Retrospectiva da área de Segurança

Retrospectiva da área de Segurança VIII Seminário de Capacitação Interna da RNP Centro de Atendimento a Incidentes de Segurança - CAIS Jacomo Dimmit Boca Piccolini Dezembro de 2002 RNP/PAL/0171 2002 RNP

Sumário Apresentação Balanço de 2001 Retrospectiva 2002 Tipos de Ataques mais Comuns no ano 2002 Panorama Atual na Área de Segurança Expectativas para o ano 2003

Consolidação dos dados de 2001 Incidentes Reportados ao CAIS 2001 2000 1800 174 9 número de incidentes 1600 1400 1200 1000 800 600 400 200 320 33 263 71 330 343 10 4 44 54 7 387 76 74 74 577 613 468 16 4 18 3 207 949 546 663 477 Ano 2001 Ano 2000 0 1 2 3 4 5 6 7 8 9 10 11 12 meses

Consolidação dos dados de 2001 Incidentes Reportados ao CAIS Total de Incidentes Reportados 8000 7000 6000 5000 4000 3000 2000 1000 0 7209 2053 473 5 36 1997 1998 1999 2000 2001 anos

Consolidação dos dados de 2001 Incidentes Reportados ao CERT/CC 60000 52658 50000 Incidentes 40000 30000 20000 10000 0 6 132 252 406 773 13 3 4 2340 2412 2573 2134 3734 9859 2 1756 1988 1989 1990 1991 1992 1993 1994 1995 1996 1997 1998 1999 2000 2001 Anos

2001, o ano dos Worms e dos Vírus.

Janeiro de 2002 Juizado brasileiro absolve SPAM O Juizado Especial de Campo Grande, no Mato Grosso do Sul, publicou a primeira sentença judicial sobre o spam (envio de mensagens não solicitadas) no Brasil. A juíza leiga Rosângela Lieko Kato, em sua sentença, comparou o e-mail à correspondência postal, igualando-o a uma mala direta, portanto, sem necessidade de autorização. http://www.uol.com.br/folha/informatica/ult124u8889.shl

Fevereiro de 2002 Grupos nos EUA criam medidas anti-spam http://www2.uol.com.br/info/aberto/infonews/012002/31012002-24.shl Spam vira questão de Estado nos EUA http://www.uol.com.br/folha/reuters/ult112u11397.shl Site de monastério é fechado por envio de spam http://www.terra.com.br/informatica/2002/02/06/009.htm

Fevereiro de 2002 Austrália amplia combate ao spam http://www2.uol.com.br/info/aberto/infonews/022002/18022002-10.shl Spam trava e-mails da AT&T http://www.terra.com.br/informatica/2002/02/22/001 Spams 'inteligentes' podem ser usados em ataques http://www.terra.com.br/informatica/2002/02/25/013.htm

Fevereiro de 2002 Equipe da RNP traduz Top 20 do instituto SANS A RNP participou da tradução para o português da lista Top 20, do SANS/FBI. Documento é referência na área de segurança.[rnp, 27.02.02] http://www.rnp.br/noticias/2002/not-020227c.html

Fevereiro de 2002 O destaque fica a cargo das Múltiplas Vulnerabilidades do SNMP, divulgadas no início de fevereiro, através do alerta do CERT/CC, CA-2002-03, e do alerta do CAIS, CAIS-ALR-13022002, disponível em: http://www.rnp.br/cais/alertas/2002/cais-alr-13022002.html

Março de 2002 Explosão do Worm W32.Klez.E@mm (52.9%) Hoax do JDBGMGR.EXE ORBZ shut down http://www.rnp.br/cais/alertas/2002/cais-alr-20032002a.html

Abril de 2002 Explosão do Worm W32.Klez.G@mm (77.8% ) 53 trocas de páginas contra Universidades e Instituições Federais EUA e Canadá se unem contra o spam http://www.terra.com.br/informatica/2002/04/03/007.htm CVE dictionary contains more than 2,000 entries http://www.gcn.com/vol1_no1/security/18320-1.html

