Resposta a Incidentes de Segurança



Documentos relacionados
Tratamento de Incidentes de Segurança na Internet Br pelo NBSO

Ataques Mais Comuns na Internet BR. Tratamento e Recuperação de Incidentes

Apresentação, Metodologia. NBSO NIC Br Security Office

Tratamento de Incidentes. em Função de alguns Ataques Atuais na Internet-BR

Aspectos de Segurança na Internet: Evolução e Tendências Atuais

Senha Admin. Nessa tela, você poderá trocar a senha do administrador para obter acesso ao NSControl. Inicialização

e Uso Abusivo da Rede

Cartilha de Segurança para Internet

Uso de Flows no Tratamento de Incidentes da Unicamp

Nesse artigo abordaremos os principais aspectos de instalação e uso do NTOP no Fedora Core 4.

MANUAL DE CONFIGURAÇÃO

Firewall em estado ativo utilizando open-source software

NTP. Instalação e Configuração. Centro de Atendimento a Incidentes de Segurança - CAIS. Novembro de 1998 NTP PAL0102 PAL RNP

Tecnologias e Políticas para Combate ao Spam

Configurando o IIS no Server 2003

Aula 03 Malware (Parte 01) Visão Geral. Prof. Paulo A. Neukamp

Manual de backup do banco de dados PostgreSQL - Versão 2. Setembro-2011

Winconnection 6. Internet Gateway

Passo 1: Abra seu navegador e digite Passo 2: Na tela que surgir, clique em Get Started.

Ataques e Intrusões. Invasões Trashing e Engenharia Social. Classificação de Hackers

Configurando DDNS no Stand Alone

Procedimento para configuração de Redirecionamento de Portas

SISEMA. Sistema Estadual de Meio Ambiente e Recursos Hídricos

Aula prática. Objetivo IPCONFIG. Prof. Leandro Pykosz Informa a configuração atual de rede da máquina;

Comandos remotos via agente Zabbix

MANUAL EXPORTAÇÃO IMPORTAÇÃO

Camada de Aplicação. DNS Domain Name System. Redes de Computadores Prof. Leandro C. Pykosz

Introdução a DNS & DNSSEC 1

- Wireless e NTP - 272

WinGate - Passo a passo

Papel dos CSIRTs no Cenário Atual de Segurança

Códigos Maliciosos. <Nome> <Instituição> < >

BACKUP ONLINE LINHA OFFICE

Ao ligar o equipamento, você verá a mensagem abaixo, o objetivo dela é fazer a configuração mínima para LOGAR ao servidor da Internet.

Sistema de Chamados Protega

Redes de Computadores

Alterações Easycaptive

Importância dos Grupos de Resposta a Incidentes de Segurança em Computadores

IREasy Manual do Usuário Versão do manual

Passo a Passo da instalação da VPN

REDES DE COMPUTADORES

O Protocolo IP (2) Prof. José Gonçalves Pereira Filho Departamento de Informática

Políticas de Segurança de Sistemas

IV Workshop POP-RS / Rede Tche

Configuração e Instalação do Atendimento Online

Instalação Remota Distribuição Linux

Entendendo como funciona o NAT

Códigos Maliciosos. Prof. MSc. Edilberto Silva

PASSO A PASSO PARA VISUALIZAR NA INTERNET O DVR STAND ALONE ECOTRONIC

MANUAL DO USUÁRIO SUMÁRIO

UNIVERSIDADE FEDERAL DE PELOTAS

Satélite. Manual de instalação e configuração. CENPECT Informática cenpect@cenpect.com.br

Disciplina de Redes de Computadores Aula Prática IV Professor Dr Windson Viana de Carvalho Protocolos de Números de Matrícula :

O sistema que completa sua empresa Roteiro de Instalação (rev ) Página 1

Perfil dos Ataques Atuais na Internet BR e Recomendações para o Aumento da Segurança de Sistemas Conectados à Internet

Pessoal, abaixo fiz um passo-a-passo de como configurar o DVR para acessar a internet, neste caso utilizei os seguintes itens:

Objetivos deste capítulo

1.1. Usuários com e sem vínculos de representação Como consultar os dados do gestor de segurança e saber quem ele é

Para funcionamento do Netz, alguns programas devem ser instalados e alguns procedimentos devem ser seguidos. São eles:

Guia de Conectividade Worldspan Go Res! A V A N Ç A D O

MANUAL DE INSTALAÇÃO

Manual de uso PSIM Client 2010

Novas Ameaças na Internet e Iniciativas do CERT.br e CGI.br para Combatê-las

Guia de configuração para liberar Portas no DSLink 485 (GVT) Rev. 1.0gvt

GERENCIADOR DE CORREIO ELETRÔNICO (V. 2 26/04/2010)

Disciplina de Redes de Computadores Estudo Dirigido para a Prova II Professor Dr Windson Viana de Carvalho

Manual de Desbloqueio do Tablet PC

HOW TO. Instalação do Firewall 6.1 Software

CSAU Guia: Manual do CSAU 10.0 como implementar e utilizar.

IP significa Internet Protocol. A Internet é uma rede, e assim como ocorre em qualquer tipo de rede, os seus nós (computadores, impressoras, etc.

Escrito por Daniel Donda Qui, 06 de Novembro de :21 - Última atualização Qui, 06 de Novembro de :47

Tutorial Web Mail. Acesso e Utilização. MPX Brasil Cuiabá/MT: Av. Mal Deodoro, 1522 B Centro Norte. Contato: (65) cuiaba@mpxbrasil.com.

Manual Replicação Manual VPN

Procedimentos para Configuração de Redirecionamento de Portas

Projeto de Redes de Computadores. Desenvolvimento de Estratégias de Segurança e Gerência

ANALISTA DE SISTEMAS - SUPORTE

Curso Básico Sistema EMBI

ATENÇÃO. No menu downloads do meu site não existe mais o link para baixar uma iso do Mikrotik. (vc deverá providenciar uma iso em outro lugar).

Introdução ao QuarkXPress

Manual de Configuração D-LINK Modelo: DVG-1402S Firmware:

Configurando o DDNS Management System

Cartilha. Correio eletrônico

3 SERVIÇOS IP. 3.1 Serviços IP e alguns aspectos de segurança

Na Figura a seguir apresento um exemplo de uma "mini-tabela" de roteamento:

ESET Remote Administrator ESET EndPoint Solutions ESET Remote Adminstrator Workgroup Script de Logon

1.1 Porque um nível de aplicação proxy?

Sistemas Operacionais de Redes. Aula: Gerenciamento de rede Professor: Jefferson Igor D. Silva

Procedimentos para Configuração de Redirecionamento de Portas

TUTORIAL PLATAFORMA DOS CURSOS CRIANÇA SEGURA PRIMEIRO ACESSO

MANUAL DO ALUNO 4LEARN

Palestra sobre Segurança de Redes - Windows NT


Data Autor Descrição Revisão Configuração HX600 via Rede Ethernet 1.0

Transcrição:

Resposta a Incidentes de Segurança NIC BR Security Office nbso@nic.br http://www.nic.br/nbso.html Cristine Hoepers cristine@nic.br Klaus Steding-Jessen jessen@nic.br SSI 2000 São José dos Campos 25 de outubro de 2000 Nota sobre a Distribuição desse Documento É permitido fazer e distribuir cópias inalteradas deste documento, completo ou em partes, contanto que os autores originais sejam citados e esta nota sobre a distribuição seja mantida em todas as cópias. Se este documento for distribuído apenas em partes, instruções de como obtê-lo por completo devem ser incluídas. Resposta a Incidentes de Segurança Como não responder a um incidente (exemplos) Contactando Sites Fases do Processo Interação entre Grupos de Segurança (GS) Equívocos 1

Exemplo 1 Regra "Default Block SubSeven 2.1/2.2 Trojan" bloqueada (d1sac,27374). Conex~ao TCP de entrada Endereço, serviço local é (d1sac,27374) Endereço, serviço remoto é (foo15069.foobar.com.br,1906) O nome do processo é "N/A" Exemplo 1 (cont) Olá! O IP mencionado abaixo, n~ao pertence à foobar.com.br. Atenciosamente, Suporte Foobar Exemplo 1 (cont) Caro Internauta, Verifique se está digitando corretamente seu login sem @foobar.com.br e a sua senha correta, e sem nenhum espaço entre as letras. Atenciosamente Suporte Foobar 2

Exemplo 1 (cont) Caro Internauta Informamos que este problemas já foi solucionado. Por Favor, envie - nos um novo e - mail se o problema persitir com a mensagem de erro. Atenciosamente, Suporte Foobar Exemplo 2 Aug 25 13:05:35 inode named[679]: unapproved query from [a.b.217.131].4828 for "version.bind" -- Date : 2000-08-25 Time (GMT) : 15:28:01 Attack Type : DNS port probe Intruder IP : a.b.217.131 Intruder Name : gateway.foo.net Port : port=53 Victim IP : 198.144.206.5 -- 2000-08-25 00:07:32 a.b.217.131 4307 198.123.1.0 53 2000-08-25 00:07:32 a.b.217.131 4308 198.123.1.1 53 3

