A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

Atividade Maliciosa na Rede Ipê Detectando e combatendo perturbações na força CAIS - Centro de Atendimento a Incidentes de Segurança André R. Landim

Apresentações semelhantes


Apresentação em tema: "Atividade Maliciosa na Rede Ipê Detectando e combatendo perturbações na força CAIS - Centro de Atendimento a Incidentes de Segurança André R. Landim"— Transcrição da apresentação:

1 Atividade Maliciosa na Rede Ipê Detectando e combatendo perturbações na força CAIS - Centro de Atendimento a Incidentes de Segurança André R. Landim (andre.landim@cais.rnp.br) Bate papo de Segurança 22/10/2012 Foz do Iguaçu – PR Brasil

2 Atividade Maliciosa na Rede Ipê Agenda Visão geral dos incidentes Casos interessantes Processo de tratamento de incidentes – mais estatísticas Conclusão

3 Atividade Maliciosa na Rede Ipê Durante o ano de 2012, até o momento… Até o mês de setembro, o CAIS tratou cerca de 98 mil incidentes de segurança; Mais de 70 mil incidentes são relacionados a código malicioso; Incidentes relacionados a violação de direitos autorais somaram mais de 10 mil casos; Cerca de 300 incidentes foram relacionados a invasão de sistemas; Foram reportados em torno de 70 casos de negação de serviço.

4 Atividade Maliciosa na Rede Ipê Incidentes reportados no ano 2012

5 Como diria Jack… Ops, John The Ripper… Vamos por partes!

6 Mais de 70 mil incidentes são relacionados a código malicioso O famigerado Conficker/Downadup ainda é o worm mais ativo dentro da Rede Ipê; Mais de 55 mil casos foram reportados; –Mais de 60% desses casos são reincidências; Soluções para o Conficker/Downadup? –O boletim de segurança da Microsoft MS08-067 trata a vulnerabilidade explorada pelo worm em questão. –Porém… O boletim foi emitido em outubro de 2008!!! O que isso significa? –Diversas instituições não aplicam e/ou não possuem políticas de atualização de sistemas em suas redes.

7 Incidentes relacionados a violação de direitos autorais somaram mais de 10 mil casos A propagação de material protegido por direitos autorais continua alta dentro da Rede Ipê; Compartilhamentos de arquivos via Torrent são responsáveis pela maioria dos casos; Existe uma necessidade de conscientização dos usuários sobre os problemas resultantes desse tipo de comportamento: –Perda de credibilidade do mercado multimídia; –Restrições de conteúdo no país; O CAIS tem em andamento projetos de monitoramento de serviços de compartilhamento de arquivos visando reduzir o número de incidentes desta categoria.

8 Cerca de 300 incidentes foram relacionados a invasão de sistemas A grande maioria de sistemas invadidos é utilizada para hospedagem de sites falsos; O maior vilão são os sistemas WordPress comprometidos devido à falta de atualização e/ou configuração incorreta da aplicação; Foram observados casos de comprometimento de contas utilizadas em serviços de acesso remoto (ex.: SSH). –Em geral, nestes casos, os servidores comprometidos eram utilizados para envio de SPAM, armazenamento e propagação de arquivos maliciosos;

9 Foram reportados em torno de 70 casos de negação de serviço. O número de incidentes de negação de serviço reportados ao CAIS é menor do que o detectado por nossos sistemas de detecção e mitigação; Um dos maiores ataques de negação de serviço detectado e mitigado ocorreu contra um destino localizado no estado do PR: –Porta de destino: 80 (http) –Protocolo utilizado: TCP –Quantidade total de tráfego detectada: ~4Gbps –Quantidade de PPS: ~9Mpps http://2.bp.blogspot.com/-2FA5C80Y9HU/T7kffdvGoqI/AAAAAAAAGNM/iSO3NGax20k/s640/Anonymous+hater+takes+credit+for+Pirate+Bay+Ddos+Attack.jpg

10 Atividade Maliciosa na Rede Ipê

11 Atividade Maliciosa na Rede Ipê Casos interessantes… http://blogs.guardian.co.uk/games/archives/images/interesting.jpg

12 Atividade Maliciosa na Rede Ipê Confirmar sua conta de e-mail RNP O CAIS recebeu uma notificação, através de parceiros, da existência de phishing scam direcionado para usuários da RNP; –A falsa notificação informava o usuário da RNP sobre o bloqueio da sua conta de email, devido a ter-se excedido o limite de armazenamento; –Era solicitado que o usuário fizesse atualização de seus dados através de um formulário web; –A intenção desse ataque era coletar contas de email válidas para envio de spam ou vazamento de informações; –Os endereços origem do phishing foram notificados e o formulário web removido.

