I WORKSHOP DE TECNOLOGIA DE REDES Ponto de Presença da RNP em Santa Catarina Rede Metropolitana de Educação e Pesquisa da Região de Florianópolis 05 e 06 Outubro/2012 Panorama de incidentes de segurança I WTR Organização: Apoio: Patrocínio: Instituição: Inserir Logo Instituição do Palestrante
Agenda RNP e CAIS Incidentes de segurança no backbone acadêmico Ações do CAIS no combate a atividades maliciosas Incidentes em SC Discussão 2
RNP Rede Nacional de Ensino e Pesquisa, fundada em 1989 pelo MCT Fornece conexão a Internet para instituições de ensino e pesquisa Fomento do uso de aplicações avançadas de rede Treinamentos 3
Rede Ipê Mais de 800 instituições conectadas Número estimado de usuários em 3.5 milhões 27.500 grupos de pesquisa beneficiados Universidades federais, escolas agrotécnicas, centros federais de educação tecnológica, centros de pesquisas, hospital, museus e outros Backbone com alta capacidade e disponibilidade Instituições conectadas com grande quantidade de computadores conectados Pontos de troca de tráfego com grande provedores 4
CAIS Centro de Atendimento a Incidentes de Segurança 15 anos de atuação na área de segurança Constituency: instituições conectadas a RNP O Centro de Atendimento a Incidentes de Segurança (CAIS) atua na detecção, resolução e prevenção de incidentes de segurança na rede acadêmica brasileira, além de elaborar, promover e disseminar práticas de segurança em redes. http://www.rnp.br/cais/sobre.html 6
Relacionamentos do CAIS Parceiros de informaçã o Organizaç ões usuárias PoPs Clara CSIRTs acadêmic os CAIS FIRST Andifes APWG GTs Governo
Tratamento de incidentes Papel de coordenação e suporte aos clientes Atuação nos núcleos da RNP e no backbone 2 analistas dedicados em regime de plantão Recebimento da notificação Análise e triagem Encaminhame nto do incidente Resposta ao reclamante 8
Tratamento de incidentes Incidentes de segurança que envolvem o backbone da RNP AS1916 e 19 clientes (AS1251, AS2715, AS2716, AS10412, AS10715, AS10881, AS11097, AS11156, AS11242, AS11751, AS13522, AS14553, AS19200, AS19611, AS19763, AS21506, AS21612, AS22819, AS28579) Conta cais@cais.rnp.br Os incidentes são reportados por parceiros, CSIRTs, usuários, provedores ou são identificados pelo CAIS através dos sistemas de detecção de atividade maliciosa: * trocas de páginas (defacements) * botnets/malware * phishing * spam * sistemas comprometidos 9
INCIDENTES DE SEGURANÇA NO BACKBONE ACADÊMICO 10
Estatísticas de incidentes (Junho, 2012) 11
Incidentes por estado 2011 TOTAL 100.000 65.128 48.602 10.000 1.000 1.131 8.491 1.108 1.211 7.058 26.028 3.005 6.104 3.716 21.794 1.702 6.001 4.472 20.350 25.010 2.321 21.341 7.288 974 8.439 12.200 10.157 3.317 1.736 419 224 100 10 1 AC AL AM AP BA CE DF ES GO MA MG MS MT PA PB PE PI PR RJ RN RO RR RS SC SE SP TO -
Incidentes por estado 2012 20.000 18.000 16.000 14.000 12.000 10.000 2012 8.000 6.000 4.000 2.000 0 AC AL AM AP BA CE DF ES GO MA MG MS MT PA PB PE PI PR RJ RN RO RR RS SC SE SP TO - 13
Categorias de ataques ocorridos em 2012 Conteúdo abusivo 3.225 3.303 Código malicioso 34.437 29.492 Prospecção por informações 49 51 Tentativa de intrusão 3.093 2.116 1 Quadrimest Intrusão 102 133 2 Quadrimest Indisponibilidade de serviço ou informação 21 48 urança da informação Fraude 4.498 4.625 Outros 943 2.167 1 10 100 1.000 10.000 100.000 Ocorrências (Log)
Malware Vírus, worms, trojans, bots, spywares, scripts, outros Representaram 90% do total de incidentes na Rede Ipê (286.397) Botnets: 98% de infecções 11.754 IP únicos! Bot 281.965 Worm 159 Virus 10 Outros 4.268 1 10 100 1.000 10.000 100.000 1.000.000 15
Malware Todo dia é identificado 9.500 sites maliciosos 12 a 14 milhões de buscas levam a sites maliciosos 300.000 alertas de download de malware por dia Fonte: Google 16
Malware Em 2011, foram criados 73.000 malwares por dia (Fonte: Panda Security) Os antivírus detectaram menos que 12% dos malwares encontrados em 2011 (Fonte: Trustwave Globla Report 2012 17
Botnets Grande vilão atualmente no backbone Ataques DDoS Backdoors Abrigo de dados para distribuição ilegal Impacto: Atividades cotidianas, sobrecarga dos sistemas Mau uso dos recursos da universidade Consumo de banda Riscos à organização (informações confidenciais) Sem saber, facilitamos a realização de crimes! 18
