Estatísticas de ataques mais freqüentes à Internet/BR e como evitá-los CERT-RS POP-RS Estatísticas de ataques mais freqüentes à Internet/BR e como evitá-los Leandro Márcio Bertholdo berthold@pop-rs.rnp.br

CERT-RS O que é o CERT-RS POP-RS O que é o CERT-RS O CERT-RS realiza estudos sobre a segurança e vulnerabilidade na Internet, provendo serviços de informação a sites e publicando uma variedade de alertas de segurança e pesquisando sobre segurança e sobrevivência na rede e dando dicas para ajudar você a manter a segurança de seu site

Qual a proposta do CERT-RS Prover informações sobre segurança POP-RS Qual a proposta do CERT-RS Prover informações sobre segurança Cursos presenciais e a distância Consultoria especializada sobre estratégias de segurança http://www.cert-rs.tche.br

Recomendações de Segurança do CG CERT-RS POP-RS O que será visto Recomendações de Segurança do CG Incidentes reportados junto ao NIC (Brasil) Incidentes reportados junto ao CERT-RS Total de Ataques monitorados pelo CERT-RS aos sites do POP-RS & UFRGS Soluções recomendadas

A recomendação do Comitê Gestor (CG) CERT-RS POP-RS A recomendação do Comitê Gestor (CG) Identificação de origem (chamada/conexão) Proteção aos usuários Serviços DNS configurados corretamente Contato de segurança Equipe de segurança Contratos com política de uso aceitável

Incidentes registrados pelo NICBr (Network Information Center) CERT-RS POP-RS Incidentes registrados pelo NICBr (Network Information Center)

Incidentes Registrados pelo CERT-RS POP-RS Incidentes Registrados pelo CERT-RS

CERT-RS POP-RS data Ataque Destino 4-Jan-99 tentativa de hacking tnt.com.br 5-Jan-99 tentativa de hacking mk.com.au 6-Jan-99 cgi/telnet pop-rs.rnp.br 6-Jan-99 cgi/telnet cert-rs 6-Jan-99 cgi/telnet pampa.tche.br 11-Jan-99 imap/rpc/cgi/bo ufrgs.br 17-Jan-99 bo scan netpar.com.br 18-Jan-99 phf ufrgs.br 18-Jan-99 smurf furg.br 4-Feb-99 transferencia de zona rnp.br 5-Feb-99 bots IRC/nuke kern.com

CERT-RS POP-RS data Ataque Destino 8-Feb-99 ataque desconhecido (31223/tcp) 12-Feb-99 acesso indevido(privacidade) 16-Feb-99 buffer overflow mountd cmg.com.br 23-Feb-99 phf horizontes.com.br 1-Mar-99 roubo de senhas (denuncia) 2-Mar-99 transferencia de zona fapesp.br 7-Mar-99 CGI skidmore.edu 31-Mar-99 exploit ao innd/nnrpd uri.com.br 10-Apr-99 SPAM znet.com 14-Apr-99 DoS FTP xciv.org 17-Apr-99 scan telnet/rpc/dns/... sanet.de

CERT-RS POP-RS data Ataque Destino 17-Apr-99 scan completo comroep.nl 19-Apr-99 SPAM netcom.com 21-Apr-99 SPAM iname.com 5-May-99 SPAM flinet.com 7-May-99 SPAM state.ny.us 7-May-99 SPAM cert-rs.tche.br 8-May-99 SPAM aol.com 9-May-99 ISS/coldfusion inf.ufrgs.br 10-May-99 CGI cert-rs.tche.br 11-May-99 transferencia de zona unicamp.br 13-May-99 netbus pop-rs.rnp.br

CERT-RS POP-RS data Ataque Destino 15-May-99 scan completo pop-rs.rnp.br 18-May-99 SPAM cert-rs.tche.br 20-May-99 hacking & vandalismo 24-May-99 scan completo cert-rs.tche.br 27-May-99 hacking & vandalismo 28-May-99 telnet inf.ufrgs.br 28-May-99 transferencia de zona ufrgs.br

CERT-RS POP-RS Tentativas de Ataques realizados aos sites da UFRGS e POP-RS e monitorados pelo CERT-RS

Observações sobre os Ataques CERT-RS POP-RS Observações sobre os Ataques Total de tentativas em 2 sites (UFRGS & POP-RS) X registro total do CERT-RS tentativas (635973) x registros (45)

Observações sobre os Ataques CERT-RS POP-RS Observações sobre os Ataques Sem alvo definido (maioria são scans generalizados) Ataques totalmente automatizados explorando bugs mais recentes (wu-ftp, pop3, IIS/www, cgi-bin) Scans a procura de informações (axfr, snmp)

Observações sobre ataques (continuação) CERT-RS POP-RS Observações sobre ataques (continuação) Pesquisa de Trapdoors (B.O. & Netbus) DoS (Smurf)

SP5 generalizado em máquinas NT com patches caso a caso para IIS 4.0 CERT-RS POP-RS Soluções imediatas: Adoção de um filtro de pacotes, mesmo que utilizando inicialmente uma política francesa (solução implantada na UFRGS) SP5 generalizado em máquinas NT com patches caso a caso para IIS 4.0 Cuidado com os CGIs (ex. count, test, phf, handler, php, webgais, faxsurvey, perl, ...)

Soluções imediatas (continuação): CERT-RS POP-RS Soluções imediatas (continuação): Configuração adequada do router contra IPSpoofing (redes 10, 172.16, 192.168, 127) Configuração contra ataques ( no ip source route) Configuração contra DoS (no ip-direct-broadcast) Não esquecer de bloquear SNMP

Soluções imediatas (continuação): CERT-RS POP-RS Soluções imediatas (continuação): Troca de versão FTP(wu-2.5.0) POP3(QPOP 3.0b18) Desabilitar serviços não utilizados (NT/Unix) Acompanhe alguma lista de segurança (ex: infoseg@pop-rs.rnp.br)

Estatísticas de ataques mais freqüentes à Internet/BR e como evitá-los CERT-RS POP-RS Estatísticas de ataques mais freqüentes à Internet/BR e como evitá-los Leandro Márcio Bertholdo berthold@pop-rs.rnp.br