13 Atividade Maliciosa na Rede Ipê Confirmar sua conta de e-mail RNP

14 Atividade Maliciosa na Rede Ipê Ataques de XSS no site da RNP Notificações de usuários e parceiros sobre problemas de XSS nos sites da instituições –As notificações, geralmente, explicam com clareza as formas de exploração das falhas e apresentam um PoC (Proof Of Concept/Prova de Conceito); –O CAIS entra em contato com o responsável pelos assuntos de TI/SI da instiuição para auxiliar na resolução do problema. http://2.bp.blogspot.com/_iYm10EqjH6A/TJ4YmPJR9mI/AAAAAAAAAvE/VTd6d4ezqf8/s1600/12403880.jpg

15 Atividade Maliciosa na Rede IpêDoS usando porta 0 UDP O CAIS, em conjunto com a equipe de Operações de Rede, identificou, através dos sistemas de monitoramento, um tráfego anormal partindo de uma instituição do PA –Porta de origem e destino: 0 (zero) –Protocolo utilizado: UDP –Quantidade total de tráfego detectada: ~290G –Quantidade de PPS: ~8kpps http://static.desktopnexus.com/thumbnails/210856-bigthumbnail.jpg

16 Atividade Maliciosa na Rede IpêExploração de vulnerabilidade no RDP O CAIS recebeu uma notificação relatando a identificação e possível exploração do serviço/protocolo RDP da Microsoft partindo de uma instituição localizada no estado de MG –O interessante deste caso é que ele foi notificado apenas alguns dias após a publicação do boletim de segurança MS12-020 que tratava vulnerabilidades no RDP; –A instituição cliente foi contatada e o equipamento que originava os scans/ataques foi sanitizado. http://www.dome9.com/wp-content/uploads/2012/03/RDP_Vulnerability.png

17 Atividade Maliciosa na Rede IpêInstituição financeira solicita filtro de IP O CAIS recebeu uma solicitação de bloqueio de IP onde era hospedado um site falso da instituição financeira em questão –Foi solicitado o filtro no backbone para impedir que usuários da RNP fossem vítimas do falso site –O IP foi bloqueado por um período de 40 dias, visto que o provedor que hospedava o site não respondia às solicitações da instituição reclamane; –O filtro foi aplicado nos roteadores de borda do backbone; http://3.bp.blogspot.com/-sSScqZ9GImI/TeADeyq5AGI/AAAAAAAAAvc/USrOvUolDkM/s1600/phishing.jpg

18 Atividade Maliciosa na Rede IpêAtaques contra servidores DNS O CAIS, através dos sistemas de monitoramento, identificou ataques de DNS Reflection partindo de um servidor DNS de grande representatividade –Em conjunto com a equipe de Operações de Rede, foi tomada uma ação de mitigação do problema; –Os responsáveis pelo servidor DNS em questão foram notificados e o mesmo foi reconfigurado visando evitar este tipo de ataque. http://brunoodon.com.br/wp-content/uploads/2012/09/DNS.jpg

19 Atividade Maliciosa na Rede Ipê Vazamento de dados de orgão público do estado de SC O CAIS identificou o vazamento de dados confidenciais relacionados a um orgão público do estado de SC: –O material estava hospedado em um site de compartilhamento de arquivos e continha dados pessoais de usuários e projetos do orgão público; –O CAIS repassou ao CTIR.Gov para que tomasse as devidas providências e notificou o site hospedeiro. http://thumbs.dreamstime.com/thumblarge_588/12993544091597bO.jpg

20 Atividade Maliciosa na Rede Ipê Phishing scam utilizando dados telefônicos da RNP O CAIS recebeu informações de um phishing scam utilizando contatos telefônicos da RNP –Uma falsa notificação de recebimento de nota fiscal de pedido de compra utilizava o número de contato telefônico da RNP Campinas; –Foram recebidas mais de 30 ligações solicitando esclarecimentos sobre o incidente; –O CAIS identificou o email fraudulento e publicou um alerta no sistema de Catálogo de Fraudes; –www.rnp.br/cais/fraudes.php?id=18721

21 Atividade Maliciosa na Rede Ipê Phishing scam utilizando dados telefônicos da RNP

22 Atividade Maliciosa na Rede Ipê Estatísticas até setembro… http://4.bp.blogspot.com/-5BjN7m2I97I/Tzx4LaC47iI/AAAAAAAAAUc/PG6CHOiMUnk/s1600/estatistica2.jpg

23 Atividade Maliciosa na Rede Ipê Estatísticas até setembro… Dos quase 100 mil incidentes tratados pelo CAIS até hoje, o número de incidentes efetivamente fechados não chega a 10%; –Até o fechamento desta edição, os números não passavam de 7 mil; Somando os 5 estados com mais incidentes reportados, totalizamos mais de 49 mil incidentes; –Os 5 estados com maior número de inicidentes são:

24 Atividade Maliciosa na Rede Ipê Estatísticas até setembro… Os estados com maior índice de resposta a incidentes são: –Os estados de MG e RS que apresentam, respectivamente, 3470 e 1663 incidentes (números totais)

25 Atividade Maliciosa na Rede Ipê Conclusão Os estados de RJ, PR, PB, PE e SC apresentam números elevados de incidentes. É preciso atuar de forma mais próximas deles; Alguns estados com baixo indíce de incidentes reportados possuem efetividade na resposta; É importante analisar soluções de sucesso e, se viável, replicar tais soluções em outros estados; É necessário uma maior participação das instituições na resolução de incidentes; Ações específicas de combate a atividade maliciosa no backbone serão propostas no EnCSIRTs 2012. PARTICIPEM!!!

26 OBRIGADO!!! cais@cais.rnp.br


Carregar ppt "Atividade Maliciosa na Rede Ipê Detectando e combatendo perturbações na força CAIS - Centro de Atendimento a Incidentes de Segurança André R. Landim"

Apresentações semelhantes


Anúncios Google