Estat

1
CERT-RS
POP-RS

• Estatísticas de ataques mais freqüentes à
  Internet/BR e como evitá-los
• Leandro Márcio Bertholdo
• berthold_at_pop-rs.rnp.br

2
CERT-RS
POP-RS

• O que é o CERT-RS
• O CERT-RS realiza estudos sobre a segurança e
  vulnerabilidade na Internet, provendo serviços de
  informação a sites e publicando uma variedade de
  alertas de segurança e pesquisando sobre
  segurança e sobrevivência na rede e dando dicas
  para ajudar você a manter a segurança de seu site

3
CERT-RS
POP-RS

• Qual a proposta do CERT-RS
• Prover informações sobre segurança
• Cursos presenciais e a distância
• Consultoria especializada sobre estratégias de
  segurança
• http//www.cert-rs.tche.br

4
CERT-RS
POP-RS

• O que será visto
• Recomendações de Segurança do CG
• Incidentes reportados junto ao NIC (Brasil)
• Incidentes reportados junto ao CERT-RS
• Total de Ataques monitorados pelo CERT-RS aos
  sites do POP-RS UFRGS
• Soluções recomendadas

5
CERT-RS
POP-RS

• A recomendação do Comitê Gestor (CG)
• Identificação de origem (chamada/conexão)
• Proteção aos usuários
• Serviços DNS configurados corretamente
• Contato de segurança
• Equipe de segurança
• Contratos com política de uso aceitável

6
CERT-RS
POP-RS

• Incidentes registrados pelo NICBr
• (Network Information Center)

7
(No Transcript)
8
(No Transcript)
9
(No Transcript)
10
CERT-RS
POP-RS

• Incidentes Registrados pelo CERT-RS

11
(No Transcript)
12
CERT-RS
POP-RS

• data Ataque Destino
• 4-Jan-99 tentativa de hacking tnt.com.br
• 5-Jan-99 tentativa de hacking mk.com.au
• 6-Jan-99 cgi/telnet pop-rs.rnp.br
• 6-Jan-99 cgi/telnet cert-rs
• 6-Jan-99 cgi/telnet pampa.tche.br
• 11-Jan-99 imap/rpc/cgi/bo ufrgs.br
• 11-Jan-99 imap/rpc/cgi/bo ufrgs.br
• 17-Jan-99 bo scan netpar.com.br
• 18-Jan-99 phf ufrgs.br
• 18-Jan-99 smurf furg.br
• 4-Feb-99 transferencia de zona rnp.br
• 5-Feb-99 bots IRC/nuke kern.com
• 5-Feb-99 bots IRC/nuke kern.com

13
CERT-RS
POP-RS

• data Ataque Destino
• 8-Feb-99 ataque desconhecido (31223/tcp)
• 12-Feb-99 acesso indevido(privacidade)
• 16-Feb-99 buffer overflow mountd cmg.com.br
• 23-Feb-99 phf horizontes.com.br
• 1-Mar-99 roubo de senhas (denuncia)
• 1-Mar-99 roubo de senhas (denuncia)
• 1-Mar-99 roubo de senhas (denuncia)
• 2-Mar-99 transferencia de zona fapesp.br
• 7-Mar-99 CGI skidmore.edu
• 31-Mar-99 exploit ao innd/nnrpd uri.com.br
• 10-Apr-99 SPAM znet.com
• 14-Apr-99 DoS FTP xciv.org
• 17-Apr-99 scan telnet/rpc/dns/... sanet.de

14
CERT-RS
POP-RS

• data Ataque Destino
• 17-Apr-99 scan completo comroep.nl
• 19-Apr-99 SPAM netcom.com
• 21-Apr-99 SPAM iname.com
• 5-May-99 SPAM flinet.com
• 7-May-99 SPAM state.ny.us
• 7-May-99 SPAM cert-rs.tche.br
• 8-May-99 SPAM aol.com
• 9-May-99 ISS/coldfusion inf.ufrgs.br
• 10-May-99 CGI cert-rs.tche.br
• 11-May-99 transferencia de zona unicamp.br
• 13-May-99 netbus pop-rs.rnp.br

15
CERT-RS
POP-RS

• data Ataque Destino
• 15-May-99 scan completo pop-rs.rnp.br
• 18-May-99 SPAM cert-rs.tche.br
• 20-May-99 hacking vandalismo
• 24-May-99 scan completo cert-rs.tche.br
• 27-May-99 hacking vandalismo
• 28-May-99 telnet inf.ufrgs.br
• 28-May-99 transferencia de zona ufrgs.br

16
CERT-RS
POP-RS

• Tentativas de Ataques realizados aos sites da
  UFRGS e POP-RS e monitorados pelo CERT-RS

17
(No Transcript)
18
CERT-RS
POP-RS

• Observações sobre os Ataques
• Total de tentativas em 2 sites (UFRGS POP-RS) X
  registro total do CERT-RS
• tentativas (635973) x registros (45)

19
CERT-RS
POP-RS

• Observações sobre os Ataques
• Sem alvo definido (maioria são scans
  generalizados)
• Ataques totalmente automatizados explorando bugs
  mais recentes (wu-ftp, pop3, IIS/www, cgi-bin)
• Scans a procura de informações (axfr, snmp)

20
CERT-RS
POP-RS

• Observações sobre ataques (continuação)
• Pesquisa de Trapdoors (B.O. Netbus)
• DoS (Smurf)

21
CERT-RS
POP-RS

• Soluções imediatas
• Adoção de um filtro de pacotes, mesmo que
  utilizando inicialmente uma política francesa
  (solução implantada na UFRGS)
• SP5 generalizado em máquinas NT com patches caso
  a caso para IIS 4.0
• Cuidado com os CGIs (ex. count, test, phf,
  handler, php, webgais, faxsurvey, perl, ...)

22
CERT-RS
POP-RS

• Soluções imediatas (continuação)
• Configuração adequada do router contra IPSpoofing
  (redes 10, 172.16, 192.168, 127)
• Configuração contra ataques ( no ip source route)
• Configuração contra DoS (no ip-direct-broadcast)
• Não esquecer de bloquear SNMP

23
CERT-RS
POP-RS

• Soluções imediatas (continuação)
• Troca de versão FTP(wu-2.5.0) POP3(QPOP 3.0b18)
• Desabilitar serviços não utilizados (NT/Unix)
• Acompanhe alguma lista de segurança (ex
  infoseg_at_pop-rs.rnp.br)

24
CERT-RS
POP-RS

• Estatísticas de ataques mais freqüentes à
  Internet/BR e como evitá-los
• Leandro Márcio Bertholdo
• berthold_at_pop-rs.rnp.br