Projeto SpamPots: Uso de Honeypots na Obtenção de Métricas sobre Abuso de Redes de Banda Larga para o Envio de Spam

Transcrição

1 Projeto SpamPots: Uso de Honeypots na Obtenção de Métricas sobre Abuso de Redes de Banda Larga para o Envio de Spam Marcelo H. P. C. Chaves mhp@cert.br CERT.br Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil NIC.br Núcleo de Informação e Coordenação do Ponto br CGI.br Comitê Gestor da Internet no Brasil Reunião GTS-9 Belo Horizonte, MG 30 de junho de 2007 p. 1/28

2 CERT.br Criado em 1997 para tratar incidentes de segurança em computadores, envolvendo redes conectadas à Internet brasileira, exercendo as seguintes funções: Ser um ponto de contato nacional para notificação de incidentes de segurança Prover a coordenação e o apoio necessário no processo de resposta a incidentes Estabelecer um trabalho colaborativo com outras entidades Auxiliar novos CSIRTs a estabelecerem suas atividades Prover treinamento na área de tratamento de incidentes Produzir documentos de boas práticas Aumentar a conscientização sobre a necessidade segurança na Internet Reunião GTS-9 Belo Horizonte, MG 30 de junho de 2007 p. 2/28

3 Estrutura do CGI.br 01- Ministério da Ciência e Tecnologia 02- Ministério das Comunicações 03- Casa Civil da Presidência da República 04- Ministério da Defesa 05- Ministério do Desenvolvimento, Indústria e Comércio Exterior 06- Ministério do Planejamento, Orçamento e Gestão 07- Agência Nacional de Telecomunicações (Anatel) 08- Conselho Nacional de Desenvolvimento Científico e Tecnológico 09- Fórum Nacional de Secretários Estaduais para Assuntos de C&T 10- Representante de Notório Saber em Assuntos de Internet 11- Provedores de Acesso e Conteúdo 12- Provedores de Infra-estrutura de Telecomunicações 13- Indústria de Bens de Informática, Telecomunicações e Software 14- Segmento das Empresas Usuárias de Internet Representantes do Terceiro Setor Representantes da Comunidade Científica e Tecnológica Reunião GTS-9 Belo Horizonte, MG 30 de junho de 2007 p. 3/28

4 Atribuições do CGI.br Entre as diversas atribuições e responsabilidades definidas no Decreto Presidencial n o 4.829, destacam-se: a proposição de normas e procedimentos relativos à regulamentação das atividades na internet a recomendação de padrões e procedimentos técnicos operacionais para a internet no Brasil o estabelecimento de diretrizes estratégicas relacionadas ao uso e desenvolvimento da internet no Brasil a promoção de estudos e padrões técnicos para a segurança das redes e serviços no país a coordenação da atribuição de endereços internet (IPs) e do registro de nomes de domínios usando <.br> a coleta, organização e disseminação de informações sobre os serviços internet, incluindo indicadores e estatísticas Reunião GTS-9 Belo Horizonte, MG 30 de junho de 2007 p. 4/28

5 Agenda Motivação O Projeto SpamPots Cenário de Abuso de Proxies Abertos Arquitetura Honeypots Servidor Estatísticas Trabalhos Futuros Referências Reunião GTS-9 Belo Horizonte, MG 30 de junho de 2007 p. 5/28

6 Motivação O spam é causa de diversos problemas malware/phishing queda da produtividade (perda de mensagens, etc) aumento dos custos em infra-estrutura (filtros, mais banda, etc) Politicos, provedores, teles, etc São pressionados pelo público em geral a fazer algo a respeito Têm diversos projetos de lei a serem apreciados Não têm dados que mostram o real problema Reunião GTS-9 Belo Horizonte, MG 30 de junho de 2007 p. 6/28

7 Motivação (2) O que ouvimos Proxies abertos deixaram de ser um problema Hoje, apenas botnets são usadas no envio de spam O Brasil é uma das maiores fontes de spam do mundo Nossos dados Notificações de spam associadas ao abuso de proxies abertos aumentaram nos últimos anos Nas estatísticas do Consórcio Brasileiro de Honeypots, varreduras por proxies abertos sempre fazem parte das 10 portas mais freqüentes Reunião GTS-9 Belo Horizonte, MG 30 de junho de 2007 p. 7/28

8 Motivação (3) Muitas perguntas ainda persistem Como convencer pessoal não ténico sobre a necessidade e efetividade das medidas de mitigação sendo sugeridas? Quem está abusando da nossa infra-estrutura? E como? Nós temos métricas nacionais ou apenas internacionais? Como podemos obter dados e gerar métricas para auxiliar na formulação de políticas e no entendimento do problema? Há a necessidade de ter mais informações e de melhor entender o problema Reunião GTS-9 Belo Horizonte, MG 30 de junho de 2007 p. 8/28

9 O Projeto SpamPots Mantido pelo CGI.br/NIC.br como parte da Comissão de Trabalho Anti-Spam (CT-Spam) Implantação de 10 honeypots de baixa interatividade, emulando serviços de proxy/relay aberto e capturando spam Instalados em redes de banda larga (ADSL/cable), por um ano 5 provedores de acesso banda larga uma conexão residencial e uma comercial por provedor Mensurar o abuso de máquinas de usuários finais para o envio de spam Reunião GTS-9 Belo Horizonte, MG 30 de junho de 2007 p. 9/28