Conteúdo abusivo Envio de spam, casos de difamação, assédio, discriminação, outros 3,34% do total anual (10.857) Botnet Xarvester 2009/2010 2011 Produtos farmacêuticos 19
Fraudes Violação de direitos autorais Fingir ou falsificar identidade (pessoa/instituição) Utilização de recursos de forma não autorizada 3,12% do total em 2011 (9.973) 2011 2010 2.284 4.835 Violação de direitos autorais Fingir ou falsificar identidade ou instituição 1.676 2.680 2.458 2.491 Uso de recursos de forma não autorizada 0 1.000 2.000 3.000 4.000 5.000 6.000 20
Violação de copyright Infringing Work: Harry Potter and the Chamber of Secrets Filename: John.Williams.Harry.Potter.and.the.Chamber.of.Secrets.pdf First Found: 27 May 2012 15:01:13 EDT (GMT-4) Last Found: 27 May 2012 15:01:13 EDT (GMT-4) Filesize: 29,609k IP Address: 200.200.200.200 IP Port: 21408 21
Fonte: Google, 2012 22
Phishing Uso de engenharia social para adquirir informações confidenciais como senhas, dados financeiros, etc Principais meios utilizados: E-mail, IM, Web-site Objetivo: $$$$$ Realizar compras Transferências financeiras Vendas de informações no mercado negro Pedido de resgate 23
24
Fonte: Google 25
Tentativas de intrusão Exploração de vulnerabilidades: XSS, SQL Injection Login: SSH, Mail, FTP 2,78% do total (8.889) Tentativa de exploração de vulnerabilidades 2.671 Tentativa de login 4.347 Outros 1.871 0 1.000 2.000 3.000 4.000 5.000 26
Desfiguração de sites Agosto/2012 27
DDoS Arma de grupos hackers e grupos autointitulado ciberativistas Diversos grupos recrutam usuários para apoiar a causa Instituições de áreas diversas estão sendo afetadas por este movimento 28
DDoS na Rede Ipê Uma importante instituição sofreu um ataque de 700Mbps em um período crítico de suas atividades Instituições educacionais foram citadas no IRC para serem alvos de ataques 38 ataques críticos em 2011 30
DDoS na Rede Ipê 31
DDoS na Rede Ipê Remember Remember The 5 th November. Vários grupos anunciaram ataques contra institiuições em 5 de Novembro, em alusão a data mencionada no filme V de Vingança Só neste dia, foram detectados 10 ataques na Rede Ipê Os ataques começaram às 15:30 e terminou 40 minutos depois Cerca de 1.9Gpbs de tráfego malicioso detectado! 32
AÇÕES DO CAIS PARA O COMBATE A ATIVIDADE HACKER 33
Reativo Tratamento de Incidente Repasse do incidente aos responsáveis Auxílio às instituições da RNP na solução de problemas Todas as notificações são respondidas Baixo tempo de atendimento ao incidente Uso de scripts Coordenação de ações Combate ao Conficker no Backbone da RNP 34
Divulgação de alertas de segurança Visa alertar a comunidade de vulnerabilidades críticas a fim de evitar a sua exploração rnp-alertas@cais.rnp.br 25 em 2011, 08 em 2012 3907 inscritos Vulnerabildades em softwares e outros 35
Publicações CAIS-Resumo Pesquisa de segurança da rede acadêmica Cartilhas de segurança 36
Educação Palestras GTS, FIRST, YSTS, WTR Cursos SCI/RNP, FIRST, CLARA-TEC Realização de palestras e cursos em instituições 37
Catálogo de Fraudes Informar as principais fraudes em circulação na Internet brasileira Grande colaboração da comunidade 4135 fraudes cadastradas Colabore!!! phishing@cais.rnp.br 38
DISI Dia Internacional de Segurança em Informática Realizado desde 2005 Transmitido pela Internet em PT, EN e ES 39
DISI 12 29 de agosto de 2012 São Paulo/SP http://disi.rnp.br 40
INCIDENTES EM SC 41
Categorias de ataques ocorridos em 2011 Conteúdo abusivo 125 Código malicioso 45.571 Prospecção por informações Tentativa de intrusão 5 Intrusão 11 Indisponibilidade de serviço ou informação 8 Segurança da informação Fraude 2.878 Outros 4 1 10 100 1.000 10.000 100.000 Ocorrências (Log) 42
Categorias de ataques ocorridos em 2012 Conteúdo abusivo 64 Código malicioso 3.838 Prospecção por informações Tentativa de intrusão Intrusão 4 Indisponibilidade de serviço ou informação 5 Segurança da informação Fraude 1.512 Outros 1 10 100 1.000 10.000 Ocorrências (Log) 43
DISCUSSÃO 44
Gerência de porta 25 SPAM Propagação de malware Fail2ban Prospecção SSH VoIP Ações Atualização de gerenciadores de conteúdos de sites (CMS) Joomla Atualização das estações de trabalho Sistemas licenciados Antivírus 45
Frederico Costa (frederico.costa@cais.rnp.br) Centro de Atendimento a Incidentes de Segurança (cais@cais.rnp.br) http://www.rnp.br/cais