CSIRTs e CERTs
2. Equipas CERT/CSIRT
2.10. Qual a equipa CERT/CSIRT a contactar?
O título deste subcapítulo é também um lamento frequente de um utilizador da Internet que se meteu em problemas (por exemplo, alguém o atacou, roubou a sua identidade, invadiu um perfil do Facebook ou uma conta de e-mail, ou testemunhou a propagação de pornografia infantil). O que deve um tal utilizador fazer? Contactar a Polícia da República Checa? Ou o fornecedor de serviços de Internet, por exemplo o seu helpdesk? Ou contactar a Agência Nacional de Cibersegurança e Segurança da Informação quando esta é responsável pela ciber-segurança? A linha directa do National Safer Internet Center? Ou alguma equipa do CSIRT quando ainda se fala neles? Mas qual delas?
O processo de comunicação e resolução de incidentes de segurança (ou por outras palavras "quem contactar se eu quiser comunicar ou resolver um incidente de segurança") pode ser visto de duas perspectivas. Da perspectiva dos técnicos (administradores de redes e serviços, membros de equipas de segurança) e da perspectiva dos utilizadores.
Para os técnicos (administradores de redes e serviços, membros de equipas de segurança), a resposta à pergunta "quem contactar efectivamente com um pedido de acção" é bastante clara, mas isto deve-se ao exercício, à experiência e sobretudo a um conhecimento muito bom do ambiente da Internet e dos seus princípios básicos, bem como ao conhecimento de onde se encontram disponíveis informações de contacto para redes individuais existentes, serviços, domínios, etc.
Para os membros das equipas CERT/CSIRT, as fontes básicas de informação de contacto são as bases de dados RIR, a base de dados dos operadores de domínio de primeiro nível e os catálogos das equipas CERT/CSIRT.
O RIR (Registo Regional da Internet) detém e disponibiliza informação sobre a quem foi atribuído um bloco de endereços IP. O mundo está dividido em regiões e cada RIR (actualmente RIPE, ARIN, APNIC, LACNIC, AFRINIC) atribui endereços IP para a sua região. A região da Europa, Médio Oriente e Ásia é administrada pela RIPE NCC (https://www.ripe.net/). Os RIRs operam bases de dados acessíveis ao público que contêm dados sobre redes Internet atribuídas e os seus administradores. Estas bases de dados permitem-lhe encontrar informações sobre quais as organizações e quais os administradores responsáveis por endereços IP específicos.
Outra fonte de informação útil são os dados sobre domínios operados e disponibilizados pelos administradores de domínios de topo; para o domínio TLD . cz, é a associação CZ.NIC.
E depois há a área das equipas CERT/CSIRT, que normalmente definem o seu âmbito utilizando identificadores da Internet, domínios de nomes, ou apenas verbalmente. Devido ao seu número, à forma como definem o seu âmbito e especialmente às diferenças no seu nível, nem sempre é fácil encontrar uma equipa que seja capaz de ajudar. Para facilitar a orientação entre equipas, foram criados alguns tipos de "catálogos", que são tratados pelo FIRST e pelo Trusted Introducer. Estes catálogos contêm informações básicas sobre CERT/CSIRTs, contactos, o seu alcance, etc.
O processo de notificação e resolução de incidentes de segurança (tratamento de incidentes) não é um processo exacto, pelo contrário, e muito depende da experiência e por vezes da criatividade da pessoa que executa este processo. A troca de informação entre equipas realiza-se normalmente de forma rápida e eficiente, embora mesmo isto muitas vezes não garanta uma solução rápida para o problema, porque toda a infra-estrutura é ainda relativamente "escassa", e infelizmente deve notar-se que o nível das equipas é diferente.
O estado óptimo da infra-estrutura seria se cada endereço IP estivesse no âmbito de uma equipa oficial do CSIRT. Esta não é, contudo, de longe, a situação da infra-estrutura do CERT/CSIRT.
Do ponto de vista de um utilizador normal, a situação é muito pouco clara e, na realidade, confusa. Então, o que deve um utilizador fazer se for detectado um incidente de segurança e quem deve contactar? É difícil para o utilizador querer orientar-se nas questões das equipas CERT/CSIRT, ser capaz de encontrar a correcta, estudar a sua política de comunicação de incidentes de segurança e tomar medidas. Um utilizador deve primeiro contactar o administrador da sua rede ou serviços (se tiver alguém assim), ou deve cooperar com o fornecedor de serviços da Internet, ou seja, com o helpdesk do seu ISP ou com o seu apoio ao utilizador. Por parte do ISP ou do fornecedor de serviços, deve haver um ponto de entrada (contacto) claramente descrito, que os utilizadores podem e devem contactar se forem alvo de um ataque, detectar um incidente de segurança, ou sentir que algo não está bem. É por isso que o ambiente dos ISPs é uma das áreas mais importantes onde uma equipa oficial CERT/CSIRT deve ser constituída e fornecer serviços de segurança aos utilizadores da sua rede.
É claro que pode haver situações em que tanto um técnico como um utilizador fazem tudo bem, e a solução para o problema ainda não está à vista. Uma pessoa ou equipa não reage ao problema relatado, ou mesmo recusa-se a resolvê-lo (dizendo que não é o seu problema, ou que não é tão grave), etc. Este é o momento em que ou entra a Polícia da República Checa (o utilizador pode contactá-la com a apresentação de uma queixa criminal), ou entra uma equipa de topo (nacional ou governamental) que o utilizador pode contactar como último recurso a partir do qual se pode esperar ajuda e resposta.
Existe uma cooperação muito estreita e troca de informações e dados relevantes entre a equipa nacional e a equipa governamental, e portanto a transferência do problema relatado para ser tratado de uma equipa para outra ou directamente para a solução.
Em geral, a equipa nacional e governamental deve ser um lugar para fornecedores de redes, prestadores de serviços (e, se necessário, utilizadores) onde, em caso de problemas, ambiguidades, etc., é possível pedir ajuda e consulta, por exemplo, encontrar uma contraparte adequada para a comunicação (equipa estrangeira CERT/CSIRT), mediação de comunicação (sim, por vezes a "alavanca" da equipa de topo é útil, a contraparte está então mais disposta), e uma fonte de know-how e informação.
Em geral, contudo, seria desejável que os administradores de redes e serviços e os membros das equipas de segurança dominassem e aplicassem os princípios do processo de tratamento de incidentes e maximizassem a comunicação directamente (não através de equipas de topo). Isto torna o processo de tratamento de incidentes rápido e eficiente, e outras fases intermédias podem introduzir atrasos desagradáveis e, infelizmente, distorções. Mas, como já foi mencionado, depende da gravidade da situação e do problema a ser tratado.
Os CERT/CSIRTs e as suas infra-estruturas não são geralmente omnipotentes e não garantem a segurança "em poucas palavras".
A sua existência é apenas um dos pequenos blocos no campo da construção da segurança na Internet, no qual todos os intervenientes desempenham um papel importante, ou seja, administradores de redes, gestores de serviços, gestores que decidem sobre os antecedentes para uma segurança eficaz de redes e serviços, ISPs, operadores de serviços críticos, forças de segurança, estado, e por último, mas não menos importante, nós, utilizadores.
A lista actual das equipas CSIRT/CERT pode ser encontrada em: