Panorama de incidentes de

segurança nas redes

acadêmicas brasileiras

Centro de Atendimento a Incidentes de Segurança – CAIS

Rede Nacional de Ensino e Pesquisa – RNP

Atanaí Sousa Ticianelli Coordenador de segurança

Gestão de Incidentes de Segurança - GIS

Agenda • Rede Nacional de Ensino e Pesquisa – RNP

• Centro de Atendimento a Incidentes de Segurança – CAIS

• Tratamento de Incidentes de Segurança

• Histórico e incidentes em 2011

• Incidentes por estado

• Código malicioso

• Conteúdo abusivo

• Fraude

• Tentativas de intrusão

• Demais categorias

Rede Nacional de Ensino e Pesquisa - RNP

• Criada em 1989 pelo MCT

• Primeira rede de acesso à internet no Brasil

• Conexão de internet para instituições de ensino superior e

unidades de pesquisa (Rede Ipê)

• Desenvolvimento e uso de aplicações avançadas em rede

• Treinamento de profissionais em redes

• Rede Ipê: sexta geração

– Mais de 800 instituições conectadas

– 3,5 milhões de usuários estimados

– 27.500 grupos de pesquisa beneficiados

– Universidades federais, escolas agrotécnicas, centros

federais de educação tecnológica, centros de pesquisa,

hospitais, museus, outros.

“A RNP está na ponta de lança da

construção de uma sociedade do

conhecimento. Depende do Plano Nacional

de Banda Larga e da RNP dar suporte às

instituições brasileiras de formação de

capital humano.”

Aluízio Mercadante – MCTI – 13/07/2011

Rede Nacional de Ensino e Pesquisa - RNP

• Rede Ipê: sexta geração

– Mais de 800 instituições conectadas

– 3,5 milhões de usuários estimados

– 27.500 grupos de pesquisa beneficiados

– Universidades federais, escolas agrotécnicas, centros

federais de educação tecnológica, centros de pesquisa,

hospitais, museus, outros.

“A RNP está na ponta de lança da

construção de uma sociedade do

conhecimento. Depende do Plano Nacional

de Banda Larga e da RNP dar suporte às

instituições brasileiras de formação de

capital humano.”

Aluízio Mercadante – MCTI – 13/07/2011

Rede Nacional de Ensino e Pesquisa - RNP

Centro de Atendimento a Incidentes de Segurança

• CAIS

– Área criada em 1997 na RNP

– Detecção, resolução e prevenção de incidentes de

segurança

– Divulgação de informações e alertas de segurança

– Quatro sub-áreas

• Disseminação da Cultura de Segurança (DCS)

• Gestão de Riscos e Segurança da Informação (GRSI)

• Infraestrutura e Serviços à Comunidade Acadêmica (SERV)

• Gestão de Incidentes de Segurança (GIS)

Tratamento de Incidentes de Segurança

• Gestão de incidentes de segurança (GIS)

– Papel de coordenação e suporte aos clientes

– Atuação nos núcleos da RNP e no backbone

– 2 analistas dedicados ao T.I.

Recebimento da

notificação

Análise e triagem

Encaminhamento do

incidente

Resposta ao reclamante

Histórico e incidentes em 2011

• Em 2011:

– Total de 319.327 incidentes tratados

– 20% a mais incidentes que 2009

– 204% a mais que 2010

– Processos de automação

– Novas fontes de monitoramento de incidentes

5 36 473 2.053 7.209 12.114 20.190 29.640

61.323 70.815

35.766 35.939

266.798

105.030

319.327

0

50.000

100.000

150.000

200.000

250.000

300.000

350.000

1997 1998 1999 2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011

• MS 08-067

• MS Server Services

• Senhas fracas

• USB

Conficker

(Configure “s/i/u”)

Restruturação

• Automação

• Taxonomia

• Novas fontes de

incidentes

Incidentes por estado

1.131

8.491

1.108 1.211

224

7.058

26.028

3.005

6.104

3.716

21.794

1.702

4.472 6.001

20.350

25.010

2.321

21.341

65.128

7.288

974

419

8.439

48.602

1.736

10.157

3.317

12.200

1

10

100

1.000

10.000

100.000

AC AL AM AP BA CE DF ES GO MA MG MS MT PA PB PE PI PR RJ RN RO RR RS SC SE SP TO -

TOTAL

– 23 estados possuem índice de fechamento de incidentes

menor que 1%

• Incluindo RJ, SC, DF, PE, MG, PR e PB (> 20K incidentes)

