Incidentes de segurança

na RNP: números e

ações em resposta

2º EnSI

Agenda

• RNP e CAIS

• Incidentes de segurança no backbone acadêmico

• Ações do CAIS no combate a atividade hacker

2

RNP

• Rede Nacional de Ensino e Pesquisa, fundada em

1989 pelo MCT

• Fornece conexão a Internet para instituições de

ensino e pesquisa

• Fomento do uso de aplicações avançadas de rede

• Treinamentos

3

Rede Ipê

• Mais de 800 instituições conectadas

• Número estimado de usuários em 3.5 milhões

• 27.500 grupos de pesquisa beneficiados

• Universidades federais, escolas agrotécnicas,

centros federais de educação tecnológica,

centros de pesquisas, hospital, museus e outros

• Backbone com alta capacidade e disponibilidade

• Instituições conectadas com grande quantidade

de computadores conectados

• Pontos de troca de tráfego com grande

provedores

4

CAIS

• Centro de Atendimento a Incidentes de Segurança

• 15 anos de atuação na área de segurança

• Constituency: instituições conectadas a RNP

6

“O Centro de Atendimento a Incidentes de

Segurança (CAIS) atua na detecção, resolução e

prevenção de incidentes de segurança na rede

acadêmica brasileira, além de elaborar, promover

e disseminar práticas de segurança em redes.”

http://www.rnp.br/cais/sobre.html

Relacionamentos do CAIS

CAIS

Organizações

usuárias

PoPs

CSIRTsacadêmic

os

Andifes

GTs

Governo

APWG

FIRST

Clara

Parceiros de

informação

CAIS - Estrutura

8

CAIS

Gestão de Incidentes de Segurança (GSI)

Disseminação da Cultura de Segurança

(DCS)

Gestão de Riscos e Segurança da

Informãção (GRSI)

Infra-estrutura e Serviços à

Comunidade Acadêmica (SERV)

Tratamento de incidentes

• Papel de coordenação e suporte aos clientes

• Atuação nos núcleos da RNP e no backbone

• 2 analistas dedicados em regime de plantão

9

Recebimento da notificação

Análise e triagem

Análise e triagem

Encaminhamento do

incidente

Encaminhamento do

incidente

Resposta ao reclamanteResposta ao reclamante

Tratamento de incidentes

� Incidentes de segurança que envolvem o backbone

da RNP – AS1916 e 19 clientes (AS1251, AS2715, AS2716,

AS10412, AS10715, AS10881, AS11097, AS11156, AS11242, AS11751, AS13522,

AS14553, AS19200, AS19611, AS19763, AS21506, AS21612, AS22819, AS28579)

� Conta cais@cais.rnp.br

� Os incidentes são reportados por parceiros, CSIRTs,

usuários, provedores ou são identificados pelo CAIS

através dos sistemas de detecção de atividade

maliciosa:

* trocas de páginas (defacements) * botnets/malware

* phishing * spam * sistemas comprometidos

10

Incidentes de Segurança no

Backbone Acadêmico

11

Estatísticas de incidentes (Junho, 2012)

12

5 36 473 2.053 7.209 12.11420.190

29.640

61.32370.815

35.766 35.939

266.798

105.030

319.327

71.689

0

50.000

100.000

150.000

200.000

250.000

300.000

350.000

1997 1998 1999 2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012

Incidentes Reportados Anualmente ao CAIS

1.131

8.491

1.1081.211

224

7.058

26.028

3.005

6.104

3.716

21.794

1.702

4.4726.001

20.350

25.010

2.321

21.341

65.128

7.288

974

419

8.439

48.602

1.736

10.157

3.317

12.200

1

10

100

1.000

10.000

100.000

AC AL AM AP BA CE DF ES GO MA MG MS MT PA PB PE PI PR RJ RN RO RR RS SC SE SP TO -

TOTAL

Estatísticas por categoria (2011)

Estatísticas por categoria (2012)

5.101

52.685

73

4.289

138

51

7.103

2.249

1 10 100 1.000 10.000 100.000

Conteúdo abusivo

Código malicioso

Prospecção por informações

Tentativa de intrusão

Intrusão

Indisponibilidade de serviço ou informação

Segurança da informação

Fraude

Outros

Categorias de ataques ocorridos em 2012

Ocorrências (Log)

Malware

• Vírus, worms, trojans, bots, spywares, scripts,

outros

• Representaram 90% do total de incidentes na

Rede Ipê (286.397)

• Botnets: 98% de infecções – 11.754 IP únicos!

16

281.965

159

10

4.268

1 10 100 1.000 10.000 100.000 1.000.000

Bot

Worm

Virus

Outros

Malware

Todo dia é identificado 9.500 sites maliciosos

17

12 a 14 milhões de buscas levama sites maliciosos

300.000 alertas de download de malware por dia

Fonte: Google

Malware

Em 2011, foram criados 73.000 malwarespor dia

(Fonte: Panda Security)

18

Os antivírus detectaram menos que 12% dos malwares encontrados em 2011

(Fonte: Trustwave Globla Report 2012

Botnets

– Grande vilão atualmente no backbone

– Ataques DDoS

– Backdoors

– Abrigo de dados para distribuição ilegal

– Impacto:

– Atividades cotidianas, sobrecarga dos sistemas

– Mau uso dos recursos da universidade

– Consumo de banda

– Riscos à organização (informações confidenciais)

– Sem saber, facilitamos a realização de crimes!

