RNP > RNP na mídia > 2002

Cais: Disseminando a Segurança da Informação no Brasil

Módulo Security Magazine

Luis Fernando Rocha

12.06.2002

A Rede Nacional de Pesquisa (RNP) está constituída nos 27 estados brasileiros, conectando milhares de computadores em mais de 800 instituições em todo o país. Com o crescimento da Internet e o conseqüente crescimento de problemas de segurança na rede, foi criado, em maio de 1997, o CAE - Centro de Atendimento a Emergências, que mais tarde mudaria o nome para CAIS (Centro de Atendimento a Incidentes de Seguranca).

"Este grupo tem como missão registrar e acompanhar incidentes de segurança que envolvam redes conectadas ao backbone da RNP, incluindo o auxílio à identificação de invasões e reparo de danos causados por invasores. Além do seu trabalho de resposta a incidentes de segurança, o CAIS tem também por objetivo desempenhar um papel preventivo, disseminando informações, alertas e recomendações na área de segurança em sistemas e redes", diz a Gerente do CAIS, Liliana Velasquez Solha.

A equipe do CAIS conta, atualmente, com quatro analistas de segurança de forma integral e exclusiva. Para se ter uma idéia da importância do trabalho realizado por estes profissionais, são reportados mensalmente cerca de 850 incidentes de segurança. "No entanto, no último mês de maio foram notificados em torno de 1.400 incidentes. Este aumento deveu-se basicamente à propagação do worm Spike.SQL", diz Liliana.

Nesta entrevista exclusiva, a Gerente do CAIS fala sobre a história do grupo, os incidentes de segurança mais comuns e como eles devem ser reportados. Confira.

Módulo Security Magazine: Como foi criado o CAIS?
Liliana Velasquez Solha: As articulações para criação de um centro de atendimento a incidentes de segurança na Rede Nacional de Pesquisa (RNP) começaram em meados de 1996, na gestão do então coordenador geral Tadao Takahashi. A primeira proposta de criação do centro foi um trabalho coordenado por Carlos Campana e Adailton Silva, com a consultoria de Gorgônio Araújo e Danton Nunes. O centro foi estabelecido durante a gestão do então coordenador geral José Luis R. Filho, e inicialmente batizado de CAE - Centro de Atendimento a Emergências, que depois adotaria o nome de CAIS (Centro de Atendimento a Incidentes de Segurança).

Módulo: Qual objetivo da criação do CAIS?
Liliana: O CAIS iniciou a sua operação em maio de 1997. Nesta época, a grande maioria das redes brasileiras ligadas à Internet não estavam sendo administradas com preocupações, ou ao menos consciência, dos problemas e vulnerabilidades de segurança existentes, tornando-se presas fáceis para qualquer hacker iniciante. O conceito feito do Brasil em relação às facilidades ou às dificuldades de invasão era humilhante. Somava-se a isso a completa falta de resposta coordenada aos problemas segurança enquanto eles ocorriam, pois grande parte dos pedidos de ajuda ficava sem resposta.

Impunha-se uma evolução rápida nessa área, onde o esforço eminentemente cooperativo, voluntário e informal, pudesse encontrar o suporte de um grupo dedicado ao acompanhamento de casos em que a segurança da rede tivesse sido comprometida.

É neste cenário que nasceu o CAIS como sendo o CSIRT (Computer Security Incident Response Team) da RNP, isto é, a equipe de segurança da RNP.

Módulo: Qual a formação necessária para integrar o grupo?
Liliana: Em relação ao perfil necessário do candidato, ele vai depender da função específica a ser desempenhada. De um modo geral, requisitos importantes incluem: ética profissional, sólidos conhecimentos técnicos em arquitetura de redes e protocolos Internet, experiência em administração de sistemas, experiência na área de segurança da informação, dedicação integral e exclusiva, comprovada capacidade de trabalho em equipe e facilidade de comunicação verbal e escrita.

Módulo: Qual o tamanho da rede atendida pelo CAIS?
Liliana: Atualmente, a RNP conecta os 27 estados brasileiros, interligando dezenas de milhares de computadores em mais de 800 instituições em todo o país. As organizações usuárias dos serviços oferecidos pelo CAIS incluem principalmente instituições públicas federais de ensino superior (formadas por universidades federais, faculdades e escolas superiores e centros federais de educação tecnológica) e de pesquisa (institutos e centros de pesquisa, laboratórios nacionais e museus).

Módulo: Qual a média diária ou mensal de incidentes reportados?
Liliana: No ano de 2002, o CAIS tem registrado, em média, 850 incidentes por mês. No entanto, no último mês de maio foram notificados em torno de 1.400 incidentes, este aumento deveu-se basicamente à propagação do worm Spike.SQL.

Módulo: Quais são os tipos de incidentes mais reportados?
Liliana: As ocorrências mais comuns no último semestre foram, em primeiro lugar, as atividades de reconhecimento de portas, traduzidas basicamente em "scans", associadas tipicamente aos serviços SSH (21), FTP (22), HTTP (80) e mais recentemente, SQL (1433).

Na seqüência, notificações envolvendo o uso indevido de servidores FTP para distribuição de software, filmes e músicas. E, nestes casos, os incidentes reportados podem estar relacionados ao mau uso do servidor FTP, e também a problemas de violação de Copyright.

Incidentes envolvendo servidores com relay aberto sendo utilizados para envio de spam, trocas de página, bem como vírus e worms (com destaque para o Nimda e o Klez), também fazem parte da lista dos Top 5 do CAIS.

Módulo: Quais são as recomendações para se reportar um incidente de segurança?
Liliana: Resumidamente, as recomendações do CAIS para reportar um incidente são:

1. Enviar reclamação formal aos contatos técnicos pela rede origem, copiando o respectivo grupo de segurança. Tal reclamação deverá conter: - um breve histórico do ocorrido, indicando os endereços respectivos do atacante e da vítima, tipo de ataque sofrido ou eventual vulnerabilidade explorada, eventuais danos causados, e quaisquer outras informações consideradas relevantes para uma investigação. - os logs correspondentes, com data e horário atualizados, indicando timezone.

2. Enviar a mensagem a partir de um endereço eletrônico válido e que seja acessado com freqüência.

3. Os logs devem ser enviados apenas em formato texto. Não anexar telas capturadas ou resultados de aplicativos de monitoração de portas, de firewalls pessoais ou até mesmo de sistemas de detecção de intrusão.

4. Ao denunciar spam ou servidor com relay aberto sendo usado para envio de spam, anexar o cabeçalho completo da mensagem recebida e somente anexar o conteúdo da mensagem de spam caso este seja relevante para uma investigação.

Módulo: Como vocês analisam a preocupação do mercado brasileiro com a Segurança da Informação?
Liliana: As demandas são sempre crescentes na área de segurança da informação. O mercado brasileiro tem se mostrado cada vez mais receptivo em relação à questão segurança, já considerando o assunto como quesito imprescindível a um bom plano de gestão de TI, aliado a uma política de segurança da informação adequada ao perfil da instituição ou empresa.

No entanto, é preciso ainda um maior nível de conscientização dos administradores e gerentes de TI para os problemas relacionados à segurança da informação, porque a maior parte das empresas e instituições ainda não tratam o assunto com a devida atenção. Acredita-se que ainda exista uma grande demanda por profissionais qualificados na área de segurança.

Módulo: Existe algum tipo de parceria com delegacias e promotorias públicas? E com entidades internacionais (The SANS, FIRST)?
Liliana: Não diria "parceria" com delegacias e promotorias públicas, mas sim uma forte interação e cooperação com órgãos oficiais e autoridades competentes.

No que diz respeito ao SANS, no último ano o CAIS tem estreitado relações com esse instituto, não apenas pelo fato dos membros da equipe terem participado desde 1997 dos seus cursos e obtido a certificação SANS, mas também por ter iniciado alguns trabalhos em conjunto. É o caso da tradução do "SANS/FBI Top 20" para o português, documento de referência obrigatória em segurança de redes que trata das 20 vulnerabilidades de segurança mais críticas na Internet. (Veja mais informações em http://www.rnp.br/noticias/2002/not-020227c.html)

Em setembro de 2001, o CAIS se constituiu no primeiro grupo de segurança de América do Sul a afiliar-se ao FIRST (Forum of Incident Response and Security Teams), o maior e mais importante fórum que reúne as equipes de segurança do mundo todo. Esta filiação trouxe uma série de vantagens ao CAIS, desde o estreitamento da cooperação com grupos de segurança de outros países, até mesmo acesso privilegiado a informações sobre incidentes de segurança e vulnerabilidades, além de visibilidade internacional e reconhecimento do trabalho da equipe. (Veja mais informações em http://www.rnp.br/noticias/2001/not-010917b.html)

De um modo geral, a interação e cooperação com outros grupos e organizações de segurança no Brasil e no exterior, tem permitido que o CAIS conquiste cada vez mais espaço em sua área de atuação, sendo respeitado pelo seu trabalho, tanto no país como internacionalmente.

Módulo: Quais ações tomadas para fomentação de novos grupos deste porte?
Liliana: Desde a sua criação, o CAIS vem realizando um trabalho intenso nesta área, através de palestras e cursos específicos que tratam do estabelecimento de um CSIRT. Ao apoiar a formação de novos grupos, o CAIS tem a certeza de estar estimulando a formação de uma massa crítica no país, que não somente atuará de maneira mais coordenada e efetiva diante dos problemas de segurança, mas principalmente contribuirá para a disseminação da cultura em segurança na sua 'constituency'.

Módulo: Qual a opinião do grupo sobre o projeto de lei 84/99?
Liliana: É importante lembrar que a lei por si só não basta. É necessária uma adequada infra-estrutura que permita tratar eficientemente casos contemplados pelo projeto de lei 84/99. Mesmo assim, o CAIS acredita na importância deste passo. Uma grande expectativa foi gerada entre os profissionais de segurança com relação à aprovação deste projeto de lei. Muitos acreditam que os problemas de segurança e a impunidade continuam a crescer devido à falta de legislação específica sobre crimes digitais. Em alguns casos específicos isto pode ser verdade. O CAIS espera que este projeto de lei contribua significativamente na redução dos crimes digitais.

fonte: http://www.modulo.com.br/index.jsp?page=3&catid=6&objid=17&pagenumber=0&idio