Incidentes de segurança e uso abusivo da rede

Nesta seção:

2. Registros de Eventos (logs)

2.1. O que são logs?

Os logs são registros de atividades gerados por programas de computador. No caso de logs relativos a incidentes de segurança, eles normalmente são gerados por firewalls1 ou por sistemas de detecção de intrusão.

2.2. O que é um sistema de detecção de intrusão (IDS)?

Um sistema de detecção de intrusão (IDS -- Intrusion Detection System) é um programa, ou um conjunto de programas, cuja função é detectar atividades maliciosas ou anômalas.

IDSs podem ser instalados de modo a monitorar as atividades relativas a um computador ou a uma rede.

2.3. Que tipo de atividade pode ocasionar a geração de um log?

Os firewalls, dependendo de como foram configurados, podem gerar logs quando alguém tenta acessar um computador e este acesso é barrado pelo firewall. Sempre que um firewall gera um log informando que um determinado acesso foi barrado, isto pode ser considerado uma tentativa de invasão, mas também pode ser um falso positivo (vide seção 2.4).

Já os sistemas de detecção de intrusão podem gerar logs tanto para casos de tentativa de invasão, quanto para casos em que um ataque teve sucesso. Apenas uma análise detalhada pode dizer se uma atividade detectada por um IDS foi um ataque com sucesso. Assim como os firewalls, os sistemas de detecção de intrusão também podem gerar falsos positivos.

2.4. O que é um falso positivo?

O termo "falso positivo" é utilizado para designar uma situação em que um firewall ou IDS aponta uma atividade como sendo um ataque, quando na verdade esta atividade não é um ataque.

Um exemplo clássico de falso positivo ocorre no caso de usuários que costumam se conectar em servidores de IRC e que possuem um firewall pessoal. Atualmente boa parte dos servidores de IRC possui uma política de uso que define que um usuário, para se conectar em determinados servidores, não deve possuir em sua máquina pessoal nenhum software que atue como proxy2. Para verificar se um usuário tem algum software deste tipo, ao receberem uma solicitação de conexão por parte de um cliente, os servidores enviam para a máquina do cliente algumas conexões que checam pela existência destes programas. Se o usuário possuir um firewall é quase certo que estas conexões serão apontadas como um ataque.

Outro caso comum de falso positivo ocorre quando o firewall não está devidamente configurado e indica como ataques respostas a solicitações feitas pelo próprio usuário.

2.5. Que tipo de informação está presente em um log?

Os logs relativos a ataques recebidos pela rede, em geral, possuem as seguintes informações:

Dependendo do grau de refinamento da ferramenta que gerou o log ele também pode conter informações como:

[1] Maiores detalhes na seção Firewalls da Parte II: Riscos Envolvidos no Uso da Internet e Métodos de Prevenção. [ voltar ]
[2] A definição de proxy pode ser encontrada no Glossário. [ voltar ]
[3] A definição de endereço IP pode ser encontrada no Glossário. [ voltar ]
[4] Fuso horário. Mais informações em http://www.cert.br/docs/faq1.html. [ voltar ]

[anterior] [próximo] [voltar]

Conteúdo desenvolvido e cedido pela Equipe Brasileira de Respostas para Emergências em Computadores (NBSO), do Comitê Gestor da Internet no Brasil.

Clique na imagem para ir ao documento original: