POP-RSCERT-RS

Estatísticas de ataques mais freqüentes à Internet/BR e como evitá-los

Leandro Márcio Bertholdo

berthold@pop-rs.rnp.br

POP-RSCERT-RS

O que é o CERT-RS

O CERT-RS realiza estudos sobre a segurança e vulnerabilidade na Internet, provendo serviços de informação a sites e publicando uma variedade de alertas de segurança e pesquisando sobre segurança e sobrevivência na rede e dando dicas para ajudar você a manter a segurança de seu site

POP-RSCERT-RS

Qual a proposta do CERT-RS

• Prover informações sobre segurança

• Cursos presenciais e a distância

• Consultoria especializada sobre estratégias de segurança

• http://www.cert-rs.tche.br

POP-RSCERT-RS

O que será visto

• Recomendações de Segurança do CG

• Incidentes reportados junto ao NIC (Brasil)

• Incidentes reportados junto ao CERT-RS

• Total de Ataques monitorados pelo CERT-RS aos sites do POP-RS & UFRGS

• Soluções recomendadas

POP-RSCERT-RS

A recomendação do Comitê Gestor (CG)

• Identificação de origem (chamada/conexão)

• Proteção aos usuários

• Serviços DNS configurados corretamente

• Contato de segurança

• Equipe de segurança

• Contratos com política de uso aceitável

POP-RSCERT-RS

Incidentes registrados pelo NICBr

(Network Information Center)

Incidencia de Ataques (Brasil) fonte NICBr

ataque-servidor6% ataque-usuario

4%

axfr32%

scan30%

spam24%

dos1%

fraude0%invasao

3%

POP-RSCERT-RS

Incidentes Registrados pelo CERT-RS

23

5

20

38

45

0

5

10

15

20

25

30

35

40

45In

cid

ente

s

1994 1995 1996 1997 1998 1999 (01/Jan-28/Mai)

Ano

Número de Incidentes Registrados por Ano (CERT-RS)

POP-RSCERT-RS

data Ataque Destino

4-Jan-99 tentativa de hackingtnt.com.br

5-Jan-99 tentativa de hackingmk.com.au

6-Jan-99 cgi/telnet pop-rs.rnp.br

6-Jan-99 cgi/telnet cert-rs

6-Jan-99 cgi/telnet pampa.tche.br

11-Jan-99 imap/rpc/cgi/bo ufrgs.br

11-Jan-99 imap/rpc/cgi/bo ufrgs.br

17-Jan-99 bo scan netpar.com.br

18-Jan-99 phf ufrgs.br

18-Jan-99 smurf furg.br

4-Feb-99 transferencia de zona rnp.br

5-Feb-99 bots IRC/nuke kern.com

5-Feb-99 bots IRC/nuke kern.com

POP-RSCERT-RS

data Ataque Destino

8-Feb-99 ataque desconhecido (31223/tcp)

12-Feb-99 acesso indevido(privacidade)

16-Feb-99 buffer overflow mountd cmg.com.br

23-Feb-99 phf horizontes.com.br

1-Mar-99 roubo de senhas (denuncia)

1-Mar-99 roubo de senhas (denuncia)

1-Mar-99 roubo de senhas (denuncia)

2-Mar-99 transferencia de zona fapesp.br

7-Mar-99 CGI skidmore.edu

31-Mar-99 exploit ao innd/nnrpd uri.com.br

10-Apr-99 SPAM znet.com

14-Apr-99 DoS FTP xciv.org

17-Apr-99 scan telnet/rpc/dns/... sanet.de

POP-RSCERT-RS

data Ataque Destino

17-Apr-99 scan completo comroep.nl

19-Apr-99 SPAM netcom.com

21-Apr-99 SPAM iname.com

5-May-99 SPAM flinet.com

7-May-99 SPAM state.ny.us

7-May-99 SPAM cert-rs.tche.br

8-May-99 SPAM aol.com

9-May-99 ISS/coldfusion inf.ufrgs.br

10-May-99 CGI cert-rs.tche.br

11-May-99 transferencia de zona unicamp.br

13-May-99 netbus pop-rs.rnp.br

POP-RSCERT-RS

data Ataque Destino

15-May-99 scan completo pop-rs.rnp.br

18-May-99 SPAM cert-rs.tche.br

20-May-99 hacking & vandalismo

24-May-99 scan completo cert-rs.tche.br

27-May-99 hacking & vandalismo

28-May-99 telnet inf.ufrgs.br

28-May-99 transferencia de zonaufrgs.br

POP-RSCERT-RS

Tentativas de Ataques realizados aos sites da UFRGS e POP-RS e monitorados pelo

CERT-RS

Pacotes X Alvos de Ataques (desconsiderado Windows portas:137,138,139)

52504

9747

73415

291525

14005

930

4165

1048

51080

1547

1126

19784

92175

2294

443

20185

BackOrifice

Netbus

SunRPC

AXFR

Imap

Pop

Xterm

NFS

Snmp

Telnet

Rlogin

WWW

Mail

Ftp

Squid

Echo

POP-RSCERT-RS

Observações sobre os Ataques

• Total de tentativas em 2 sites (UFRGS & POP-RS) X registro total do CERT-RS

• tentativas (635973) x registros (45)

POP-RSCERT-RS

Observações sobre os Ataques

• Sem alvo definido (maioria são scans generalizados)

• Ataques totalmente automatizados explorando bugs mais recentes (wu-ftp, pop3, IIS/www, cgi-bin)

• Scans a procura de informações (axfr, snmp)

POP-RSCERT-RS

Observações sobre ataques (continuação)

• Pesquisa de Trapdoors (B.O. & Netbus)

• DoS (Smurf)

POP-RSCERT-RS

Soluções imediatas:

• Adoção de um filtro de pacotes, mesmo que utilizando inicialmente uma política francesa (solução implantada na UFRGS)

• SP5 generalizado em máquinas NT com patches caso a caso para IIS 4.0

• Cuidado com os CGIs (ex. count, test, phf, handler, php, webgais, faxsurvey, perl, ...)

POP-RSCERT-RS

Soluções imediatas (continuação):

• Configuração adequada do router contra IPSpoofing (redes 10, 172.16, 192.168, 127)

• Configuração contra ataques ( no ip source route)

• Configuração contra DoS (no ip-direct-broadcast)

• Não esquecer de bloquear SNMP

POP-RSCERT-RS

Soluções imediatas (continuação):

• Troca de versão FTP(wu-2.5.0) POP3(QPOP 3.0b18)

• Desabilitar serviços não utilizados (NT/Unix)

• Acompanhe alguma lista de segurança (ex: infoseg@pop-rs.rnp.br)

POP-RSCERT-RS

Estatísticas de ataques mais freqüentes à Internet/BR e como evitá-los

Leandro Márcio Bertholdo

berthold@pop-rs.rnp.br