Exemplo 2 (cont) Date: Sat, 26 Aug 2000 13:20:50-0300 Um de nossos profissionais instalou um scanner (pscan) no gateway de nosso sistema a nossa revelia e sua máquina foi uma das verificadas. Esta aç~ao foi descoberta logo depois pelo responsável de nossa rede e o profissional já foi punido pela demiss~ao. Gostaria mais uma vez de nos desculpar pela inconveni^encia tendo a mais completa certeza de que fato semelhante n~ao tornará a ocorrer. Atenciosamente, Diretoria Foo Development Ltda. Exemplo 2 (cont) Name: Address: hippie.foo.net a.b.217.136 Aug 27 06:55:19 router 92117: list 101 denied tcp a.b.217.136(4156) -> x.y.192.1(53), 1 packet Aug 27 06:55:19 router 92118: list 101 denied tcp a.b.217.136(4157) -> x.y.192.2(53), 1 packet Aug 27 06:56:04 router 92591: list 101 denied tcp a.b.217.136(4365) -> x.y.192.210(53), 1 packet Aug 27 06:56:04 router 92592: list 101 denied tcp a.b.217.136(4366) -> x.y.192.211(53), 1 packet 4

Exemplo 2 (cont) Date: Tue, 29 Aug 2000 01:49:08-0300 Prezados Senhores, o scanner usado era na verdade parte de uma ferramenta que esta sendo desenvolvida por nos para a analise de top level domains a ser usada em meu outro cargo. O responsavel pelo problema foi um programador que era justamente o encarregado pelo desenvolvimento do processo de stealth mode das requisicoes syn e udp. A explicacao dada foi a de estar desenvolvendo uma nova ferramenta para "spoofar" pacotes "conection oriented" como o TCP, porisso testa-lo na porta 53. Atenciosamente, Fulano Diretor de Tecnologia Foo Development LTDA Exemplo 3 Date: Wed, 13 Sep 2000 11:45:12-0300 (GMT+3) From: Operacao-FoobazNet <operacao@foobaz.com.br> To: Klaus Steding-Jessen <jessen@nic.br> Cc: "Trower, Kris" <trower@more.net>, nbso@nic.br Subject: Re: MOREnet Security Event 01-02252 Estavamos no meio de uma reuni~ao durante essa hora. Com certeza, é spoof. Ou um portscan sensível demais. done, Ciclano, Ciclano@foobaz.com.br. 5

Exemplo 4 From: "denuncia@barbaz.com.br" <denuncia@barbaz.com.br> To: jessen@nic.br Subject: Re:Re: Spam Abuse From www.gata.tsx.org Date: Thu, 20 Apr 2000 16:01:13-0300 (BRT) Dear Klaus, Thank s for your message about a BO attack. Our company will verify this case in high priority! You can read our policy on http://www.barbaz.com.br/foo.htm Beltrano Customer Electronic Service BARBAZ-Brasil Exemplo 4 (cont) From: "denuncia@barbaz.com.br" <denuncia@barbaz.com.br> To: jessen@nic.br Subject: Re: Abuse! Suspicious Activity!!! Date: Sat, 27 May 2000 10:52:39-0300 (BRT) Dear User, Thank s for your message about a SPAM message. Our company will verify this case in high priority! You can read our policy on http://www.barbaz.com.br/foo.htm Sincerely, Fulano BARBAZ Customer Service 6

Exemplo 4 (cont) From: Ciclano@barbaz.com.br To: jessen@nic.br Subject: Re: Hacker Report Date: Mon, 24 Jul 2000 09:19:10-0300 (BRT) Por ocasiao do meu casamento, estarei fora ate dia 30/07. Atenciosamente, Ciclano Exemplo 4 (cont) From: "denuncia@barbaz.com.br" <denuncia@barbaz.com.br> To: jessen@nic.br Subject: Re:Re: PLEASE TAKE OF THIS HACKER HERE Date: Tue, 15 Aug 2000 17:59:42-0300 (BRT) Dear Webmaster, Thank s for your message about a BO attack and Spam. Our company will verify this case in high priority! You can read our policy on http://www.barbaz.com.br/foo.htm Best regards, Beltrano Customer Electronic Service - BARBAZ Brasil 7

Exemplo 5 To: nbso@nic.br From: Mail Administrator <postmaster@foobar.com.br> Subject: Message rejected by mailing list - postmaster@foobar.com.br Date: Sat, 1 Jul 2000 18:45:42-0300 Your message to this group has been rejected. Exemplo 6 From: MDaemon@foobar.foobaz Subject: Mailing list listing To: nbso@nic.br LIST command recognized If the remainder of this message is blank then all the lists hosted by this server are set to hide userlist information. Contactando Sites Notificação de um Incidente enviar email para: RFC 2142 ( security, abuse ) contatos do domínio/soa GS de todas as redes envolvidas NBSO logs com horário e timezone 8

Contactando Sites (cont) Resposta a um Incidente: Enviar email para: Todos a quem a reclamação foi enviada originalmente GS de sua rede / empresa / instituição NBSO Informar as ações tomadas Fases do Processo Atividades Prévias Investigando o Incidente Usuário Final Servidor Recuperação 9

Atividades Prévias Profissional/equipe dedicada à segurança Definição de poĺıticas: segurança, uso aceitável, etc. Implementar a RFC 2142: security, abuse, postmaster, etc. Manter contatos do domínio e SOA atualizados Atividades Prévias (cont) DNS reverso Sincronização de relógio via NTP Log host centralizado Manter logs por bastante tempo Atividades Prévias (cont) Cópia dos binários em CDROM/floppy MD5 / tripwire Sistema com patches/atualizado Manter apenas serviços imprescindíveis IDS / firewall 10

Investigando o Incidente Usuário final / dialup Servidor Investigando o Incidente Usuário Final Contactar o usuário Seguir a AUP Se originou invasão/crime: guardar logs e dados pessoais liberar os dados pessoais mediante mandado judicial Informar atitudes tomadas Investigando o Incidente Servidor Não desligar ou rebootar a máquina no máximo retirar da rede Procurar por evidências de invasão rootkit (ps, netstat, ifconfig, ls, login, last, etc) sniffer / bots de IRC backdoor / shell suid trojan de sshd / inetd / popd / fingerd / syslogd módulos de kernel (LKMs) 11

Investigando o Incidente Servidor (cont) Procurar por logs que apontem para outras redes contactar todas as redes envolvidas enviar os logs relacionados Analisar o tráfego Repetir o procedimento nos outros servidores Recuperação Avaliar impacto/causas do incidente Reavaliar a segurança do site Criar estratégia de Recuperação Reinstalação segura manter: logs da invasão / binários modificados Interação entre Grupos de Segurança Escopo de atuação União de Esforços Troca de informações Cruzamento de informações Descobertas de novos métodos 12

Equívocos Se acontecer alguma coisa é só baixar o backup. imagem da empresa/instituição backup comprometido Tenho uma consultoria que olha periodicamente o site. é necessário conhecer o tráfego de sua rede analisar diariamente os logs Equívocos (cont) Conversei com ele, era apenas um garoto. não houve arrependimento site totalmente apagado Ele invadiu o meu site e agora é o responsável pela segurança. ocultam atividades de hacking utilizam scripts / exploits prontos poucos conhecimentos técnicos ética 13

Equívocos (cont) From: "Script Kiddie" <kiddie@hotmail.com> To: webmaster@<dominio> Subject: HACKERS e o seu site Date: Tue, 05 Sep 2000 03:45:11 GMT Atencao, o server no qual o host http://www.<dominio> esta hospedado esta vulneravel a ataques de hackers (inclusive o grupo no qual faço parte "m3u GrUp0 d3 H4cK1nG", alterou a sua HP a pouco tempo). Sou cosultor de segurança e espero que tomem providencias. Para maiores informaçoes, favor contatar: "Script Kiddie" (KIDDIE) <kiddie@hotmail.com> Equívocos (cont) From: "Script Kiddie" <kiddie@hotmail.com> To: info@<dominio> Subject: INVASAO ao site www.<dominio> Date: Sat, 16 Sep 2000 05:56:01 GMT O site possui varios erros de configuracao, os erros estao sendo explorados por hackers do grupo m3u GrUp0 d3 H4cK1nG (grupo no qual pertenco). Sou consultor de seguranca, autor da "Coluna Lammer", membro do m3u GrUp0 d3 H4cK1nG, entre outros. Caso estejam interessados em corrigir os furos, favor entrar em contato. Caso nao respondam esse mail, irei alterar o site novamente (para demonstrar as vulnerabilidades). Abracos... "Script Kiddie" (KIDDIE) <kiddie@hotmail.com> - m3u GrUp0 d3 H4cK1nG Team 14

URLs de Interesse NIC BR Security Office http://www.nic.br/nbso.html Sites de referência http://www.nic.br/links.html 15

2024 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback