240 likes | 406 Vues
CERT-RS. POP-RS. Estatísticas de ataques mais freqüentes à Internet/BR e como evitá-los Leandro Márcio Bertholdo berthold@pop-rs.rnp.br. CERT-RS. POP-RS. O que é o CERT-RS
E N D
CERT-RS POP-RS Estatísticas de ataques mais freqüentes à Internet/BR e como evitá-los Leandro Márcio Bertholdo berthold@pop-rs.rnp.br
CERT-RS POP-RS O que é o CERT-RS O CERT-RS realiza estudos sobre a segurança e vulnerabilidade na Internet, provendo serviços de informação a sites e publicando uma variedade de alertas de segurança e pesquisando sobre segurança e sobrevivência na rede e dando dicas para ajudar você a manter a segurança de seu site
CERT-RS POP-RS Qual a proposta do CERT-RS • Prover informações sobre segurança • Cursos presenciais e a distância • Consultoria especializada sobre estratégias de segurança • http://www.cert-rs.tche.br
CERT-RS POP-RS O que será visto • Recomendações de Segurança do CG • Incidentes reportados junto ao NIC (Brasil) • Incidentes reportados junto ao CERT-RS • Total de Ataques monitorados pelo CERT-RS aos sites do POP-RS & UFRGS • Soluções recomendadas
CERT-RS POP-RS A recomendação do Comitê Gestor (CG) • Identificação de origem (chamada/conexão) • Proteção aos usuários • Serviços DNS configurados corretamente • Contato de segurança • Equipe de segurança • Contratos com política de uso aceitável
CERT-RS POP-RS Incidentes registrados pelo NICBr (Network Information Center)
CERT-RS POP-RS Incidentes Registrados pelo CERT-RS
CERT-RS POP-RS data Ataque Destino 4-Jan-99 tentativa de hacking tnt.com.br 5-Jan-99 tentativa de hacking mk.com.au 6-Jan-99 cgi/telnet pop-rs.rnp.br 6-Jan-99 cgi/telnet cert-rs 6-Jan-99 cgi/telnet pampa.tche.br 11-Jan-99 imap/rpc/cgi/bo ufrgs.br 11-Jan-99 imap/rpc/cgi/bo ufrgs.br 17-Jan-99 bo scan netpar.com.br 18-Jan-99 phf ufrgs.br 18-Jan-99 smurf furg.br 4-Feb-99 transferencia de zona rnp.br 5-Feb-99 bots IRC/nuke kern.com 5-Feb-99 bots IRC/nuke kern.com
CERT-RS POP-RS data Ataque Destino 8-Feb-99 ataque desconhecido (31223/tcp) 12-Feb-99 acesso indevido(privacidade) 16-Feb-99 buffer overflow mountd cmg.com.br 23-Feb-99 phf horizontes.com.br 1-Mar-99 roubo de senhas (denuncia) 1-Mar-99 roubo de senhas (denuncia) 1-Mar-99 roubo de senhas (denuncia) 2-Mar-99 transferencia de zona fapesp.br 7-Mar-99 CGI skidmore.edu 31-Mar-99 exploit ao innd/nnrpd uri.com.br 10-Apr-99 SPAM znet.com 14-Apr-99 DoS FTP xciv.org 17-Apr-99 scan telnet/rpc/dns/... sanet.de
CERT-RS POP-RS data Ataque Destino 17-Apr-99 scan completo comroep.nl 19-Apr-99 SPAM netcom.com 21-Apr-99 SPAM iname.com 5-May-99 SPAM flinet.com 7-May-99 SPAM state.ny.us 7-May-99 SPAM cert-rs.tche.br 8-May-99 SPAM aol.com 9-May-99 ISS/coldfusion inf.ufrgs.br 10-May-99 CGI cert-rs.tche.br 11-May-99 transferencia de zona unicamp.br 13-May-99 netbus pop-rs.rnp.br
CERT-RS POP-RS data Ataque Destino 15-May-99 scan completo pop-rs.rnp.br 18-May-99 SPAM cert-rs.tche.br 20-May-99 hacking & vandalismo 24-May-99 scan completo cert-rs.tche.br 27-May-99 hacking & vandalismo 28-May-99 telnet inf.ufrgs.br 28-May-99 transferencia de zona ufrgs.br
CERT-RS POP-RS Tentativas de Ataques realizados aos sites da UFRGS e POP-RS e monitorados pelo CERT-RS
CERT-RS POP-RS Observações sobre os Ataques • Total de tentativas em 2 sites (UFRGS & POP-RS) X registro total do CERT-RS • tentativas (635973) x registros (45)
CERT-RS POP-RS Observações sobre os Ataques • Sem alvo definido (maioria são scans generalizados) • Ataques totalmente automatizados explorando bugs mais recentes (wu-ftp, pop3, IIS/www, cgi-bin) • Scans a procura de informações (axfr, snmp)
CERT-RS POP-RS Observações sobre ataques (continuação) • Pesquisa de Trapdoors (B.O. & Netbus) • DoS (Smurf)
CERT-RS POP-RS Soluções imediatas: • Adoção de um filtro de pacotes, mesmo que utilizando inicialmente uma política francesa (solução implantada na UFRGS) • SP5 generalizado em máquinas NT com patches caso a caso para IIS 4.0 • Cuidado com os CGIs (ex. count, test, phf, handler, php, webgais, faxsurvey, perl, ...)
CERT-RS POP-RS Soluções imediatas (continuação): • Configuração adequada do router contra IPSpoofing (redes 10, 172.16, 192.168, 127) • Configuração contra ataques ( no ip source route) • Configuração contra DoS (no ip-direct-broadcast) • Não esquecer de bloquear SNMP
CERT-RS POP-RS Soluções imediatas (continuação): • Troca de versão FTP(wu-2.5.0) POP3(QPOP 3.0b18) • Desabilitar serviços não utilizados (NT/Unix) • Acompanhe alguma lista de segurança (ex: infoseg@pop-rs.rnp.br)
CERT-RS POP-RS Estatísticas de ataques mais freqüentes à Internet/BR e como evitá-los Leandro Márcio Bertholdo berthold@pop-rs.rnp.br