Requisitos Mínimos de Segurança para CPEs: a Experiência de Construir uma Recomendação Global
Resumo
Devido a vulnerabilidades no software embarcado e nas configurações padrão, CPEs (Computer Premises Equipments) têm sido alvo de uma variedade de abusos. Este cenário, que traz prejuízos diversos aos provedores de acesso, motivou diversos grupos de trabalho anti-abuso e de operações de rede a reunir-se e definir um conjunto de requisitos mínimos de segurança para estes dispositivos. Este artigo é um estudo de caso, que descreve o processo de construção destes requisitos em um grupo de trabalho multissetorial e com participação de profissionais de diversos países e especialidades. Também são apresentados os principais pontos que foram consenso e que fazem parte da recomendação final deste grupo de trabalho.Referências
Desiderá, L. (2018). BCOP Requisitos de Segurança em CPE: Um Pouco de História. IX Fórum 12. Disponível em: https://forum.ix.br/2018/.
Hoepers, C. (2016). Problemas de Seguranc¸a e Incidentes com CPEs e Outros Dispositivos. 20o Fórum de Certificação para Produtos de Telecomunicações Disponível em: https://www.cert.br/docs/palestras/certbr-forum-anatel2016.pdf.
Hoepers, C. (2017). Notable trends in Brazil: BGP hijacking for financial fraud and the evolution of Mirai. 2017 Annual Meeting of CSIRTs with National Responsibility. Disponível em: https://www.cert.br/docs/palestras/certbr-natcsirts2017-1.pdf.
LACNOG/M3AAWG (2019). LACNOG-M3AAWG Joint Best Current Operational Practices on Minimum Security Requirements for Customer Premises Equipment (CPE) Acquisition. Best Current Operational Practices, LACNOG/M3AAWG. https://www.m3aawg.org/CPESecurityBP.
O’Flaherty, C. and Desiderá, L. (2017). Boas Práticas e Cooperação na Luta Contra Abusos de Rede. GTER 43. Disponível em: ftp://ftp.registro.br/pub/gter/gter43/05-LAC-AAWG.pdf.
Vixie, P., King, C., and Spring, J. (2014). Abuse of Customer Premise Equipment and Recommended Actions. Technical Report CERTCC-2014-48, SEI/CMU. https://resources.sei.cmu.edu/asset_files/WhitePaper/2014_019_001_312679.pdf.
Hoepers, C. (2016). Problemas de Seguranc¸a e Incidentes com CPEs e Outros Dispositivos. 20o Fórum de Certificação para Produtos de Telecomunicações Disponível em: https://www.cert.br/docs/palestras/certbr-forum-anatel2016.pdf.
Hoepers, C. (2017). Notable trends in Brazil: BGP hijacking for financial fraud and the evolution of Mirai. 2017 Annual Meeting of CSIRTs with National Responsibility. Disponível em: https://www.cert.br/docs/palestras/certbr-natcsirts2017-1.pdf.
LACNOG/M3AAWG (2019). LACNOG-M3AAWG Joint Best Current Operational Practices on Minimum Security Requirements for Customer Premises Equipment (CPE) Acquisition. Best Current Operational Practices, LACNOG/M3AAWG. https://www.m3aawg.org/CPESecurityBP.
O’Flaherty, C. and Desiderá, L. (2017). Boas Práticas e Cooperação na Luta Contra Abusos de Rede. GTER 43. Disponível em: ftp://ftp.registro.br/pub/gter/gter43/05-LAC-AAWG.pdf.
Vixie, P., King, C., and Spring, J. (2014). Abuse of Customer Premise Equipment and Recommended Actions. Technical Report CERTCC-2014-48, SEI/CMU. https://resources.sei.cmu.edu/asset_files/WhitePaper/2014_019_001_312679.pdf.
Publicado
02/09/2019
Como Citar
DESIDERÁ, Lucimara; STEDING-JESSEN, Klaus; HOEPERS, Cristine.
Requisitos Mínimos de Segurança para CPEs: a Experiência de Construir uma Recomendação Global. In: WORKSHOP DE REGULAÇÃO, AVALIAÇÃO DA CONFORMIDADE E CERTIFICAÇÃO DE SEGURANÇA, 5. , 2019, São Paulo.
Anais [...].
Porto Alegre: Sociedade Brasileira de Computação,
2019
.
p. 17-22.
DOI: https://doi.org/10.5753/wrac.2019.14033.
