Tratamento de Incidentes. em Função de alguns Ataques Atuais na Internet-BR

Documentos relacionados
Apresentação, Metodologia. NBSO NIC Br Security Office

Tratamento de Incidentes de Segurança na Internet Br pelo NBSO

Perfil dos Ataques Atuais na Internet BR e Recomendações para o Aumento da Segurança de Sistemas Conectados à Internet

Ataques Mais Comuns na Internet BR. Tratamento e Recuperação de Incidentes

Segurança: Tendências Atuais e Recomendações do NBSO

Resposta a Incidentes no Brasil: Situação Atual e o Papel do NBSO

Cenário Atual. CSIRT Computer Security Incident Response Team. CSIRTs CSIRT. Tipos de CSIRTs. Fatores de Sucesso. Problemas no Cenário Atual

4 o Fórum Brasileiro de CSIRTs 17 e 18 de setembro de 2015 São Paulo, SP

Segurança da Informação nas Universidades A Experiência da UFRN

IX Fórum Regional São Paulo, SP 10 de novembro de 2017

Estatísticas sobre o Spam no Brasil

Resposta a Incidentes de Segurança

IX (PTT) Fórum 11 São Paulo, SP 04 de dezembro de 2017

Um Modelo Alternativo Baseado em Honeynet para Identificação e Classificação de Atacantes. Alexandre Pinaffi Andrucioli

Tendências em Atividades Maliciosas na Internet Brasileira

Protocolos e Serviços de Redes

Protocolos e Serviços de Redes

Segurança da Internet no Brasil: Estudos e Iniciativas

Professor Jorge Alonso Módulo VIII Armazenamento e Computação nas Nuvens

Fundamentos de Segurança da Internet. Cristine Hoepers, D.Sc. Klaus Steding-Jessen, D.Sc. 30/03/2016

O Que nos Mostram os Incidentes Atuais: Evolução ou Involução da Segurança nos últimos 20 anos?

DESCRIÇÃO E JUSTIFICATIVAS TECNICAS SOBRE A INFLUÊNCIA DO SISTEMA OPERACIONAL NA SEGURANÇA DOS SERVIÇOS IPS

TECNOLOGIA DA INFORMAÇÃO

Aula 2 Malwares. Prof. Mayk Choji. Técnicas de Segurança em Redes. UniSALESIANO Araçatuba

20º Fórum de Certificação para Produtos de Telecomunicações 30 de novembro de 2016 Campinas, SP

Inicialmente as redes passaram a ser utilizadas principalmente para o compartilhamento de periféricos, principalmente discos rígidos.

Estruturas de Comunicação de Dados Aula 3 Camadas de Aplicação e Transporte

Principais Ameaças na Internet e

Segurança e Auditoria. Auditoria Coleta de dados, Análise de dados, Auditoria preventiva. de Sistemas

2017 Relatório Anual de Ameaças

10 anos de rootkits. Nelson Murilo

Grupos de Resposta a Incidentes: e o Papel do NBSO

FACULDADES INTEGRADAS SANTA CRUZ DE CURITIBA MONITORAMENTO - WIRESHARK

Segurança Cibernética Hoje em Dia 26 de Outubro de 2016 Consulado Geral dos EUA /FAAP, São Paulo

Aritana Pinheiro Falconi Klaus Steding-Jessen Marcelo H. P. C. Chaves

a) Escopo de Serviço. b) Escopo de Usuários. c) Escopo dos Recursos. d) Escopo das Responsabilidades e Investimentos.

Firewall. Prof. Marciano dos Santos Dionizio

Microcurso: Honeypots e Honeynets

Klaus Steding-Jessen Esta apresentação:

Aspectos de Segurança na Internet: Evolução e Tendências Atuais

UNIVERSIDADE FEDERAL DO PIAUÍ COLÉGIO TÉCNICO DE TERESINA-TÉCNICO EM INFORMÁTICA DISCIPLINA: REDES DE COMPUTADORES I PROFESSOR: Valdemir Junior

I WORKSHOP DE TECNOLOGIA DE REDES Ponto de Presença da RNP em Santa Catarina Rede Metropolitana de Educação e Pesquisa da Região de Florianópolis

