POP-RSCERT-RS
Estatísticas de ataques mais freqüentes à Internet/BR e como evitá-los
Leandro Márcio Bertholdo
POP-RSCERT-RS
O que é o CERT-RS
O CERT-RS realiza estudos sobre a segurança e vulnerabilidade na Internet, provendo serviços de informação a sites e publicando uma variedade de alertas de segurança e pesquisando sobre segurança e sobrevivência na rede e dando dicas para ajudar você a manter a segurança de seu site
POP-RSCERT-RS
Qual a proposta do CERT-RS
• Prover informações sobre segurança
• Cursos presenciais e a distância
• Consultoria especializada sobre estratégias de segurança
• http://www.cert-rs.tche.br
POP-RSCERT-RS
O que será visto
• Recomendações de Segurança do CG
• Incidentes reportados junto ao NIC (Brasil)
• Incidentes reportados junto ao CERT-RS
• Total de Ataques monitorados pelo CERT-RS aos sites do POP-RS & UFRGS
• Soluções recomendadas
POP-RSCERT-RS
A recomendação do Comitê Gestor (CG)
• Identificação de origem (chamada/conexão)
• Proteção aos usuários
• Serviços DNS configurados corretamente
• Contato de segurança
• Equipe de segurança
• Contratos com política de uso aceitável
POP-RSCERT-RS
Incidentes registrados pelo NICBr
(Network Information Center)
Incidencia de Ataques (Brasil) fonte NICBr
ataque-servidor6% ataque-usuario
4%
axfr32%
scan30%
spam24%
dos1%
fraude0%invasao
3%
POP-RSCERT-RS
Incidentes Registrados pelo CERT-RS
23
5
20
38
45
0
5
10
15
20
25
30
35
40
45In
cid
ente
s
1994 1995 1996 1997 1998 1999 (01/Jan-28/Mai)
Ano
Número de Incidentes Registrados por Ano (CERT-RS)
POP-RSCERT-RS
data Ataque Destino
4-Jan-99 tentativa de hackingtnt.com.br
5-Jan-99 tentativa de hackingmk.com.au
6-Jan-99 cgi/telnet pop-rs.rnp.br
6-Jan-99 cgi/telnet cert-rs
6-Jan-99 cgi/telnet pampa.tche.br
11-Jan-99 imap/rpc/cgi/bo ufrgs.br
11-Jan-99 imap/rpc/cgi/bo ufrgs.br
17-Jan-99 bo scan netpar.com.br
18-Jan-99 phf ufrgs.br
18-Jan-99 smurf furg.br
4-Feb-99 transferencia de zona rnp.br
5-Feb-99 bots IRC/nuke kern.com
5-Feb-99 bots IRC/nuke kern.com
POP-RSCERT-RS
data Ataque Destino
8-Feb-99 ataque desconhecido (31223/tcp)
12-Feb-99 acesso indevido(privacidade)
16-Feb-99 buffer overflow mountd cmg.com.br
23-Feb-99 phf horizontes.com.br
1-Mar-99 roubo de senhas (denuncia)
1-Mar-99 roubo de senhas (denuncia)
1-Mar-99 roubo de senhas (denuncia)
2-Mar-99 transferencia de zona fapesp.br
7-Mar-99 CGI skidmore.edu
31-Mar-99 exploit ao innd/nnrpd uri.com.br
10-Apr-99 SPAM znet.com
14-Apr-99 DoS FTP xciv.org
17-Apr-99 scan telnet/rpc/dns/... sanet.de
POP-RSCERT-RS
data Ataque Destino
17-Apr-99 scan completo comroep.nl
19-Apr-99 SPAM netcom.com
21-Apr-99 SPAM iname.com
5-May-99 SPAM flinet.com
7-May-99 SPAM state.ny.us
7-May-99 SPAM cert-rs.tche.br
8-May-99 SPAM aol.com
9-May-99 ISS/coldfusion inf.ufrgs.br
10-May-99 CGI cert-rs.tche.br
11-May-99 transferencia de zona unicamp.br
13-May-99 netbus pop-rs.rnp.br
POP-RSCERT-RS
data Ataque Destino
15-May-99 scan completo pop-rs.rnp.br
18-May-99 SPAM cert-rs.tche.br
20-May-99 hacking & vandalismo
24-May-99 scan completo cert-rs.tche.br
27-May-99 hacking & vandalismo
28-May-99 telnet inf.ufrgs.br
28-May-99 transferencia de zonaufrgs.br
POP-RSCERT-RS
Tentativas de Ataques realizados aos sites da UFRGS e POP-RS e monitorados pelo
CERT-RS
Pacotes X Alvos de Ataques (desconsiderado Windows portas:137,138,139)
52504
9747
73415
291525
14005
930
4165
1048
51080
1547
1126
19784
92175
2294
443
20185
BackOrifice
Netbus
SunRPC
AXFR
Imap
Pop
Xterm
NFS
Snmp
Telnet
Rlogin
WWW
Ftp
Squid
Echo
POP-RSCERT-RS
Observações sobre os Ataques
• Total de tentativas em 2 sites (UFRGS & POP-RS) X registro total do CERT-RS
• tentativas (635973) x registros (45)
POP-RSCERT-RS
Observações sobre os Ataques
• Sem alvo definido (maioria são scans generalizados)
• Ataques totalmente automatizados explorando bugs mais recentes (wu-ftp, pop3, IIS/www, cgi-bin)
• Scans a procura de informações (axfr, snmp)
POP-RSCERT-RS
Observações sobre ataques (continuação)
• Pesquisa de Trapdoors (B.O. & Netbus)
• DoS (Smurf)
POP-RSCERT-RS
Soluções imediatas:
• Adoção de um filtro de pacotes, mesmo que utilizando inicialmente uma política francesa (solução implantada na UFRGS)
• SP5 generalizado em máquinas NT com patches caso a caso para IIS 4.0
• Cuidado com os CGIs (ex. count, test, phf, handler, php, webgais, faxsurvey, perl, ...)
POP-RSCERT-RS
Soluções imediatas (continuação):
• Configuração adequada do router contra IPSpoofing (redes 10, 172.16, 192.168, 127)
• Configuração contra ataques ( no ip source route)
• Configuração contra DoS (no ip-direct-broadcast)
• Não esquecer de bloquear SNMP
POP-RSCERT-RS
Soluções imediatas (continuação):
• Troca de versão FTP(wu-2.5.0) POP3(QPOP 3.0b18)
• Desabilitar serviços não utilizados (NT/Unix)
• Acompanhe alguma lista de segurança (ex: [email protected])
POP-RSCERT-RS
Estatísticas de ataques mais freqüentes à Internet/BR e como evitá-los
Leandro Márcio Bertholdo