NBSO: Monitoração dos incidentes de segurança de Internet no Brasil
Arquivo do Clipping 2002
Veículo: Módulo Security Magazine
Data: 05/06/2002
Assunto: Segurança
Em junho de 1997, pensando na expansão da Internet como um meio comercial, o Comitê Gestor da Internet no Brasil decide criar o NIC BR Security Office (NBSO) para coordenar e prover informações sobre incidentes de segurança existentes na web brasileira. "O NBSO é um CSIRT (Computer Security Incident Response Team) cuja 'constituency' é a Internet Brasileira como um todo", define a Analista de Segurança Sênior do grupo, Cristine Hoepers.
A coordenação geral é feita pelo próprio Comitê Gestor da Internet no Brasil. Hoepers é graduada em Ciências da Computação pela Universidade Federal de Santa Catarina (UFSC) e mestranda em Segurança de Redes. Além disso, dedica-se em tempo integral para a executar a função. "O grupo conta ainda, em período integral, com mais três analistas de segurança: um Sênior, um Pleno e um Júnior, dois com mestrado completo e um com mestrado em andamento, também em Segurança de Redes", diz Cristine.
No primeiro trimestre de 2001, segundo estatísticas publicadas no site do NBSO, foram reportados 3.318 incidentes de segurança, sendo os "scans" contra máquinas e redes os tipos de ataques mais registrados (2.437). "A média para o ano de 2002 gira em torno de 1.100 incidentes incluídos mensalmente em nossa base de dados", relata Hoepers. Ainda segundo a Analista de Segurança, os scans continuam sendo o tipo de ataque mais comum na Internet brasileira.
A excelência do trabalho do NBSO seria reconhecida por duas grandes entidades americanas no ano de 1999. Os membros do grupo foram convidados a integrar o High Technology Crime Investigation Association (HTCIA - http://www.htcia.org/index.html), entidade com sede nos Estados Unidos, responsável por investigar crimes cometidos por meios tecnológicos. Já o grupo de segurança da marinha norte-americana, Space and Naval Warfare Systems Command, considerou o Brasil como o país de resposta mais rápida a incidentes nesta área. Confira em http://www.nanog.org/mtg-9905/ppt/broersma/sld017.htm.
Nesta entrevista exclusiva, ela conta a história da criação do grupo, fala sobre como devem ser reportados os incidentes de segurança e sobre outros trabalhos realizados pelo NBSO, que completarão cinco anos neste mês de junho. Confira.
Módulo Security Magazine: Quem foi o responsável pela criação do grupo?
Cristine Hoepers: O NBSO foi criado em 1997 por decisão do Comitê Gestor da Internet no Brasil (http://www.cgi.br), com base nas recomendações do Subgrupo de Trabalho em Segurança, presentes no documento "Rumo à Criação de uma Coordenadoria de Segurança de Redes na Internet Brasil" (http://www.cgi.br/grupo/historico-gts.htm).
Módulo: Qual objetivo da criação do NBSO?
Hoepers: O objetivo do NBSO é atuar coordenando as ações e provendo informações para redes conectadas à Internet brasileira e que estejam envolvidas em incidentes de segurança. Além do trabalho de resposta e acompanhamento a incidentes de segurança o NBSO tem feito um trabalho intenso de apoio e fomento à formação de novos CSIRTs no Brasil.
Módulo: Qual a formação necessária para integrar o grupo?
Hoepers: O perfil destes profissionais não foge à regra do perfil exigido para qualquer candidato a trabalhar na área de resposta a incidentes, mas podem-se destacar conhecimentos profundos de protocolos Internet e ampla experiência em administração de redes. Porém, vale frisar que o fator decisivo é a postura ética e o fato de não ter nenhum envolvimento prévio com qualquer atividade ilícita, como envolvimento com atividades de hacking, pirataria, etc.
Módulo: Qual a média diária/mensal de incidentes reportados para o grupo?
Hoepers: Apesar destes dados ainda não estarem disponíveis em nossa página, a média para o ano de 2002 gira em torno de 1.100 incidentes incluídos mensalmente em nossa base de dados. Vale lembrar que só contabilizamos incidentes reportados acompanhados de logs completos e que realmente tenham se confirmado como um incidente, não sendo, portanto, um falso positivo.
Módulo: Quais são os tipos de incidentes mais reportados?
Hoepers: Com certeza, são os "scans" efetuados contra máquinas e redes.
Módulo: Quais são as recomendações para se reportar um incidente de segurança?
Hoepers: Nossa recomendação é que toda e qualquer atividade considerada suspeita, ou que infrinja as políticas de segurança da rede que está sendo atacada, seja notificada aos responsáveis pela rede de onde parte a atividade.
Aconselhamos também que o e-mail do NBSO (nbso@nic.br) seja colocado no "Cc:" destas mensagens, pois isto nos permite ter uma visão global dos incidentes de modo a focar nossos esforços de auxílio à criação de grupos e orientação a administradores de redes. Nos casos em que julgamos necessário, estarmos na cópia da mensagem, também nos permite adicionar alguma informação pertinente para a resolução do caso ou até repassar a reclamação para algum contato mais específico.
É essencial que a notificação do incidente seja acompanhada por logs que contenham informações detalhadas da atividade ocorrida, como portas envolvidas, horário, timezone, flags e outras que estejam disponíveis.
Existe uma FAQ, direcionada para usuários finais, mas que contém algumas informações que podem ser de interesse também aos administradores de redes, onde tentamos reunir as dúvidas mais comuns ao reportar um incidente de segurança. Ela está disponível em http://www.nic.br/docs/faq1.html .
Módulo: Quais são as maiores vulnerabilidades apresentadas pelos sistemas das empresas?
Hoepers: Não podemos tirar conclusões sobre isto. É bom lembrar que as notificações de incidentes ao NBSO são espontâneas e geralmente feitas por administradores de redes e grupos de segurança que estão monitorando atentamente suas redes. Desse modo não temos como falar de modo genérico, uma vez que não temos acesso a estes dados com relação a todas as empresas.
Módulo: Existe algum tipo de parceria com delegacias e promotorias públicas?
Hoepers: O NBSO, por sua própria característica de auxiliar a todos os que necessitem de orientação em casos de incidentes de segurança, tem trabalhado em colaboração com algumas polícias. Este processo de trabalho conjunto e troca de informações têm sido muito benéficos para ambas às partes.
Módulo: Como vocês analisam a preocupação do mercado brasileiro com a Segurança da Informação?
Hoepers: Cremos que o mercado brasileiro está cada vez mais atento a esta área, porém notamos que a preocupação ainda está muito voltada para produtos e certificações e sem foco em itens importantes como contratação de pessoal próprio para formar equipes dedicadas à segurança e resposta a incidentes.
Módulo: Qual a opinião do grupo sobre o projeto de lei 84/99?
Hoepers: O NBSO acompanhou a elaboração do projeto de lei do Deputado Luiz Piauhylino desde o seu início. Julgamos que ele é essencial para que se possa enquadrar como crime fatos como a invasão de computadores e a disseminação de vírus
Fonte: Módulo Security Magazine