PROJETO INICIATIVA INTERNET SEGURA. Gilberto Zorello

IX Fórum Regional São Paulo, SP 10 de junho de 2019

WWW = WORLD WIDE WEB

PERÍCIA FORENSE COMPUTACIONAL EM SISTEMAS ALTERADOS POR

CERT.br, NIC.br e CGI.br Apresentação e Atuação

Firewall em estado ativo utilizando open-source software

Crimes pela Internet: Aspectos Técnicos e o Papel dos Grupos de Tratamento de Incidentes Cristine Hoepers

Aspectos de segurança na conectividade da rede acadêmica. Italo Valcy 25/Set/2017, VII WTR do PoP-BA

IX Fórum de dezembro de 2016 São Paulo, SP

RELATÓRIO ANUAL Destaques do Tratamento de Incidentes em 2010

Segurança Informática e nas Organizações. Guiões das Aulas Práticas

Apostila 4. Ameaças e Contramedidas de Segurança no Host

REDES DE COMPUTADORES

Workshop em Segurança Cibernética e Crime Cibernético para África Lusófona 22 a 24 de Setembro de 2015 Maputo, Moçambique

Introdução a Redes e a Internet. Introdução ao Computador 2010/01 Renan Manola

MANUAL DE INSTALAÇÃO

Segurança de Sistemas e Internet Firewalls. Marcos Aguinaldo Forquesato Centro de Computação UNICAMP

Testes de Penetração: Força Bruta para Login em SSH

monsta Manual de Instalação

Miriane Aparecida Batista Instituto Federal do Triângulo Mineiro Campus Paracatu Tecnólogo em Análises e Desenvolvimento de Sistemas. Cert.

VII Fórum da Internet no Brasil Rio de Janeiro, RJ 15 de novembro de 2017

Protocolos de Rede. Protocolos em camadas

Checkhosts Monitoramento e Gerência de Sistemas

CST em Redes de Computadores

Importância dos Grupos de Resposta a Incidentes de Segurança em Computadores

Incorporar Segurança Digital nas organizações é uma questão fundamental. Italo Valcy 01/Out/2018, IX WTR do PoP-BA

Alan Menk Santos Redes de Computadores e Telecomunicações. Camada de Aplicação. Camada de Aplicação

Panorama de segurança da informação e combate a atividade maliciosa na Rede Ipê. WTR PoP-RJ André Landim

Eduardo Barasal Morales Tiago Jun Nakamura Maputo, Moçambique 18/07/17-21/07/17

Pré-Processadores Grupo SNORT-BR

Dicas para Prova TRE (TO)

Segurança da Informação

Solução em AntiSpam em Nuvem. Filtre mais de 99,98% dos s indesejados!

Projeto de sistemas O novo projeto do Mercado Internet

Alunos em técnico em Informática da EAFS: Leandro Cavalari, Maria Matos e Renata Rasche.

PROVA BANCO DO NORDESTE ANALISTA BANCÁRIO 1 QUESTÕES DE INFORMÁTICA

Forense Digital / Computacional

Segredos do Hacker Ético

unesp UNIVERSIDADE ESTADUAL PAULISTA Prof. Dr. Adriano Mauro Cansian UNESP - IBILCE - São José do Rio Preto

CONCEITO DE INTERNET CLOUD COMPUTING WEB CONEXÃO MODEM PROVEDOR BACKBONE NÚMERO IP REDE WIRELESS ENDEREÇO MAC BROWSER HTML URL

Capacitação IPv6.br. Serviços em IPv6. Serviços rev

Hardening de equipamentos

Internet. Informática para Secretariado 23/06/2015

Professor: Jarbas Araújo.

Noções de Informática TRT PE. Prof. Márcio Hunecke

INFORMÁTICA. Com o Professor: Rene Maas

Firewall. Professor: João Paulo de Brito Gonçalves Disciplina: Serviços de Redes. Campus Cachoeiro Curso Técnico em Informática

Trabalhando com Redes de Computadores - 2ª Edição Plano de Aula - 24 Aulas (Aulas de 1 Hora)

Firewall e tradução de endereço de rede

PROGRAMA POR UMA INTERNET MAIS SEGURA. Gilberto Zorello

Os vírus se espalham através de (MORIMOTO, 2011, p. 403):

INTERNET P R O F. M A R C O A N T Ô N I O PROF. MARCO ANTÔNIO

Incidentes de segurança na RNP: números e ações em resposta. 2º EnSI

2º Seminário Internacional Brasil 100% Digital Brasília, DF 11 de novembro de 2016

Índice. Agradecimentos 5 Sobre o Autor 5 Sobre esta Obra 7. Definições 10 Como se tornar um Hacker? Segurança da Informação 13

Jessey Bullock Jeff T. Parker

Transcrição:

Tratamento de Incidentes Recomendações de Segurança em Função de alguns Ataques Atuais na Internet-BR NIC Br Security Office <nbso@nic.br> http://www.nic.br/nbso.html Cristine Hoepers <cristine@nic.br> Klaus Steding-Jessen <jessen@nic.br> 26 de novembro de 1999 1

Tópicos Apresentações: CG, GTS, NBSO Forma de operação Incidentes de Segurança Invasões na Internet Br Recomendações 2

Comitê Gestor CG Criado por portaria interministerial MCT/MC 147, de 31 de maio de 1995. Recomendar padrões e ética de uso para a Internet no Brasil Atribuição de IPs e registro de domínio 3

CG Estrutura Membros Grupos de Trabalho GTS GTER GTRH 4

GTS Assessora o CG. Subgrupos: SGTS-Backbones SGTS-Provedores Desenvolve ferramentas, documentos e padrões organizacionais relacionados com a segurança da Internet/Br 5

NBSO NIC Br Security Office Criado em junho de 1997 Atua coordenando as ações e provendo informações para os sites envolvidos nos incidentes reportados 6

NBSO NIC Br Security Office Recebe notificações de incidentes de segurança Encaminha essas notificações para os responsáveis das redes envolvidas Correlaciona dados Se necessário, ajuda no site (dependendo da gravidade) 7

Como Proceder num Incidente quem contactar responsáveis pelo domínio / backbone NBSO <nbso@nic.br> não retirar de imediato a máquina da rede ou reinstalar preservar evidências Não remover nenhum arquivo fazer backup completo 8

Como Proceder num Incidente (cont) analisar as atividades suspeitas na máquina analisar todas as conexões não autorizadas arquivos inseridos ou modificados pelo invasor backdoors / processos contas criadas / utilizadas reinstalação segura corrigir as vulnerabilidades detectadas durante a análise 9

Aspectos Legais Legislação: Não há lei específica Projeto de Lei 84, de 1999 Crimes previstos nas leis vigentes Escuta telemática (sniffing) Dano 10

Aspectos Legais (cont) Evidências Válidas: Sniffers instalados Alterações no sistema (arquivos, processos, etc) Logs Análise do tráfego do invasor 11

Vulnerabilidades mais Exploradas rpc.cmsd rpc.statd rpc.ttdbserverd mountd IIS 12

Vulnerabilidades mais Exploradas (cont) ftp://ftp.technotronic.com/unix/ [DIR] Parent Directory [DIR] aix-exploits....... [Sep 18 08:58] [DIR] bsd-exploits....... [Apr 22 15:00] [DIR] cgi-bin-exploits..... [Aug 18 18:03] [DIR] digital-exploits..... [Apr 22 13:04] [DIR] ftpd-exploits....... [Sep 15 18:12] [DIR] hp-ux-exploits...... [Oct 14 1998] [DIR] irix-exploits....... [Jul 7 00:07] [DIR] linux-exploits...... [Oct 7 12:44] [DIR] log-tools......... [Jun 25 15:14] [DIR] mail-exploits....... [Jun 25 14:43] [DIR] nameserver-exploits.... [Aug 1 17:03] [DIR] network-scanners..... [Oct 3 11:11] [DIR] network-sniffers..... [Sep 22 13:45] [DIR] packet-assembly...... [Jul 20 18:14] [DIR] passwd-crackers...... [Dec 3 1998] [DIR] sco-exploits....... [Oct 13 08:20] [DIR] security-tools...... [Jul 26 08:20] [DIR] solaris-exploits..... [Sep 28 22:50] [DIR] sun-exploits....... [May 24 23:24] [DIR] tcp-exploits....... [Apr 23 11:40] [DIR] trojans.......... [Aug 19 10:16] [DIR] udp-exploits....... [Mar 27 1998] 13