Abril de 2002 Pesquisa sobre SPAM com o staff da RNP, gerou um paper que foi apresentado no Technical Colloquium do FIRST em Chicago/USA (Renata Cicilini Teixeira). Quantos SPAMs você recebe por dia? 20 15 10 5 0 < 5 5 to 10 11 to 20 21 to 30 >30 Spam messages received every day

Maio de 2002 "Sociedade Carioca Anti-Spam" é golpe baixo de spammer Se você receber um e-mail de uma certa "Sociedade Carioca Anti-Spam pedindo para responder uma pesquisa, não responda. Se o fizer, seu endereço de e-mail será adicionado àquelas famigeradas listas com milhões de e-mails, vendidas para prática de spam (envio em massa de mensagens comerciais não-solicitadas). fonte:http://www.terra.com.br/informatica/2002/05/16/012.htm Participação do CAIS na composição do documento: "Creating Trust in Critical Network Infrastructures: The case of Brazil. Estudo elaborado pelo Sr. Robert Shaw, do ITU (International Communication Union). http://www.itu.int/osg/spu/ni/security/docs/cni.06.pdf

Maio de 2002 Explosão do Worm JS/SQL.Spida.b.worm http://www.rnp.br/cais/alertas/2002/in200204.html Criadores de vírus são punidos pela Justiça O criador do vírus de computador "Melissa", David L. Smith, sentenciado na quarta-feira a 20 meses de prisão e cinco mil dólares de multa, é um dos mais famosos cibercriminosos a ser pego. fonte:http://www.terra.com.br/informatica/2002/05/02/020.htm

Junho de 2002 CAIS-Alerta: Vulnerabilidade no Apache HTTP Server (Chunk Handling Vulnerability) http://www.rnp.br/cais/alertas/2002/ca200217.html CAIS no Comitê Gestor do FIRST No evento anual do fórum esta semana, Nina foi eleita para o comitê gestor do FIRST para os próximos dois anos (50 votos de 72 membros), representando a RNP e o Brasil, e de passagem se tornou também a primeira representação da América Latina. http://www.first.org/about/people.html

Junho de 2002 Participação ativa do CAIS na elaboração do documento: "Estabelecimento do Centro de Emergência em Redes de Computadores da Administração Pública Federal (CEC.GOV.BR)" GT - Resposta a Incidentes de Segurança em Redes Governamentais Comitê Gestor de Segurança da Informação - Presidência da Republica

Junho de 2002 1 a Auditoria Remota nos PoPs https://barra.nc-rj.rnp.br/pops/auditoria/index.cfm Aumento dos alertas Comparativo entre as auditorias de Dez/2001 e Julho/2002 96.7% 138.5% 1 2 3 holes 96.7% warnings 138.5% notes 1257.4% 1257.4%

Julho de 2002 Rapaz é acusado de invadir sistema e roubar mais de R$ 100 mil Guilherme Amorim de Oliveira, 18 anos, está sendo acusado de invadir o sistema de instituições bancárias e retirar de várias contas pelo menos R$ 100 mil, provocando prejuízo para empresas e pessoas físicas. http://www.terra.com.br/informatica/2002/07/04/011.htm Ciberataques a companhias aumentam 28% em 6 meses http://www.terra.com.br/informatica/2002/07/09/007.htm Múltiplas vulnerabilidades no OpenSSL e Microsoft SQL.

Julho de 2002 Spam levará ao fim do e-mail, diz guru da internet http://www.uol.com.br/folha/informatica/ult124u10479.shl Vírus inundarão web em 3 anos, diz Kaspersky http://www2.uol.com.br/info/aberto/infonews/072002/15072002-8.shl

Julho de 2002 Crackers brasileiros desfiguram 500 sites de uma vez http://www.terra.com.br/informatica/2002/07/23/003.htm Site JornaldaGlobo.com aparece pichado http://www.terra.com.br/informatica/2002/07/30/014.htm

Agosto de 2002 The web's most wanted http://media.guardian.co.uk/newmedia/story/0,7496,767443,00.html Gartner Group: 20 million people worldwide will be actively hacking (http://www.gartner.com/) ISS X-Force: uncovers 150 new attack methods every month BlackHats x WhiteHats

Agosto de 2002 O destaque fica a cargo do trojan horse encontrado no OpenSSH http://www.rnp.br/cais/alertas/2002/cais-alr-01082002.html http://www.rnp.br/cais/alertas/2002/cais-alr-01082002a.html http://www.rnp.br/cais/alertas/2002/ca200224.html

Agosto de 2002 Denuncie spam eleitoral no TSE http://www.terra.com.br/informatica/2002/08/12/014.htm Entrevista com o "curador" do Museu do Spam http://www.terra.com.br/informatica/2002/08/13/010.htm UOL bloqueia spammers do Speedy http://www2.uol.com.br/info/aberto/infonews/082002/14082002-16.shl Hotmail admite que 80% das mensagens é spam http://www2.uol.com.br/info/aberto/infonews/082002/05082002-14.shl

Agosto de 2002 Brasileiros invadem mais de mil sites em único ataque http://www.terra.com.br/informatica/2002/08/21/004.htm O grupo de desfiguradores brasileiro conhecido como Hax0rs Lab invadiu neste final de semana cerca de 1.158 sites em um único ataque a um servidor alemão. Atacado site do grupo que invadiu mais de mil sites. http://www.terra.com.br/informatica/2002/08/22/000.htm Penta estimulou hackers do país, diz mi2g http://www2.uol.com.br/info/aberto/infonews/082002/23082002-19.shl

Setembro de 2002 Agosto foi campeão de ataques virtuais desde 1995 http://www.terra.com.br/informatica/2002/09/02/000.htm Propagação do Worm Slapper (Apache/mod_ssl Worm) http://www.rnp.br/cais/alertas/2002/cais-alr-13092002.html Spam representa 32% do tráfego de e-mails diários http://www.uol.com.br/folha/informatica/ult124u10984.shtml The National Strategy to Secure Cyberspace - Draft http://www.securecyberspace.gov

Setembro de 2002 Um ano depois, vírus Nimda ainda ataca 35 mil vezes ao dia http://www.uol.com.br/folha/informatica/ult124u11000.shtml

Setembro de 2002 Suposto autor do vírus "T0rn" é preso na Inglaterra http://www.uol.com.br/folha/reuters/ult112u21707.shtml Pérola do Ano: From: "Gwinn, Allen" <Allen@Mail.Cox.SMU.Edu> I hate computers. :-)

Outubro de 2002 2 a Auditoria remota nos PoPs https://barra.nc-rj.rnp.br/pops/auditoria/index.cfm

Outubro de 2002 Hackers instalam cavalo de Tróia no Sendmail http://www.rnp.br/cais/alertas/2002/ca200228.html Worm W32/Bugbear-A (77.6%) Início do Horário de Verão 2002/2003 http://www.rnp.br/cais/alertas/2002/cais-alr-15102002.html

Outubro de 2002 Vírus infectam 80% dos computadores na China em 2002 http://www1.uol.com.br/folha/reuters/ult112u22769.shtml Combate ao spam vira bom negócio em meio à torrente de e-mails http://www1.uol.com.br/folha/reuters/ult112u22749.shtml Mais de 15% dos e-mails que circulam pela web são spam http://www1.uol.com.br/folha/informatica/ult124u11332.shtml Cresce a desfiguração de sites http://www.terra.com.br/informatica/2002/10/22/003.htm Fracassa tentativa de paralisar a Internet http://www.terra.com.br/informatica/2002/10/23/008.htm

Outubro de 2002 Participação ativa do CAIS na elaboração do documento: "Requisitos mínimos para sincronização de tempo na infraestrutura de chaves públicas". GT - Sincronização e Timestamping. Comitê Gestor de Segurança da Informação - Presidência da Republica.