19

Conteúdo abusivo

• Envio de spam, casos de difamação, assédio,

discriminação, outros

• 3,34% do total anual (10.857)

20

Botnet Xarvester

• 2009/2010

• 2011

• Produtos farmacêuticos

Fraudes

• Violação de direitos autorais

• Fingir ou falsificar identidade

(pessoa/instituição)

• Utilização de recursos de forma não autorizada

• 3,12% do total em 2011 (9.973)

21

4.835

2.680

2.458

2.284

1.676

2.491

0 1.000 2.000 3.000 4.000 5.000 6.000

2011 2010

Violação de direitos

autorais

Uso de recursos de

forma não autorizada

Fingir ou falsificar

identidade ou instituição

Violação de copyright

Infringing Work: Harry Potter and the Chamberof Secrets

Filename: John.Williams.Harry.Potter.and.the.Chamber.of.Secrets.pdf

First Found: 27 May 2012 15:01:13 EDT (GMT-4)

Last Found: 27 May 2012 15:01:13 EDT (GMT-4)

Filesize: 29,609k

IP Address: 200.200.200.200

IP Port: 21408

22

Fonte: Google, 2012

23

Phishing

• Uso de engenharia social para adquirir

informações confidenciais como senhas, dados

financeiros, etc

• Principais meios utilizados: E-mail, IM, Web-

site

• Objetivo: $$$$$

– Realizar compras

– Transferências financeiras

– Vendas de informações no mercado negro

– Pedido de resgate

24

25

26

Fonte: Google

Tentativas de intrusão

• Exploração de vulnerabilidades: XSS, SQL

Injection

• Login: SSH, Mail, FTP

• 2,78% do total (8.889)

27

2.671

4.347

1.871

0 1.000 2.000 3.000 4.000 5.000

Tentativa de exploração de

vulnerabilidades

Tentativa de login

Outros

Desfiguração de sites

28

Agosto/2012

DDoS

• Arma de grupos hackers e grupos auto-

intitulado “ciberativistas”

• Diversos grupos “recrutam” usuários para

apoiar a “causa”

• Instituições de áreas diversas estão sendo

afetadas por este “movimento”

29

DDoS na Rede Ipê

• Uma importante instituição sofreu um ataque

de 700Mbps em um período crítico de suas

atividades

• Instituições educacionais foram citadas no IRC

para serem alvos de ataques

• 38 ataques críticos em 2011

31

DDoS na Rede Ipê

32

DDoS na Rede Ipê

• “Remember… Remember… The 5th

November.”

‒ Vários grupos anunciaram ataques contrainstitiuições em 5 de Novembro, em alusão adata mencionada no filme “V de Vingança”

‒ Só neste dia, foram detectados 10 ataques naRede Ipê

‒ Os ataques começaram às 15:30 e terminou 40minutos depois

‒ Cerca de 1.9Gpbs de tráfegomalicioso detectado!

33

Ações do CAIS para o combate a

atividade hacker

34

Reativo – Tratamento de Incidente

• Repasse do incidente aos responsáveis

• Auxílio às instituições da RNP na

solução de problemas

• Todas as notificações são respondidas

• Baixo tempo de atendimento ao

incidente

• Uso de scripts

• Coordenação de ações

• Combate ao Conficker no Backbone

da RNP35

Divulgação de alertas de segurança

• Visa alertar a comunidade de

vulnerabilidades críticas a fim de evitar

a sua exploração

• rnp-alertas@cais.rnp.br

• 25 em 2011, 08 em 2012

• 3907 inscritos

• Vulnerabildades em softwares e outros

36

Publicações

• CAIS-Resumo

• Pesquisa de segurança da rede

acadêmica

• Cartilhas de segurança

37

Educação

• Palestras

• GTS, FIRST, YSTS, ENSI, Bsides-BR

• Cursos

• SCI/RNP, FIRST, CLARA-TEC

• Realização de palestras e cursos em

instituições

38

Catálogo de Fraudes

• Informar as principais fraudes em

circulação na Internet brasileira

• Grande colaboração da comunidade

• 4135 fraudes cadastradas

39

http://www.rnp.br/cais/fraudes.php

Catálogo de Fraudes

• Colabore!!!

• phishing@cais.rnp.br

40

Participação e realização de eventos

41

CAIS

EnCSIRTs

COLARIS FIRST

DISI

• Dia Internacional de Segurança em

Informática

• Realizado desde 2005

• Transmitido pela Internet em PT, EN e ES

42

43

44

“In the space of one hour, my entire digital life was

destroyed. First my Google account was taken over,

then deleted. Next my Twitter account was

compromised, and used as a platform to broadcast

racist and homophobic messages. And worst of all, my

AppleID account was broken into, and my hackers

used it to remotely erase all of the data on my

iPhone, iPad, and MacBook. “

DISI ‘12

• 29 de agosto de 2012

• São Paulo/SP

45

http://disi.rnp.br

Participe!!!

Carla Freitas

(carla@cais.rnp.br)

Centro de Atendimento a Incidentes de Segurança

(cais@cais.rnp.br)

http://www.rnp.br/cais