A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

Atividade Maliciosa na Rede Ipê Detectando e combatendo perturbações na força CAIS - Centro de Atendimento a Incidentes de Segurança André R. Landim

Apresentações semelhantes


Apresentação em tema: "Atividade Maliciosa na Rede Ipê Detectando e combatendo perturbações na força CAIS - Centro de Atendimento a Incidentes de Segurança André R. Landim"— Transcrição da apresentação:

1 Atividade Maliciosa na Rede Ipê Detectando e combatendo perturbações na força CAIS - Centro de Atendimento a Incidentes de Segurança André R. Landim Bate papo de Segurança 22/10/2012 Foz do Iguaçu – PR Brasil

2 Atividade Maliciosa na Rede Ipê Agenda Visão geral dos incidentes Casos interessantes Processo de tratamento de incidentes – mais estatísticas Conclusão

3 Atividade Maliciosa na Rede Ipê Durante o ano de 2012, até o momento… Até o mês de setembro, o CAIS tratou cerca de 98 mil incidentes de segurança; Mais de 70 mil incidentes são relacionados a código malicioso; Incidentes relacionados a violação de direitos autorais somaram mais de 10 mil casos; Cerca de 300 incidentes foram relacionados a invasão de sistemas; Foram reportados em torno de 70 casos de negação de serviço.

4 Atividade Maliciosa na Rede Ipê Incidentes reportados no ano 2012

5 Como diria Jack… Ops, John The Ripper… Vamos por partes!

6 Mais de 70 mil incidentes são relacionados a código malicioso O famigerado Conficker/Downadup ainda é o worm mais ativo dentro da Rede Ipê; Mais de 55 mil casos foram reportados; –Mais de 60% desses casos são reincidências; Soluções para o Conficker/Downadup? –O boletim de segurança da Microsoft MS trata a vulnerabilidade explorada pelo worm em questão. –Porém… O boletim foi emitido em outubro de 2008!!! O que isso significa? –Diversas instituições não aplicam e/ou não possuem políticas de atualização de sistemas em suas redes.

7 Incidentes relacionados a violação de direitos autorais somaram mais de 10 mil casos A propagação de material protegido por direitos autorais continua alta dentro da Rede Ipê; Compartilhamentos de arquivos via Torrent são responsáveis pela maioria dos casos; Existe uma necessidade de conscientização dos usuários sobre os problemas resultantes desse tipo de comportamento: –Perda de credibilidade do mercado multimídia; –Restrições de conteúdo no país; O CAIS tem em andamento projetos de monitoramento de serviços de compartilhamento de arquivos visando reduzir o número de incidentes desta categoria.

8 Cerca de 300 incidentes foram relacionados a invasão de sistemas A grande maioria de sistemas invadidos é utilizada para hospedagem de sites falsos; O maior vilão são os sistemas WordPress comprometidos devido à falta de atualização e/ou configuração incorreta da aplicação; Foram observados casos de comprometimento de contas utilizadas em serviços de acesso remoto (ex.: SSH). –Em geral, nestes casos, os servidores comprometidos eram utilizados para envio de SPAM, armazenamento e propagação de arquivos maliciosos;

9 Foram reportados em torno de 70 casos de negação de serviço. O número de incidentes de negação de serviço reportados ao CAIS é menor do que o detectado por nossos sistemas de detecção e mitigação; Um dos maiores ataques de negação de serviço detectado e mitigado ocorreu contra um destino localizado no estado do PR: –Porta de destino: 80 (http) –Protocolo utilizado: TCP –Quantidade total de tráfego detectada: ~4Gbps –Quantidade de PPS: ~9Mpps

10 Atividade Maliciosa na Rede Ipê

11 Atividade Maliciosa na Rede Ipê Casos interessantes…

12 Atividade Maliciosa na Rede Ipê Confirmar sua conta de RNP O CAIS recebeu uma notificação, através de parceiros, da existência de phishing scam direcionado para usuários da RNP; –A falsa notificação informava o usuário da RNP sobre o bloqueio da sua conta de , devido a ter-se excedido o limite de armazenamento; –Era solicitado que o usuário fizesse atualização de seus dados através de um formulário web; –A intenção desse ataque era coletar contas de válidas para envio de spam ou vazamento de informações; –Os endereços origem do phishing foram notificados e o formulário web removido.

13 Atividade Maliciosa na Rede Ipê Confirmar sua conta de RNP

14 Atividade Maliciosa na Rede Ipê Ataques de XSS no site da RNP Notificações de usuários e parceiros sobre problemas de XSS nos sites da instituições –As notificações, geralmente, explicam com clareza as formas de exploração das falhas e apresentam um PoC (Proof Of Concept/Prova de Conceito); –O CAIS entra em contato com o responsável pelos assuntos de TI/SI da instiuição para auxiliar na resolução do problema.

15 Atividade Maliciosa na Rede IpêDoS usando porta 0 UDP O CAIS, em conjunto com a equipe de Operações de Rede, identificou, através dos sistemas de monitoramento, um tráfego anormal partindo de uma instituição do PA –Porta de origem e destino: 0 (zero) –Protocolo utilizado: UDP –Quantidade total de tráfego detectada: ~290G –Quantidade de PPS: ~8kpps

16 Atividade Maliciosa na Rede IpêExploração de vulnerabilidade no RDP O CAIS recebeu uma notificação relatando a identificação e possível exploração do serviço/protocolo RDP da Microsoft partindo de uma instituição localizada no estado de MG –O interessante deste caso é que ele foi notificado apenas alguns dias após a publicação do boletim de segurança MS que tratava vulnerabilidades no RDP; –A instituição cliente foi contatada e o equipamento que originava os scans/ataques foi sanitizado.

17 Atividade Maliciosa na Rede IpêInstituição financeira solicita filtro de IP O CAIS recebeu uma solicitação de bloqueio de IP onde era hospedado um site falso da instituição financeira em questão –Foi solicitado o filtro no backbone para impedir que usuários da RNP fossem vítimas do falso site –O IP foi bloqueado por um período de 40 dias, visto que o provedor que hospedava o site não respondia às solicitações da instituição reclamane; –O filtro foi aplicado nos roteadores de borda do backbone;

18 Atividade Maliciosa na Rede IpêAtaques contra servidores DNS O CAIS, através dos sistemas de monitoramento, identificou ataques de DNS Reflection partindo de um servidor DNS de grande representatividade –Em conjunto com a equipe de Operações de Rede, foi tomada uma ação de mitigação do problema; –Os responsáveis pelo servidor DNS em questão foram notificados e o mesmo foi reconfigurado visando evitar este tipo de ataque.

19 Atividade Maliciosa na Rede Ipê Vazamento de dados de orgão público do estado de SC O CAIS identificou o vazamento de dados confidenciais relacionados a um orgão público do estado de SC: –O material estava hospedado em um site de compartilhamento de arquivos e continha dados pessoais de usuários e projetos do orgão público; –O CAIS repassou ao CTIR.Gov para que tomasse as devidas providências e notificou o site hospedeiro.

20 Atividade Maliciosa na Rede Ipê Phishing scam utilizando dados telefônicos da RNP O CAIS recebeu informações de um phishing scam utilizando contatos telefônicos da RNP –Uma falsa notificação de recebimento de nota fiscal de pedido de compra utilizava o número de contato telefônico da RNP Campinas; –Foram recebidas mais de 30 ligações solicitando esclarecimentos sobre o incidente; –O CAIS identificou o fraudulento e publicou um alerta no sistema de Catálogo de Fraudes; –www.rnp.br/cais/fraudes.php?id=18721

21 Atividade Maliciosa na Rede Ipê Phishing scam utilizando dados telefônicos da RNP

22 Atividade Maliciosa na Rede Ipê Estatísticas até setembro…

23 Atividade Maliciosa na Rede Ipê Estatísticas até setembro… Dos quase 100 mil incidentes tratados pelo CAIS até hoje, o número de incidentes efetivamente fechados não chega a 10%; –Até o fechamento desta edição, os números não passavam de 7 mil; Somando os 5 estados com mais incidentes reportados, totalizamos mais de 49 mil incidentes; –Os 5 estados com maior número de inicidentes são:

24 Atividade Maliciosa na Rede Ipê Estatísticas até setembro… Os estados com maior índice de resposta a incidentes são: –Os estados de MG e RS que apresentam, respectivamente, 3470 e 1663 incidentes (números totais)

25 Atividade Maliciosa na Rede Ipê Conclusão Os estados de RJ, PR, PB, PE e SC apresentam números elevados de incidentes. É preciso atuar de forma mais próximas deles; Alguns estados com baixo indíce de incidentes reportados possuem efetividade na resposta; É importante analisar soluções de sucesso e, se viável, replicar tais soluções em outros estados; É necessário uma maior participação das instituições na resolução de incidentes; Ações específicas de combate a atividade maliciosa no backbone serão propostas no EnCSIRTs PARTICIPEM!!!

26 OBRIGADO!!!


Carregar ppt "Atividade Maliciosa na Rede Ipê Detectando e combatendo perturbações na força CAIS - Centro de Atendimento a Incidentes de Segurança André R. Landim"

Apresentações semelhantes


Anúncios Google