1. ´
Cenario das Fraudes e
do Spam no Brasil
Klaus Steding-Jessen
jessen@cert.br
Marcelo H. P. C. Chaves
mhp@cert.br
¸˜
Esta apresentacao:
http://www.cert.br/docs/palestras/
Centro de Estudos, Resposta e Tratamento de Incidentes de Seguranca no Brasil
¸
¸˜ ¸˜
Nucleo de Informacao e Coordenacao do Ponto br
´
ˆ
Comite Gestor da Internet no Brasil
˜
Campus Party Brasil 2010, Sao Paulo – janeiro de 2010 – p. 1/27
2. Sobre o CERT.br
Criado em 1997 como ponto focal nacional para tratar
incidentes de seguranca relacionados com as redes
¸
`
conectadas a Internet no Brasil
CERT.br
Tratamento de Treinamento e Análise de
Incidentes Conscientização Tendências
− Articulação − Cursos − Consórcio
− Apoio à − Palestras de Honeypots
recuperação − Documentação − SpamPots
− Estatísticas − Reuniões
http://www.cert.br/missao.html
˜
Campus Party Brasil 2010, Sao Paulo – janeiro de 2010 – p. 2/27
3. Estrutura do CGI.br
01- ´ ˆ
Ministerio da Ciencia e Tecnologia
´
10- Notorio Saber
02- ´ ¸˜
Ministerio das Comunicacoes
11- Provedores de Acesso e Conteudo ´
03- ˆ
Casa Civil da Presidencia da Republica
´
12- Provedores de Infra-estrutura de
04- ´
Ministerio do Planejamento, Orcamento e Gestao
¸ ˜
¸˜
Telecomunicacoes
05- ´ ´
Ministerio do Desenvolvimento, Industria e Comercio Exterior
´
13- Industria TICs (Tecnologia da Infor-
´
06- ´
Ministerio da Defesa
¸˜ ¸˜
macao e Comunicacao) e Software
07- ˆ ¸˜
Agencia Nacional de Telecomunicacoes
´
14- Empresas Usuarias
08- ´
Conselho Nacional de Desenvolvimento Cient´fico e Tecnologico
ı
15-18- Terceiro Setor
09- ´
Conselho Nacional de Secretarios Estaduais para Assuntos de
19-21- Academia
ˆ
Ciencia e Tecnologia
˜
Campus Party Brasil 2010, Sao Paulo – janeiro de 2010 – p. 3/27
4. ¸˜
Atribuicoes do CGI.br
¸˜
Entre as diversas atribuicoes e responsabilidades
definidas no Decreto Presidencial no 4.829, destacam-se:
• a proposicao de normas e procedimentos relativos a
¸˜ `
¸˜
regulamentacao das atividades na internet
• a recomendacao de padroes e procedimentos tecnicos
¸˜ ˜ ´
operacionais para a internet no Brasil
• o estabelecimento de diretrizes estrategicas relacionadas ao
´
uso e desenvolvimento da internet no Brasil
• a promocao de estudos e padroes tecnicos para a
¸˜ ˜ ´
seguranca das redes e servicos no pa´s
¸ ¸ ı
• a coordenacao da atribuicao de enderecos internet (IPs) e do
¸˜ ¸˜ ¸
registro de nomes de dom´nios usando <.br>
ı
• a coleta, organizacao e disseminacao de informacoes sobre
¸˜ ¸˜ ¸˜
os servicos internet, incluindo indicadores e estat´sticas
¸ ı
˜
Campus Party Brasil 2010, Sao Paulo – janeiro de 2010 – p. 4/27
5. Agenda
Fraudes
´ ´
Historico e cenario atual
Malware
Phishing
Spam
¸˜
Reclamacoes ao CERT.br em 2009
Abuso de Proxies em PCs Infectados
Brasil na CBL
ˆ
Gerencia de Porta 25
ˆ
Referencias
˜
Campus Party Brasil 2010, Sao Paulo – janeiro de 2010 – p. 5/27
6. Fraudes
˜
Campus Party Brasil 2010, Sao Paulo – janeiro de 2010 – p. 6/27
7. ´ ´
Historico e cenario atual (1/2)
2001 Keyloggers enviados por e-mail, ataques de forca bruta
¸
2002–2003 Phishing e uso disseminado de DNSs
comprometidos
2003–2004 Aumento dos casos de phishing mais sofisticados
- Sites coletores: processamento/envio de dados p/ contas de
e-mail
2005–2006 Spams em nome de diversas entidades/temas
variados
´
- Links para cavalos de troia hospedados em diversos sites
- V´tima raramente associa o spam com a fraude financeira
ı
´
2007 downloads involuntarios (via JavaScript, ActiveX, etc) -
ˆ
Continuidade das tendencias de 2005–2006
˜
Campus Party Brasil 2010, Sao Paulo – janeiro de 2010 – p. 7/27
8. ´ ´
Historico e cenario atual (2/2)
2008–hoje
• Continuidade das tendencias de 2005–2007
ˆ
• downloads involuntarios mais frequentes, inclusive em grandes
´ ¨
sites
– casos publicados na m´dia nos ultimos meses incluem:
ı ´
sites principais da Vivo, da Oi e da Ambev
• links patrocinados do Google usando a palavra “banco” e
¸˜
nomes de instituicoes como “AdWords”
