05 de dezembro de 2016 são paulo, sp - ix.brix.br/doc/ixforum/10/ixbrforum10_day1_certbr-  · são

Download 05 de dezembro de 2016 São Paulo, SP - ix.brix.br/doc/ixforum/10/ixbrforum10_day1_certbr-  · São

Post on 08-Nov-2018

214 views

Category:

Documents

0 download

Embed Size (px)

TRANSCRIPT

  • IX Frum 10 05 de dezembro de 2016

    So Paulo, SP

  • IoT no cenrio atual de ataques DDoS

    Miriam von Zuben miriam@cert.br

  • Cenrio atual

  • Ataques DDoS Estatsticas CERT.br

    Ano

    Notificaes

    Notificaes sobre computadores participando em ataques de DoS1999 -- 2015

    25360

    25360

    223935

    223935

    1030

    1030

    309

    309

    272

    272

    198

    198

    896

    896

    327

    327

    954

    954

    277

    277

    96

    96

    104

    104

    50

    50

    62

    62

    26

    26

    159

    159

    21

    21

    2015

    2014

    2013

    2012

    2011

    2010

    2009

    2008

    2007

    2006

    2005

    2004

    2003

    2002

    2001

    2000

    1999

    10 20 40 100 200 400 1k 2k 4k 10k 20k 40k 100k 200k 400k 1M

    CERT.br -- by Highcharts.com

  • Estatsticas CERT.br 2014 Aumento de 217 vezes nas notificaes de ataques DDoS Maior parte das notificaes foram ataques DRDoS a partir do Brasil Servios UDP permitindo abuso:

    SNMP, SSDP, DNS recursivo aberto, etc

    2015 Notificao de ataques DDoS 89% menor que 2014 Scans por SSDP (1900/UDP) fator de amplificao de 30.8 vezes 2012: posio 107 2015: posio 18

    crescimento de scans de Telnet (23/TCP) scans visando equipamentos de rede alocados s residncias de

    usurios finais, tais como modems ADSL e cabo, roteadores Wi-Fi, etc

  • Notificaes ao CERT.br: Scans por 23/TCP 2013 a jun/2016

    0

    10

    20

    30

    40

    50

    60

    70

    01/2013 01/2014 01/2015 01/2016 06/2016

    Porc

    enta

    gem

    das

    not

    ifica

    es

    de

    scan

    por

    ms

    Perodo: 01/2013 a 06/2016

    Varreduras por 23/TCP

    Porcentagem das Notificaes de Scan

  • Dados atualizados dos sensores do CERT.br: Endereos IP nicos infectados com Mirai

    100k

    300k

    500k

    700k

    900k

    1.1M

    1.3M

    1.5M15

    /09

    20/0

    922

    /09

    30/0

    9

    21/1

    0

    27/1

    1

    01/1

    2

    IPs

    nic

    os a

    tivos

    por

    dia

    Perodo: 15/09/2016 a 01/12/2016

    IPs Infectados com Mirai - todas as variantes: Total Mundial e Brasil

    Total MundialBrasil

    01/08 Primeira apario Mirai

    20 - 22/09 Blog Brian Krebs - 620 Gbps

    28/09 OVH - 1Tbps

    30/09 Vazamento cdigo fonte Mirai

    21/10 DynDNS

    07/11 vulnerabilidade TR pblica

    27/11 Deutsch Telecom 900.000 roteadores banda larga

  • Caractersticas dos ataques recentes (1/2)

    Foco em dispositivos com verses enxutas de Linux para sistemas embarcados arquiteturas ARM, MIPS, PowerPC, etc

    Grande base vulnervel sem gerncia remota sem instalao de patches autenticao fraca e backdoors do fabricante configuraes padro de fbrica inseguras

    senhas padro, do dia, para manuteno" servios como Telnet habilitados servios UDP permitindo abuso para amplificao SNMP, SSDP, DNS recursivo aberto

    Botnets de dispositivos IoT CPEs, DVRs, CCTVs, NAS, roteadores domsticos, etc

  • Caractersticas dos ataques recentes (2/2)

    Propagao do malware Inicial: via Telnet (23/TCP e 2323/TCP)

    explorando senhas fracas ou padro Variantes: via protocolos vulnerveis (7547/TCP e 5555/TCP)

    TR-069: CPE WAN Management Protocol (CWMP) TR-069 NewNTPServer vulnerability

    TR-064: LAN-Side DSL CPE Configuration acessvel via WAN sem autenticao

    Qual o limite? 1.351 cmeras de vdeo ataque 300 Gbps (sem amplificao) * 1.4M de equipamentos com Mirai X (sem amplificao) 1.4M de equipamentos com Mirai Y (com amplificao)

    * http://www.lacnic.net/web/eventos/lacnic25-agenda-lacsec#viernes

  • Desafios para Melhorar o Cenrio

  • Nos Fabricantes, Velhos Problemas (1/2)

    Preocupao zero com segurana algum far a segurana depois...

    Falta de Autenticao para conectar e receber comandos para fazer atualizaes

    Empresas de diversos setores agora desenvolvem software, mas no agem como tal equipe de segurana de produto e PSIRT? planejamento de atualizaes no ciclo de vida do produto? segurana de engenharia de software?

  • Nos Fabricantes, Velhos Problemas (2/2)

    Desafio adicional em IoT: Um chipset diversos fabricantes Ex.: Dentre os fabricantes nacionais de cmeras, temos encontrando

    somente chipsets Dahua e Xiongmai Como atualizar? Recall consegue ser efetivo? (vide caso Xiongmai)

    Lies Aprendidas com a Deutsch Telecom contato pr-estabelecido com o fabricante do CPE criao rpida de novo firmware com a correo da vulnerabilidade planejamento para gerncia e update remotos

    maior parte do parque precisa apenas que o CPE seja desligado e ligado novamente para que inicie a busca por um novo firmware

  • Recomendaes para Usurios de Equipamentos de Telecomunicaes (1/2) Ser criterioso ao escolher o fornecedor verificar se possui poltica de atualizao de firmware verificar histrico de tratamento de vulnerabilidades identificar qual o chipset

    verificar histrico de tratamento de vulnerabilidades do fabricante do chipset fazer testes antes de comprar checar se possvel desabilitar servios desnecessrios e trocar

    senhas

    Antes de fazer a implantao, planejar algum esquema de gerncia remota como atualizar remotamente

  • Recomendaes para Usurios de Equipamentos de Telecomunicaes (2/2) Mesmo escolhendo criteriosamente o fornecedor,

    assumir que os dispositivos viro com srios problemas testar em ambiente controlado assumir que ter um backdoor do fabricante

    Desabilitar servios desnecessrios e mudar senhas padro nem sempre possvel, vide DVRs e o caso antigo do CPE da Arris

    que no permitia desabilitar Telnet

    Manter os equipamentos atualizados

    Utilizar sempre que possvel uma rede de gerncia

  • Recomendaes para provedores de acesso E se IoT comear a usar amplificao?

    Implementar boas prticas: BCP38/BCP84 filtrar pacotes com endereos spoofados http://bcp.nic.br/entenda-o-antispoofing/

    Estatsticas de notificaes enviadas pelo CERT.br para detentores de IPs brasileiros permitindo amplificao

    Ms Servio Endereos IP ASNs

    julho e agosto DNS 79.441 2.401 NTP 29.176 3.945

    setembro e outubro

    NTP 82.594 215 SSDP 4.902 321

    Chargen 316 70 novembro SNMP 560.965 1.865

  • Obrigada www.cert.br

    05 de dezembro de 2016

    miriam@cert.br @certbr

Recommended

View more >