CERT-RS
POP-RS
Estatísticas de ataques mais freqüentes à
Internet/BR e como evitá-los
Leandro Márcio Bertholdo
[email protected]
CERT-RS
POP-RS
O que é o CERT-RS
O CERT-RS realiza estudos sobre a segurança
e vulnerabilidade na Internet, provendo
serviços de informação a sites e publicando
uma variedade de alertas de segurança e
pesquisando sobre segurança e
sobrevivência na rede e dando dicas para
ajudar você a manter a segurança de seu site
CERT-RS
POP-RS
Qual a proposta do CERT-RS
• Prover informações sobre segurança
• Cursos presenciais e a distância
• Consultoria especializada sobre estratégias
de segurança
• http://www.cert-rs.tche.br
CERT-RS
POP-RS
O que será visto
• Recomendações de Segurança do CG
• Incidentes reportados junto ao NIC (Brasil)
• Incidentes reportados junto ao CERT-RS
• Total de Ataques monitorados pelo CERTRS aos sites do POP-RS & UFRGS
• Soluções recomendadas
CERT-RS
POP-RS
A recomendação do Comitê Gestor (CG)
• Identificação de origem (chamada/conexão)
• Proteção aos usuários
• Serviços DNS configurados corretamente
• Contato de segurança
• Equipe de segurança
• Contratos com política de uso aceitável
CERT-RS
POP-RS
Incidentes registrados pelo NICBr
(Network Information Center)
ataque-servidor
6%
ataque-usuario
4%
spam
24%
axfr
32%
scan
30%
invasao
3%
dos
1%
fraude
0%
CERT-RS
POP-RS
Incidentes Registrados pelo CERT-RS
Número de Incidentes Registrados por Ano (CERT-RS)
45
45
38
40
35
Incidentes
30
25
20
20
15
10
5
5
3
2
0
1994
1995
1996
1997
Ano
1998
1999 (01/Jan28/Mai)
CERT-RS
data
4-Jan-99
5-Jan-99
6-Jan-99
6-Jan-99
6-Jan-99
11-Jan-99
11-Jan-99
17-Jan-99
18-Jan-99
18-Jan-99
4-Feb-99
5-Feb-99
5-Feb-99
POP-RS
Ataque
Destino
tentativa de hacking
tnt.com.br
tentativa de hacking
mk.com.au
cgi/telnet
pop-rs.rnp.br
cgi/telnet
cert-rs
cgi/telnet
pampa.tche.br
imap/rpc/cgi/bo
ufrgs.br
imap/rpc/cgi/bo
ufrgs.br
bo scan
netpar.com.br
phf
ufrgs.br
smurf
furg.br
transferencia de zona
rnp.br
bots IRC/nuke
kern.com
bots IRC/nuke
kern.com
CERT-RS
data
8-Feb-99
12-Feb-99
16-Feb-99
23-Feb-99
1-Mar-99
1-Mar-99
1-Mar-99
2-Mar-99
7-Mar-99
31-Mar-99
10-Apr-99
14-Apr-99
17-Apr-99
POP-RS
Ataque
Destino
ataque desconhecido (31223/tcp)
acesso indevido(privacidade)
buffer overflow mountd
cmg.com.br
phf
horizontes.com.br
roubo de senhas (denuncia)
roubo de senhas (denuncia)
roubo de senhas (denuncia)
transferencia de zona
fapesp.br
CGI
skidmore.edu
exploit ao innd/nnrpd
uri.com.br
SPAM
znet.com
DoS FTP
xciv.org
scan telnet/rpc/dns/... sanet.de
CERT-RS
data
17-Apr-99
19-Apr-99
21-Apr-99
5-May-99
7-May-99
7-May-99
8-May-99
9-May-99
10-May-99
11-May-99
13-May-99
POP-RS
Ataque
Destino
scan completo
comroep.nl
SPAM
netcom.com
SPAM
iname.com
SPAM
flinet.com
SPAM
state.ny.us
SPAM
cert-rs.tche.br
SPAM
aol.com
ISS/coldfusion
inf.ufrgs.br
CGI
cert-rs.tche.br
transferencia de zona
unicamp.br
netbus
pop-rs.rnp.br
CERT-RS
data
15-May-99
18-May-99