Vulnerabilidades mais Exploradas (cont) ftp://ftp.technotronic.com/microsoft/ [DIR] Parent Directory [FILE] iis-injector.c..... [Jun 16 11:51] [FILE] iishack.asm....... [Jun 15 22:27] [FILE] iishack.exe....... [Jun 15 22:26] [FILE] lc15exe.zip....... [Nov 5 1997] [FILE] lc252install.zip.... [Jun 15 12:27] [FILE] lsasecrets.c...... [May 5 1998] [FILE] msproxy2_0_exploit.tx.. [Oct 11 1998] [FILE] nat10_tar.gz...... [Jul 6 1998] [FILE] nat10bin.zip...... [Nov 5 1997] [FILE] nc11nt.zip....... [Feb 7 1998] [FILE] ncnt090.zip....... [Nov 5 1997] [FILE] ncx.exe......... [Jun 16 15:53] [FILE] ncx99.exe........ [Jun 16 09:28] [FILE] net-fizzv0.1.zip.... [Jun 13 13:00] [FILE] netbus.zip....... [Aug 25 1998] [FILE] netmonex.tgz...... [Jan 31 1998] [FILE] nn29a.exe........ [Oct 19 1998] [FILE] nn29b.exe........ [Apr 23 11:30] [FILE] noaccess.txt...... [Apr 7 1998] [FILE] nph-iefinal.exe..... [May 3 1998] [FILE] nstat.c......... [Oct 1 1998] [FILE] ntfaq2.zip....... [May 5 1998] 14

Evidências mais comuns após uma Invasão rootkit (ps, netstat, ifconfig, ls, login, last, etc) sniffer backdoor / shell suid trojan de sshd / inetd / popd / fingerd bots de IRC 15

Deficiências Graves nos Casos Acompanhados Uso de protocolos como pop, ftp, telnet Resistência à troca Ausência de sistema de log (syslogd) Análise de logs inexistente / ineficiente Falta de NTP 16

Deficiências Graves nos Casos Acompanhados (cont) Utilização de backups comprometidos Serviços desnecessários ou desconhecidos pelo administrador Falta de reclamações de ataques tcpwrappers como única forma de proteção Filtragem de pacotes inexistente / ineficiente 17

Casos Acompanhados Exemplo #1 Instituição A obtiveram acesso privilegiado em diversas máquinas instalação de sniffer, capturando todos os pacotes de conexões telnet, ftp e smtp instalação de vários backdoors (que eram iniciados via rc) modificação do inetd e outros programas ftp dos mails da máquina para sites no exterior 18

Casos Acompanhados Exemplo #1 (cont) Deficiências da Instituição A utilizavam somente telnet, ftp, pop, etc. utilizavam backups comprometidos não verificavam programas em execução mantinham serviços desnecessários 19

Casos Acompanhados Exemplo #2 Instituição B Invasores com acesso privilegiado em várias máquinas o telnetd foi substituído por um trojan, dando acesso privilegiado sem senha acessavam essas máquinas de dezenas de sites (Brasil e exterior) eram utilizadas como base para ataques a redes brasileiras,.gov,.com e.edu (EUA) além de outros países 20

Casos Acompanhados Exemplo #2 (cont) contas próprias foram criadas no sistema registraram domínios informando as contas criadas como email de contato usavam as máquinas como repositório de dados e ferramentas registraram nomes no DNS 21

Casos Acompanhados Exemplo #2 (cont) Deficiências na Instituição B não possuiam syslogd utilizavam somente telnet, ftp, pop, etc. não verificavam as origens das conexões dos seus usuários não verificavam os programas em execução mantinham serviços desnecessários 22

Recomendações uso de ssh, S/KEY aplicação de patches / atualização do sistema manter apenas serviços imprescindíveis filtragem de pacotes 23

Recomendações (cont) pgp log host centralizado sincronização de relógio via NTP md5 / tripwire denunciar scans e tentativas de invasão análise constante do tráfego da rede 24

Colaboradores do NBSO SACC/PF Setor de Apuração de Crimes por Computador CAIS/RNP Centro de Atendimento a Incidentes de Segurança Movimento Brasileiro Anti-Spam 25

Mails e URLs de Interesse <nbso@nic.br> http://www.nic.br/nbso.html http://www.antispam.org.br http://www.securityfocus.com http://www.cert.org/nav/securityimprovement.html http://www.enteract.com/~lspitz/pubs.html http://www.robertgraham.com/pubs/firewall-seen.html http://www.clark.net/~roesch/seclinks.html 26

Mails e URLs de Interesse (cont) http://www.counterpane.com/hotlist.html http://www.openssh.com/ http://www.securitysearch.net/ http://www.attrition.org/mirror/attrition/ http://www.technotronic.com/ http://www.hack.co.za/ 27

2024 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback