo deve especificar qualquer uma dessas restrições, tanto para esclarecer as expectativas dos usuários quanto para informar outros grupos.

Conflitos de interesse, particularmente em assuntos comerciais também podem restringir a divulgação por parte de um grupo; este documento não trata de como tais conflitos poderão ser conduzidos.

Um grupo normalmente colherá estatísticas. Se informação estatística for distribuída, a parte do formulário que trata da política de relato e divulgação deve explicitar isso e descrever como obter tais estatísticas.

3.4.3. Comunicação e Autenticação

Você deve ter uma política que descreva os métodos de comunicação segura e verificável que você usará. Isso é necessário para comunicação entre CSIRTs e entre um CSIRT e a sua comunidade. O formulário deve incluir chaves públicas ou indicação de onde elas se encontram, incluir chaves de impressões digitais, juntamente com a orientação de como utilizar esta informação para checar a autenticidade e como lidar com informações corrompidas (por exemplo, onde reportar este fato).

No momento é recomendável que , no mínimo, cada CSIRT tenha (se possível) uma chave PGP disponível. Um grupo deve também disponibilizar outros mecanismos (por exemplo, PEM, MOSS, S/MIME) de acordo com as suas necessidades e da sua comunidade. Observe-se no entanto que cada grupo e usuários devem estar atentos às leis e regulamentos locais.

Alguns países não permitem criptografia forte ou obriga políticas específicas sobre o uso da tecnologia de criptografia. Além de informação criptografada sempre que possível, a correspondência deve incluir assinaturas digitais. (Por favor observem que na maioria dos países, a proteção ou autenticidade do uso de assinaturas digitais não é afetado pelos regulamentos de criptografia já existentes).

Para comunicação via telefone ou fax um CSIRT deve estabelecer, entre as partes com as quais está lidando uma forma de autenticar as informações, como o uso de uma senha ou frase. Obviamente, tais chaves secretas não devem ser divulgadas, embora seja possível a divulgação da sua existência.

3.5. Serviços

Os serviços prestados por um CSIRT podem ser a grosso modo divididos em duas categorias: atividades em tempo-real diretamente relacionadas à tarefa principal de reposta a incidente, e atividades preventivas em tempo- não-real, de suporte à tarefa de resposta a incidente. A Segunda categoria e parte da primeira categoria consiste nos serviços que são opcionais no sentido de que nem todos os CSIRTs irão oferecê-los.

3.5.1. Resposta a Incidente

Resposta a incidente normalmente inclui a avaliação dos relatos sobre incidentes recebidos ("Triagem de Incidentes") e o acompanhamento deles com outros CSIRTs, ISPs (provedor de acesso à Internet) e sites ("Coordenação de Incidente"). Um terceiro nível de serviços, ajudar um site local a se recuperar de um incidente (Resolução de Incidentes), é incluído como típico serviço opcional, que nem todo CSIRT oferecerá.

3.5.1.1. Triagem de Incidente

A triagem de incidente normalmente inclui:

- Avaliação de relato Interpretação dos relatos de incidentes recebidos, priorizando-os, e relacinando-os aos incidentes em andamento e direcionando-os.

- Verificação Ajuda a determinar se um incidente realmente ocorreu e o seu escopo.

3.5.1.2. Coordenação de Incidente

A Coordenação normalmente inclui:

- Categorização da informação Categorização da informação sobre incidentes (arquivos de log, informação sobre contato, etc). Respeitando a política de divulgação de informação.

- Coordenação Notificação de outras partes envolvidas, descrevendo sucintamente o incidente e informando a política de divulgação de informações.

3.5.1.3. Resolução de Incidentes

Normalmente adicionais ou opcionais, os serviços de resolução de incidentes incluem:

- Assistência Técnica Podendo incluir a análise dos sistemas comprometidos.

- Erradicação Eliminação da causa do incidente de segurança (a vulnerabilidade explorada) e dos seus efeitos (por exemplo, acessos contínuos ao sistema por um intruso).

- Recuperação Ajudar a restaurar sistemas afetados e serviços à sua condição anterior ao incidente.

3.5.2. Atividades Preventivas

Normalmente adicionais ou opcionais, os serviços preventivos podem incluir:

- Provisão de informação Este pode incluir um arquivo de vulnerabilidades conhecidas, consertos ou resoluções de problemas anteriores ou uma lista para divulgação de boletins.

- Ferramentas de segurança Este pode incluir ferramentas para auditar a segurança de um site.

- Educação e treinamento

- Avaliação de produto

- Auditoria de segurança de site e consultoria

3.6. Formulários de Relatos de Incidente

O uso de formulários de relatos facilita, tanto para os usuários quanto para os grupos. A comunidade pode preparar respostas para várias questões importantes antes de efetivamente entrar em contato com o grupo, chegando a ele melhor preparada, de maneira que o grupo recebe toda a informação necessária já no primeiro relato, podendo agir mais eficientemente.

Dependendo dos objetivos e serviços de um CSIRT em particular, vários formulários podem ser usados, por exemplo, um formulário de relato para uma nova vulnerabilidade pode ser bem diferente de um formulário usado para relato de incidentes.

É mais eficaz fornecer formulários através dos serviços de informação on-line do grupo. Na página do grupo podem ser colocados indicadores para acessá-los, juntamente com orientações sobre o uso correto e sobre quando e como usá-los.

Se existir um endereço de e-mail especificamente para envio de formulários de relato de incidentes, ele também deve ser listado.

Um exemplo desse tipo de formulário é o "Fomulário de Relato de Incidente" fornecido pelo Centro de Coordenação do CERT: - ftp://info.cert.org/incident_reporting_form

3.7. Avisos

Embora o documento de descrição do CSIRT não constitua um contrato, responsabilidades podem derivar das suas descrições de serviços e propósitos. A inclusão de um aviso no final do formulário é recomendada e deve alertar os usuários sobre possíveis limitações.

Em situações em que a versão original de um documento deve ser traduzida em outra língua, a tradução deve trazer um aviso e um indicador para o original. Por exemplo:

Embora tenhamos tentado traduzir cuidadosamente o documento original do alemão para o inglês, não podemos estar certos que os dois documentos expressam os mesmos pensamentos no mesmo nível de detalhes e correção. Em todos os casos, onde houver uma diferença entre as duas versões, prevalecerá a versão alemã.

O uso e a proteção dos avisos são afetados pela leis e regulamentos locais de que cada CSIRT deve estar ciente. Em caso de dúvida, o CSIRT deve checar o aviso com um advogado.

5. Considerações sobre Segurança

6. Referências

[1] Brownlee & Guttman, "Expectations for Computer Security Incident
Response", BCP 21, RFC 2350, June 1998.

7. Endereços dos Tradutores

nelson@pangeia.com.br

Apêndice A: Glossário

Este glossário define termos usados na descrição de incidentes de segurança e Grupos de Resposta a Incidente de Segurança em Computador. Para mais definições, favor buscar outras fontes como por exemplo o Glossário de Usuários da Internet [RFC 1983].

Comunidade

A comunidade é um dos objetivos implícitos de um Grupo de Resposta a Incidente de Segurança em Computador. Trata-se do grupo de usuários, sites, redes ou organizações servidas pelo grupo. Este deve ser reconhecido pela sua comunidade para ser efetivo.

Incidente de Segurança

Para o propósito deste documento, este termo é sinônimo de Incidente de Segurança em Computador: qualquer evento adverso que comprometa algum aspecto do computador ou de segurança da rede.

A definição de um incidente pode variar entre organizações, mas pelo menos as seguintes categorias são geralmente aplicáveis:

- Quebra do sigilo da informação

- Comprometimento da integridade da informação

- Recusa de serviço

- Mal uso de serviço, sistemas ou informação

- Danos aos sistemas

Essas são categorias bem gerais. Por exemplo a substituição de um programa por um Cavalo de Tróia é um exemplo de comprometimento da integridade e um ataque bem sucedido a uma senha é um exemplo de 'quebra de sigilo'. Os ataques, mesmo que tenham falhado em virtude de proteção adequada, podem ser vistos como incidentes.

Dentro da definição de um incidente a palavra 'comprometido' é usada. Algumas vezes um administrador pode apenas 'suspeitar' de um incidente. Durante a resposta deve ficar estabelecido se um incidente realmente ocorreu ou não.

Grupo de Resposta a Incidente de Segurança em Computador

Baseado em duas das definições acima, um CSIRT é um grupo que coordena e dá suporte, resposndendo a incidente de segurança que envolvam sites dentro de uma determinada comunidade.

Para ser considerado um CSIRT, um grupo deve:

- Prover um canal (seguro) para recebimento de relatos sobre suspeita de incidentes.

- Prover assistência aos membros da sua comunidade, cuidando dos incidentes

- Disseminar informações sobre incidentes relatados para a sua comunidade e para as outras partes envolvidas.

Observe que não estamos nos referindo aqui à polícia ou a outras entidades de reforços da lei que podem investigar crimes relacionados a computadores.

Os membros dos CSIRTs não precisam de forma alguma ter poderes acima daqueles dos cidadãos comuns.

Fabricante

Um 'fabricante' é uma entidade que produz redes ou tecnologia de computador e é responsável pelo conteúdo técnico dessa tecnologia. Exemplos de 'tecnologia' inclui hardware (computador de mesa, roteadores, switches, etc), e software (sistemas operacionais, sistemas de encaminhamento de e-mail, etc).

Observe que o fornecedor de uma tecnologia não é necessariamente o fabricante dessa tecnologia. Como um exemplo, um Provedor de Acesso à Internet (ISP) pode fornecer roteadores a cada um dos seus clientes, enquanto que o fabricante, mais que o ISP, é a entidade responsável pelo conteúdo técnico do roteador.

Vulnerabilidade

Apêndice B: Material Correlato

Publicações importantes relativas a incidente de segurança em nível de um site são encontrados no [RFC 2196], o Site Security Handbook, produzido pelo Site Security Handbook Working Group (SSH). Este documento será atualizado pelo SSH Working Group e dará recomendações para políticas locais e procedimentos, principalmente relacionados a como evitar incidentes de segurança.

Outros documentos de interesse para a discussão de CSIRTs e de suas atribuições estão disponíveis em um FTP anônimo: - ftp://ftp.cert.dfn.de/pub/docs/csir/

Maiores informações sobre o conteúdo desse diretório são encontradas no arquivo 01-README. Alguns documentos especialmente interessantes em relação a este documento são os seguintes:

- ftp://ftp.nic.surfnet.nl/surfnet/net-security/cert-n1/docs/reports/R-92-01
Este relatório contém a Estrutura Operacional do CERT-NL, o CSIRT do SURFnet (provedor de rede na Holanda).

- Para leitores interessados na operação de um FIRST (Fórum de Resposta a Incidente e Grupos de Segurança) mais informação é coletada no Apêndice C.

- http://hightop.nrl.navy.mil/news/incident.html
Este documento leva ao NRL Manual de Resposta a Incidente.

- http://www.cert.dfnde/eng/team/kpk/certbid.html
Este documento contém uma bibliografia anotada de material disponível, documentos e arquivos sobre o funcionamento de CSIRTs com links para vários dos itens mencionados.

- ftp://info.cert.org/incident_reporting_form
Este Formulário de Relato de Incidente é fornecido pelo Centro de Coordenação do CERT para coletar informação sobre incidente e evitar maiores atrasos causados pela necessidade de se obter informação mais detalhada do site que está relatando.

- http://www.cert.org/cert.faqintro.html
Uma coletânea das perguntas mais freqüentes do Centro de Coordenação do CERT.

Apêndice C: Grupos de Resposta a Incidente de Segurança conhecidos

Existem hoje muitos CSIRTs, mas nenhuma fonte lista todos eles. Grande parte dos maiores e mais antigos CSIRTs (o primeiro foi fundado em 1988) são hoje membros do FIRST, o Fórum Mundial de Resposta a Incidente e Grupos de Segurança. Até o momento, mais de 55 grupos são membros (1 na Austrália, 13 na Europa e todos os outros na América do Norte). Informação sobre o FIRST pode ser encontrada em:
- http://www.first.org

A lista corrente de membros também está disponível, com relevantes informações sobre contato e algumas informações adicionais fornecidas por alguns grupos em particular:
- http://www.first.org/team-info/

Para os CSIRTs que querem se tornar membros deste Fórum (por favor observem que cada grupo precisa de um patrocinador -um grupo que já seja membro do FIRST - que o apresente). Os seguintes arquivos contêm mais informação:

- http://www.first.org/about/op_frame.html
A Estrutura Operacional do FIRST

- http://www.first.org/docs/newmen.html
Diretrizes para grupos que queiram se tornar membros do FIRST

A maioria dos grupos europeus independentemente de serem membros do FIRST ou não, são listados por países numa página mantida por um CSIRT alemão:
- http://www.cert.dfn.de/eng/csir/europe/certs.html

Para saber sobre a existência de grupos mais indicados para uma necessidade específica, é freqüentemente de grande ajuda perguntar ou a grupos conhecidos ou a um Provedor de Acesso à Internet qual o contato "certo".

No Brasil utilize: http://www.nic.br/nbso.html