20-May-99
24-May-99
27-May-99
28-May-99
28-May-99
POP-RS
Ataque
Destino
scan completo
pop-rs.rnp.br
SPAM
cert-rs.tche.br
hacking & vandalismo
scan completo
cert-rs.tche.br
hacking & vandalismo
telnet
inf.ufrgs.br
transferencia de zona
ufrgs.br
CERT-RS
POP-RS
Tentativas de Ataques realizados aos sites da
UFRGS e POP-RS e monitorados pelo
CERT-RS
Pacotes X Alvos de Ataques (desconsiderado Windows portas:137,138,139)
20185
443
2294
52504
9747
92175
BackOrifice
73415
Netbus
SunRPC
19784
AXFR
1126
Imap
1547
Pop
Xterm
NFS
Snmp
51080
Telnet
Rlogin
1048
WWW
4165
Mail
Ftp
930
Squid
14005
Echo
291525
CERT-RS
POP-RS
Observações sobre os Ataques
• Total de tentativas em 2 sites (UFRGS &
POP-RS) X registro total do CERT-RS
• tentativas (635973) x registros (45)
CERT-RS
POP-RS
Observações sobre os Ataques
• Sem alvo definido (maioria são scans
generalizados)
• Ataques totalmente automatizados
explorando bugs mais recentes (wu-ftp,
pop3, IIS/www, cgi-bin)
• Scans a procura de informações (axfr,
snmp)
CERT-RS
POP-RS
Observações sobre ataques (continuação)
• Pesquisa de Trapdoors (B.O. & Netbus)
• DoS (Smurf)
CERT-RS
POP-RS
Soluções imediatas:
• Adoção de um filtro de pacotes, mesmo que
utilizando inicialmente uma política
francesa (solução implantada na UFRGS)
• SP5 generalizado em máquinas NT com
patches caso a caso para IIS 4.0
• Cuidado com os CGIs (ex. count, test, phf,
handler, php, webgais, faxsurvey, perl, ...)
CERT-RS
POP-RS
Soluções imediatas (continuação):
• Configuração adequada do router contra
IPSpoofing (redes 10, 172.16, 192.168, 127)
• Configuração contra ataques ( no ip source
route)
• Configuração contra DoS (no ip-directbroadcast)
• Não esquecer de bloquear SNMP
CERT-RS
POP-RS
Soluções imediatas (continuação):
• Troca de versão FTP(wu-2.5.0)
POP3(QPOP 3.0b18)
• Desabilitar serviços não utilizados
(NT/Unix)
• Acompanhe alguma lista de segurança (ex:
[email protected])
CERT-RS
POP-RS
Estatísticas de ataques mais freqüentes à
Internet/BR e como evitá-los
Leandro Márcio Bertholdo
[email protected]
Download
  1. No category

Estatisticas de Ataques mais Frequentes realizadas - PoP-RS

1-SCI-Agenda-CesarLoureiro

1-SCI-Agenda-CesarLoureiro

galeria de imagens

galeria de imagens

A mulher, a ciência e contextos sociais

A mulher, a ciência e contextos sociais

trabalho de grupo

trabalho de grupo

CEAP / CURSO DE DIREITO

CEAP / CURSO DE DIREITO

Declaração Universal dos Direitos Humanos

Declaração Universal dos Direitos Humanos

1- RNP_SCI_Abertura-Eduardo Grizendi

1- RNP_SCI_Abertura-Eduardo Grizendi

NDT-SCI-2008 - MonIPÊ

NDT-SCI-2008 - MonIPÊ

Demi Getschko

Demi Getschko

Arquivo

Arquivo

apresenta?o ppt - Universidade da Beira Interior

apresenta?o ppt - Universidade da Beira Interior

Arquivo

Arquivo

GT Diretórios

GT Diretórios

2ª Guerra Mundial - Rafael, Catarina e Sara M.

2ª Guerra Mundial - Rafael, Catarina e Sara M.