|
Acessibilidade do site
Esse programa vai mostrar algumas informações sobre os ataques que você recebeu. Em geral, essas informações são chamadas de registros de eventos, ou simplesmente logs. Esses logs contém o horário e data do ataque, IP de origem, serviço que o atacante tentou usar e o timezone. Alguns programas também fornecem uma informação inicial sobre qual instituição é reponsável pelo número IP que o atacante estava usando.
Mais informações sobre logs podem ser encontradas no Capítulo 7 da Cartilha de Segurança para Internet, na Seção 7.6. Registro de eventos (Logs).
O IP é um número, único para cada computador, utilizado para identificá-lo na Internet. Por exemplo: 192.0.2.1
Você deve fazer uma reclamação, para a rede de onde veio o ataque, que contenha todos os logs relacionados com o ataque que seu programa reportou.
Mande as reclamações diretamente para os e-mails de contato do provedor/rede de onde partiram os ataques, colocando sempre cert@cert.br no campo "Cc:" da mensagem.
Isso ocorre porque os programas em geral fazem consultas aos servidores de whois do ARIN e não a servidores de whois mais específicos.
Os blocos de endereços IP alocados para o Brasil estão sob a administração do LACNIC, que cuida da alocação dos endereços IP para a América Latina e Caribe, por isso o e-mail <whois-contact@lacnic.net> é muitas vezes informado como sendo da pessoa responsável pela rede de onde partiu o ataque.
Caso tenha obtido o e-mail <whois-contact@lacnic.net> como contato você precisa fazer uma consulta a outro servidor de whois. Nas questões 7. e 8. você encontra informações sobre como fazê-lo.
Quando alguém registra um domínio na internet ou recebe um bloco de endereços IP, estes dados ficam armazenados para consulta posterior em um servidor, que é chamado de servidor de whois.
No Brasil, o servidor que mantém as informações sobre os IPs e domínios brasileiros é o servidor whois.nic.br, que também pode ser consultado via Web através da página http://registro.br.
Para encontrar os e-mails de contato e o endereço de um provedor basta entrar no site do Registro.br e consultar pelo nome do domínio ou pelo número IP, em:
Isso significa que não é uma rede brasileira. Você pode então descobrir os e-mails de contato fazendo a consulta em:
http://www.geektools.com/whois.php
No campo "Whois:" você deve digitar o número IP e no campo "Key:" você deve digitar os caracteres de confirmação solicitados, que aparecem logo acima deste campo.
Não. Esses e-mails são das pessoas que administram a rede de onde partiu o ataque. Enviando a reclamação para estas pessoas, com os logs, elas poderão localizar o real atacante e então agir de acordo com a política da rede que administram.
Os logs gerados por programas como Black Ice, Norton, Jammer, Zone Alarm, esafe, entre outros, apenas mostram que houve um ataque e não que houve uma invasão. Ou seja, estes logs geralmente mostram que alguém tentou invadir, mas que não teve sucesso.
Não, esta mensagem não indica uma invasão. A escolha das palavras usadas na mensagem do programa é que dá margem à confusão. Infelizmente o uso da palavra "invasor" faz com que muitas pessoas achem que o atacante realmente entrou na máquina, quando na verdade foi apenas uma tentativa.
Você deve incluir na mensagem os logs do ocorrido, com data, horário e timezone. Envie sempre em formato texto.
Quanto mais informação você incluir melhor. Abaixo seguem 4 exemplos de logs que contém as informações necessárias:
07/01/2001 11:53:00 SubSeven port probe IP x.x.x.x 3 tentativas
The firewall has blocked Internet access to your computer
(TCP Port 27374) from x.x.x.x (TCP Port 1569).
Time: 16/01/01 17:14:28
Date : 2001-01-14
Time (GMT) : 10:01:47
Attack Type : TCP OS fingerprint
Intruder IP : x.x.x.x
Intruder Name :
Port : port=111&flags=SF&options=
Attack Count : 3
Victim IP : x.x.x.x
21 de jan de 2001 23:56:09, Port 1243, TCP, Sub7 Trojan Horse
IP x.x.x.x
(OBS: todos os endereços IP foram trocados por "x.x.x.x")
Procure sempre enviar os logs em formato ASCII (texto puro). Evite enviar logs em formatos como: .bmp, .doc, .xls, .zip, .png, etc.
Timezone é o fuso horário.
Considerando o horário de Brasília, o Timezone é "GMT-3", mas no horário de verão ele muda para "GMT-2". Mas veja que isso só vale para quem entra no horário de verão e acompanha o horário de Brasília. Se você mora em uma região que não segue o horário de Brasília, informe-se sobre o timezone de sua região.
Essa informação é muito importante, pois se você estiver em um fuso horário e quem atacou sua máquina em outro, a identificação não será possível se não for fornecido o timezone correto.
Tentativas de invasão não são consideradas crime. Qualquer tipo de punição aos usuários que tenham feito apenas tentativas de invasão dependerá exclusivamente da política de uso aceitável do provedor de acesso ao qual o atacante pertence.
Em casos em que é comprovada uma invasão, tendo-se provas ligando danos causados à sua máquina com um endereço IP de onde tenha vindo de fato uma invasão (e não apenas uma tentativa), pode-se levar o caso à polícia.
Não. Os provedores só poderão liberar os dados pessoais de quem estava utilizando um deteminado IP mediante mandado judicial.
As ações do CERT.br têm sido em duas frentes:
Para permitir que estas ações sejam mais efetivas nós temos partes deste processo já automatizadas, de forma a torná-lo mais ágil e capaz de lidar com um volume maior de informações.
A recomendação para aqueles que receberem e-mails de phishing/scam é que os enviem, com conteúdo e cabeçalhos completos, para o e-mail <cert@cert.br>. Deste modo podemos contatar o site que está hospedando o cavalo de tróia, verificar se este já é detectado pelos softwares antivírus e tomar as ações necessárias.
Vale ressaltar que todas as notificações de fraudes são tratadas, porém, devido ao grande volume de notificações, nem todas as mensagens são respondidas individualmente.
Muitas informações estão disponíveis na "Cartilha de Segurança para Internet", que pode ser obtida em:
Caso você tenha mais alguma dúvida ou deseje colaborar com esta FAQ por favor envie e-mail para faq@cert.br.
$Date: 2022/03/16 19:17:47 $