10 Cenário de Abuso de Proxies Abertos End users broadband computers Computer with Open Proxy Victim Victim Computer with Open Proxy Mail Server 1 Victim spammer Computer with Open Proxy Victim Mail Server N Computer with Open Proxy Victim Victim Reunião GTS-9 Belo Horizonte, MG 30 de junho de 2007 p. 10/28

11 Arquitetura End users broadband computers Server: Collects data daily; Monitors the honeypots resources. Honeypot emulating an Open Proxy Computer with Open Proxy Victim spammer Honeypot emulating an Open Proxy Mail Server 1 Victim Computer with Open Proxy Mail Server N Victim Reunião GTS-9 Belo Horizonte, MG 30 de junho de 2007 p. 11/28

12 Honeypots OpenBSD: sistema operacional (SO) adotado número de problemas de segurança extremamente baixo, se comparado com outros SOs ciclo de atualizações bem definido (2x ao ano) boas características proativas de segurança W X, ProPolice, systrace, random lib loading order filtro de pacotes pf: stateful, queueing (ALTQ), redireção de portas logs no formato libpcap: permite fingerprinting passivo Reunião GTS-9 Belo Horizonte, MG 30 de junho de 2007 p. 12/28

13 Honeypots (2) Honeyd: emulação de serviços emulador de SMTP e proxy HTTP desenvolvidos por Niels Provos (com pequenas modificações) emulador de SOCKS 4/5 desenvolvido pela nossa equipe simula a conexão com o servidor SMTP destino e passa a receber os s não entrega os s Responde a determinadas tentativas de confirmação enviadas pelos spammers Reunião GTS-9 Belo Horizonte, MG 30 de junho de 2007 p. 13/28

14 Servidor Coleta e armazena os dados dos honeypots inicia conexões ssh para a transferência de dados usa rsync sobre ssh para copiar os spams coletados pelos honeypots Realiza verificações de status em todos honeypots daemons, sincronia de relógio, espaço em disco, carga, último rsync bem sucedido, etc Fornece uma interface Web status dos honeypots estatísticas de s: diária, últimos 15 minutos MRTG: utilização da banda, portas usadas, s/min, etc Reunião GTS-9 Belo Horizonte, MG 30 de junho de 2007 p. 14/28

15 Reunião GTS-9 Belo Horizonte, MG 30 de junho de 2007 p. 15/28 Estatísticas

16 Estatísticas período 10/06/2006 a 30/04/2007 dias 325 s destinatários média dest./ 8,9 IPs ASNs CCs 157 Reunião GTS-9 Belo Horizonte, MG 30 de junho de 2007 p. 16/28

17 Spams capturados / dia Reunião GTS-9 Belo Horizonte, MG 30 de junho de 2007 p. 17/28

18 ASNs mais freqüentes Top10 s/asn: # ASN Nome % TFN-TW Taiwan Fixed Network HINET Data Communication CNCGROUP-SZ CNCGROUP SEEDNET Digital United NCIC-TW CHINA169-BACKBONE CNCGROUP LOOKAS - Look Communications APOL-AS Asia Pacific On-line SONET-TW Sony Network Taiwan EXTRALAN-TW Reunião GTS-9 Belo Horizonte, MG 30 de junho de 2007 p. 18/28

19 ASNs mais freqüentes (2) Reunião GTS-9 Belo Horizonte, MG 30 de junho de 2007 p. 19/28

20 CCs mais freqüentes Top 10 s/cc: # s CC % TW CN US CA KR JP HK DE BR PA Reunião GTS-9 Belo Horizonte, MG 30 de junho de 2007 p. 20/28

21 CCs mais freqüentes (2) Reunião GTS-9 Belo Horizonte, MG 30 de junho de 2007 p. 21/28

22 Portas TCP usadas s/porta: # Porta TCP protocolo usada por % HTTP alt http SOCKS socks HTTP http HTTP Squid SOCKS MyDoom SMTP smtp HTTP Sobig.f HTTP alt http HTTP alt http HTTP AnalogX HTTP Proxy Reunião GTS-9 Belo Horizonte, MG 30 de junho de 2007 p. 22/28

23 Portas TCP usadas (2) Reunião GTS-9 Belo Horizonte, MG 30 de junho de 2007 p. 23/28

24 Sistemas Operacionais de Origem tcpdump/pf.os utilizado para fazer o fingerprinting do SO das máquinas originando conexões TCP IPv4 # s SO de origem % Windows Unknown Unix Outro Reunião GTS-9 Belo Horizonte, MG 30 de junho de 2007 p. 24/28

25 Sistemas Operacionais de Origem (2) Reunião GTS-9 Belo Horizonte, MG 30 de junho de 2007 p. 25/28

26 Reunião GTS-9 Belo Horizonte, MG 30 de junho de 2007 p. 26/28 Trabalhos Futuros

27 Trabalhos Futuros Análise mais Detalhada do Problema usando técnicas de Data Mining determinação de padrões idioma, URLs no conteúdo das mensagens, etc phishing e outras atividades maliciosas Reforçar a necessidade de implementação de procedimentos e boas práticas em provedores e teles gerenciamento de porta 25, SPF, DKIM, etc monitoramento de abuso de proxies Cooperação internacional Reunião GTS-9 Belo Horizonte, MG 30 de junho de 2007 p. 27/28

28 Referências Esta apresentação pode ser encontrada em: CERT.br Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil NIC.br CGI.br Comitê Gestor da Internet no Brasil OpenBSD Honeyd Consórcio Brasileiro de Honeypots Reunião GTS-9 Belo Horizonte, MG 30 de junho de 2007 p. 28/28