CERT-RS POP-RS Estatísticas de ataques mais freqüentes à Internet/BR e como evitá-los Leandro Márcio Bertholdo [email protected] CERT-RS POP-RS O que é o CERT-RS O CERT-RS realiza estudos sobre a segurança e vulnerabilidade na Internet, provendo serviços de informação a sites e publicando uma variedade de alertas de segurança e pesquisando sobre segurança e sobrevivência na rede e dando dicas para ajudar você a manter a segurança de seu site CERT-RS POP-RS Qual a proposta do CERT-RS • Prover informações sobre segurança • Cursos presenciais e a distância • Consultoria especializada sobre estratégias de segurança • http://www.cert-rs.tche.br CERT-RS POP-RS O que será visto • Recomendações de Segurança do CG • Incidentes reportados junto ao NIC (Brasil) • Incidentes reportados junto ao CERT-RS • Total de Ataques monitorados pelo CERTRS aos sites do POP-RS & UFRGS • Soluções recomendadas CERT-RS POP-RS A recomendação do Comitê Gestor (CG) • Identificação de origem (chamada/conexão) • Proteção aos usuários • Serviços DNS configurados corretamente • Contato de segurança • Equipe de segurança • Contratos com política de uso aceitável CERT-RS POP-RS Incidentes registrados pelo NICBr (Network Information Center) ataque-servidor 6% ataque-usuario 4% spam 24% axfr 32% scan 30% invasao 3% dos 1% fraude 0% CERT-RS POP-RS Incidentes Registrados pelo CERT-RS Número de Incidentes Registrados por Ano (CERT-RS) 45 45 38 40 35 Incidentes 30 25 20 20 15 10 5 5 3 2 0 1994 1995 1996 1997 Ano 1998 1999 (01/Jan28/Mai) CERT-RS data 4-Jan-99 5-Jan-99 6-Jan-99 6-Jan-99 6-Jan-99 11-Jan-99 11-Jan-99 17-Jan-99 18-Jan-99 18-Jan-99 4-Feb-99 5-Feb-99 5-Feb-99 POP-RS Ataque Destino tentativa de hacking tnt.com.br tentativa de hacking mk.com.au cgi/telnet pop-rs.rnp.br cgi/telnet cert-rs cgi/telnet pampa.tche.br imap/rpc/cgi/bo ufrgs.br imap/rpc/cgi/bo ufrgs.br bo scan netpar.com.br phf ufrgs.br smurf furg.br transferencia de zona rnp.br bots IRC/nuke kern.com bots IRC/nuke kern.com CERT-RS data 8-Feb-99 12-Feb-99 16-Feb-99 23-Feb-99 1-Mar-99 1-Mar-99 1-Mar-99 2-Mar-99 7-Mar-99 31-Mar-99 10-Apr-99 14-Apr-99 17-Apr-99 POP-RS Ataque Destino ataque desconhecido (31223/tcp) acesso indevido(privacidade) buffer overflow mountd cmg.com.br phf horizontes.com.br roubo de senhas (denuncia) roubo de senhas (denuncia) roubo de senhas (denuncia) transferencia de zona fapesp.br CGI skidmore.edu exploit ao innd/nnrpd uri.com.br SPAM znet.com DoS FTP xciv.org scan telnet/rpc/dns/... sanet.de CERT-RS data 17-Apr-99 19-Apr-99 21-Apr-99 5-May-99 7-May-99 7-May-99 8-May-99 9-May-99 10-May-99 11-May-99 13-May-99 POP-RS Ataque Destino scan completo comroep.nl SPAM netcom.com SPAM iname.com SPAM flinet.com SPAM state.ny.us SPAM cert-rs.tche.br SPAM aol.com ISS/coldfusion inf.ufrgs.br CGI cert-rs.tche.br transferencia de zona unicamp.br netbus pop-rs.rnp.br CERT-RS data 15-May-99 18-May-99 20-May-99 24-May-99 27-May-99 28-May-99 28-May-99 POP-RS Ataque Destino scan completo pop-rs.rnp.br SPAM cert-rs.tche.br hacking & vandalismo scan completo cert-rs.tche.br hacking & vandalismo telnet inf.ufrgs.br transferencia de zona ufrgs.br CERT-RS POP-RS Tentativas de Ataques realizados aos sites da UFRGS e POP-RS e monitorados pelo CERT-RS Pacotes X Alvos de Ataques (desconsiderado Windows portas:137,138,139) 20185 443 2294 52504 9747 92175 BackOrifice 73415 Netbus SunRPC 19784 AXFR 1126 Imap 1547 Pop Xterm NFS Snmp 51080 Telnet Rlogin 1048 WWW 4165 Mail Ftp 930 Squid 14005 Echo 291525 CERT-RS POP-RS Observações sobre os Ataques • Total de tentativas em 2 sites (UFRGS & POP-RS) X registro total do CERT-RS • tentativas (635973) x registros (45) CERT-RS POP-RS Observações sobre os Ataques • Sem alvo definido (maioria são scans generalizados) • Ataques totalmente automatizados explorando bugs mais recentes (wu-ftp, pop3, IIS/www, cgi-bin) • Scans a procura de informações (axfr, snmp) CERT-RS POP-RS Observações sobre ataques (continuação) • Pesquisa de Trapdoors (B.O. & Netbus) • DoS (Smurf) CERT-RS POP-RS Soluções imediatas: • Adoção de um filtro de pacotes, mesmo que utilizando inicialmente uma política francesa (solução implantada na UFRGS) • SP5 generalizado em máquinas NT com patches caso a caso para IIS 4.0 • Cuidado com os CGIs (ex. count, test, phf, handler, php, webgais, faxsurvey, perl, ...) CERT-RS POP-RS Soluções imediatas (continuação): • Configuração adequada do router contra IPSpoofing (redes 10, 172.16, 192.168, 127) • Configuração contra ataques ( no ip source route) • Configuração contra DoS (no ip-directbroadcast) • Não esquecer de bloquear SNMP CERT-RS POP-RS Soluções imediatas (continuação): • Troca de versão FTP(wu-2.5.0) POP3(QPOP 3.0b18) • Desabilitar serviços não utilizados (NT/Unix) • Acompanhe alguma lista de segurança (ex: [email protected]) CERT-RS POP-RS Estatísticas de ataques mais freqüentes à Internet/BR e como evitá-los Leandro Márcio Bertholdo [email protected]
Download