Novembro de 2002 Domingo é dia de wardriving em São Paulo http://www.terra.com.br/informatica/2002/11/01/012.htm EUA preocupam-se com hackers brasileiros http://www2.uol.com.br/info/aberto/infonews/112002/06112002-17.shl Brasil lidera ranking mundial de hackers e crimes virtuais http://www1.uol.com.br/folha/informatica/ult124u11609.shtml Atividade hacker deve render pressão internacional ao Brasil http://www1.uol.com.br/folha/informatica/ult124u11617.shtml

Novembro de 2002 PL contra crimes informáticos recebe parecer favorável http://www.terra.com.br/informatica/2002/11/11/013.htm O Projeto de Lei (PL) nº 84/99, de autoria do deputado Luiz Piauhylino, que dispõe sobre os crimes cometidos na área de informática, suas penalidades e dá outras providências, recebeu ontem (07/11) parecer favorável do relator da Comissão de Segurança Pública e Combate ao Crime Organizado, Violência e Narcotráfico.

Novembro de 2002 Vulnerability in the sending requests control of BIND http://www.rnp.br/cais/alertas/2002/cais-alr-19112002a.html Vulnerabilidade no controle de envio de requisições do BIND permite DNS spoofing. http://www.rnp.br/cais/alertas/2002/cais-alr-19112002.html

Novembro de 2002 Trojan Horse no Tcpdump e Libpcap http://www.rnp.br/cais/alertas/2002/cais-alr-13112002.html http://www.rnp.br/cais/alertas/2002/ca200230.html

Novembro de 2002 Participação do CAIS na composição do documento: "Telecommunications Security in Brazil" Estudo elaborado pelo Sr. Greg Treverton, do U.S. State Department, como parte do projeto RAND. (http://www.rand.org) CERT-Chile: Consolidado o processo de patrocínio ao FIRST. (http://www.clcert.cl/)

Estatísticas 2002 Incidentes Reportados ao CERT/CC 80000 73359 70000 60000 52658 Incidentes 50000 40000 30000 21756 20000 10000 0 6 132 252 406 773 1334 2340 2412 2573 2134 3734 9859 1988 1989 1990 1991 1992 1993 1994 1995 1996 1997 1998 1999 2000 2001 2002 Anos

Estatísticas 2002 Incidentes Reportados ao CAIS Total de Incidentes Reportados 12000 10000 8000 6000 4000 2000 0 10435 7209 2053 473 5 36 1997 1998 1999 2000 2001 2002 anos

Estatísticas 2002 Incidentes Reportados ao CAIS 2002 número de incidentes 2000 1800 1600 1400 1200 1000 800 600 400 200 0 174 9 13 3 6 12 2 2 12 3 5 949 988 10 0 5 878 826 788 78 5 792 663 613 54 7 577 54 6 580 468 477 387 320 330 343 263 16 4 18 3 207 71 10 4 76 74 74 33 44 1 2 3 4 5 6 7 8 9 10 11 12 Ano 2002 Ano 2001 Ano 2000 meses

Estatísticas 2002 Linhas de Tendências 3500 Incidentes Reportados ao CAIS 2002 número de incidentes 3000 2500 2000 1500 1000 500 0 12 2 2 12 3 5 174 9 13 3 6 988 10 0 5 949 79 2 878 663 826 78 5 788 613 58 0 577 547 468 546 330 387 477 320 343 263 16 4 18 3 207 33 71 10 4 44 76 74 74 1 2 3 4 5 6 7 8 9 10 11 12 Ano 2002 Ano 2001 Ano 2000 meses

2002, o ano do SPAM e do Trojan Horse.

Expectativas para o ano 2003 Pressão Internacional contra o Brasil SPAM Novos Worms BlackHats x WhiteHats Novo patamar no número de incidentes: Mês de 2000: 546 Média de 2001: 600 Aumento: 350% Mês de 2001: 949 Média de 2002: 948 Aumento: 63% Mês de 2002: 1.235 Média de 2003: 1.300 Aumento: 37%

Referências CERT/CC: http://www.cert.org/ SANS: http://www.sans.org/ CVE: http://cve.mitre.org/ SecurityFocus: http://www.securityfocus.com/ Alldas: http://www.alldas.org/ Incidents: http://www.incidents.org/ Zone-h: http://www.zone-h.org/ FIRST: http://www.first.org/ Mi2G: http://www.mi2g.com/

Perguntas