– Estados com melhores índices no combate a incidentes

de segurança

• BA: ~9%

• RS: ~4,5%; AM: ~3,2 % ; SP: ~1,4%

Incidentes por estado

1

10

100

1.000

10.000

100.000 T

Código malicioso

– Vírus, worms, trojans, bots, spywares, scripts, outros

– Representam 90% do total de incidentes na Rede Ipê

(286.397 incidentes)

– Botnets: 98% das infecções

281.965

159

10

4.268

1 10 100 1.000 10.000 100.000 1.000.000

Bot

Worm

Virus

Outros

Código malicioso

• Conficker na RNP (2011):

– 154.890 incidentes (~ 48% dos incidentes)

– 9.822 ips únicos

– 1.472 redes /24 únicas

• Conficker no mundo:

– Conficker A+B+C (2012-03-07)

Total hits HTTP: 672.627.608

IP's únicos: 2.931.401

ASN's únicos: 14.439

GEO's únicas: 226

http://www.confickerworkinggroup.org

Código malicioso

• Conficker na RNP (2011):

– 154.890 incidentes (~ 48% dos incidentes)

– 9.822 ips únicos

– 1.472 redes /24 únicas

• Conficker no mundo:

– Conficker A+B+C (2012-03-07)

Total hits HTTP: 672.627.608

IP's únicos: 2.931.401

ASN's únicos: 14.439

GEO's únicas: 226

http://www.confickerworkinggroup.org

0

200

400

600

800

1.000

1.200

1.400

Jan Fev Mar Abr Mai Jun Jul Ago Set Out Nov Dez

Conteúdo abusivo

– Envio de spam, casos de difamação, assédio,

discriminação, outros.

– 10.857 notificações em 2011 (3,34% do total anual)

0

200

400

600

800

1.000

1.200

1.400

Jan Fev Mar Abr Mai Jun Jul Ago Set Out Nov Dez

Conteúdo abusivo

– Envio de spam, casos de difamação, assédio,

discriminação, outros.

– 10.857 notificações em 2011 (3,34% do total anual)

m86_security_labs_report_2h2011.pdf

0

200

400

600

800

1.000

1.200

1.400

Jan Fev Mar Abr Mai Jun Jul Ago Set Out Nov Dez

Conteúdo abusivo

– Envio de spam, casos de difamação, assédio,

discriminação, outros.

– 10.857 notificações em 2011 (3,34% do total anual)

m86_security_labs_report_2h2011.pdf

Botnet Xarvester

• 2009/2010

• 2011

• Replica watches

• Produtos farmacêuticos

Fraude

– Violam direitos autoriais

– Entidade assume de forma ilegítima a identidade de outra

– Utilização de recursos de forma não autorizada

– 9.973 notificações em 2011 (3,12% do total anual)

4.835

2.680

2.458

2.284

1.676

2.491

0 1.000 2.000 3.000 4.000 5.000 6.000

2011 2010

Violação de direitos

autorais

Uso de recursos de

forma não autorizada

Fingir ou falsificar

identidade ou instituição

Tentativas de intrusão

2.671

4.347

1.871

0 1.000 2.000 3.000 4.000 5.000

Tentativa de exploração de vulnerabilidades

Tentativa de login

Outros

– XSS, SQL Injection

– SSH, Mail, FTP

– 8.889 notificações em 2011 (2,78% do total anual)

Demais categorias

335

284

38

2.554

1 10 100 1.000 10.000

Prospecção por informações

Intrusão

Indisponibilidade de serviço ou informação

Outros

Scan em portas

diversas, icmp, etc

Aplicação: 265

Conta de usuário: 19

(D) DoS

Atanaí Sousa Ticianelli <atanai at cais.rnp.br>

Centro de Atendimento a Incidentes de Segurança –

CAIS/RNP

http://www.rnp.br/cais/

@cais_rnp

Notificação de Incidentes

Para encaminhar incidentes de segurança envolvendo redes conectadas à

RNP:

1. E-mail: cais@cais.rnp.br

Para envio de informações criptografadas use a chave PGP pública do

CAIS: http://www.rnp.br/cais/cais-pgp.key

2. Formulário para Notificação de Incidentes de Segurança:

http://www.rnp.br/cais/atendimento_form.html

Hotline INOC-DBA (Inter-NOC Dial-By-ASN): 1916*800

Atendimento Emergencial: Para contato fora do horário comercial (09:00 -

18:00 - Horário de Brasília) por favor utilize o telefone (61) 226-9465.

Alertas do CAIS: O CAIS mantém a lista rnp-alerta@cais.rnp.br. Assinatura

aberta à comunidade de segurança. Inscrição através do formulário em:

http://www.rnp.br/cais/alertas/