• Malware modificando arquivo hosts – antigo, mas ainda efetivo
• Malware modificando configuracao de proxy em navegadores
¸˜
(arquivos PAC)
• Malware se registrando como Browser Helper Objects (BHO)
em navegadores
• Malware validando, no site real, os dados capturados
˜
Campus Party Brasil 2010, Sao Paulo – janeiro de 2010 – p. 8/27
9. Sistema de Monitoramento de Malware
trojanfilter
emails
Extract suspicious
URLs from emails
URLs
sm2av trojancheck notify
Select new malware Fetch and store malware Get IP contacts
from malware´s list candidate
malware files list entry Create email with the
Send malware copy Using AV, confirm if file is list entry data and a
to each AV vendor (confirmed) really a malware email template
that does not detect Create a list with the IP, date, URL, Send notification
the malware yet confirmed URLs AV signature asking to remove
the malware
email with the add new URLs
malware copy email with the
istronline notification
Try to fetch malware in
order to check if it is
still online
Update stats DB including
the new date and status
of the malware URL
˜
Campus Party Brasil 2010, Sao Paulo – janeiro de 2010 – p. 9/27
10. Estat´sticas de Malware (1/3)
ı
Tentativas de fraude tratadas envolvendo malware*:
Categoria 2006 2007 2008 2009
URLs unicas
´ 25.087 19.981 17.376 10.864
´
Codigos maliciosos unicos (hashes unicos)
´ ´ 19.148 16.946 14.256 8.151
Assinaturas de Antiv´rus (unicas)
ı ´ 1.988 3.032 6.085 4.101
Assinaturas de Antiv´rus (“fam´lia”)
ı ı 140 109 63 93
˜
Extensoes de arquivos usadas 73 112 112 100
Dom´nios
ı 5.587 7.795 5.916 4.447
Enderecos IP unicos
¸ ´ 3.859 4.415 3.921 3.233
Pa´ses de origem
ı 75 83 78 76
¸˜
Emails de notificacao enviados pelo CERT.br 18.839 17.483 15.499 9.935
˜
(*) Incluem keyloggers, screen loggers, trojan downloaders – nao incluem bots/botnets, worms
˜
Campus Party Brasil 2010, Sao Paulo – janeiro de 2010 – p. 10/27
11. Estat´sticas de Malware (2/3)
ı
¸˜
Taxas de Deteccao dos Antiv´rus em 2009:
ı
AV Vendors Detection Rate (%) [2009-01-01 -- 2009-12-31]
100
80
21% dos antiv´rus de-
ı
tectaram mais de 70%
60 dos exemplares
72% dos antiv´rus de-
ı
40
tectaram menos de
50% dos exemplares
20
0
01 02 03 04 05 06 07 08 09 10 11 12
Months (2009)
Vendor K Vendor AD Vendor F Vendor M Vendor Q
Vendor C Vendor Z Vendor R Vendor AM
˜
Campus Party Brasil 2010, Sao Paulo – janeiro de 2010 – p. 11/27
12. Estat´sticas de Malware (3/3)
ı
Malwares enviados para 25+ Antiv´rus em 2009:
ı
Trojan Samples Sent [2009-01-01 -- 2009-12-31]
900
Casos de fraude rela-
800 cionados a malware
reduziram 23% do ano
700
de 2008 para 2009,
600 mas aumentaram 14%
do terceiro para o
500
quarto trimestre de
400 2009
300
´
Casos de paginas de
200 phishing aumentaram
112% do ano de 2008
100
para 2009
0
01 02 03 04 05 06 07 08 09 10 11 12
Months (2009)
Vendor K Vendor AD Vendor F Vendor M Vendor Q
Vendor C Vendor Z Vendor R Vendor AM reference
˜
Campus Party Brasil 2010, Sao Paulo – janeiro de 2010 – p. 12/27
13. Sistema de Monitoramento de Phishing
data
Phishing
URLs donation
fetcher tester
Download a copy of phishing Update uptime
each phishing page online data
cases Check status
Extract and store
data in a DB
Donate data to refeed the no status
partners system changed?
yes
no
validator alert IH about
archive status is the change
closed yes offline? IH manually
cases
checks the
new status
˜
Campus Party Brasil 2010, Sao Paulo – janeiro de 2010 – p. 13/27
14. Estat´sticas de Phishing (1/2)
ı
Tentativas de fraude tratadas envolvendo phishing em 2009
Casos total 3332 URLs unicas
´ 3215 tempo de vida
online 51 Hashes unicos
´ 1671 ´
Maximo 218d 05h 26m
off-line 3281 Dom´nios
ı 1619 M´nimo
ı 0d 00h 00m
bancos (BR) 1916 Enderecos IP
¸ 1344 ´
Media 4d 07h 12m
Alvos total 177 CIDRs 452 ˜
Desvio padrao 11d 01h 25m
bancos (BR) 32 Pa´ses (CCs)
ı 49
−6h 23.0%
−12h 7.8%
casos por tempo de vida
<= 15 minutos (-15m) 24
<= 1 hora (-1h) 324 −1h 9.7%
−1d 10.8%
<= 6 horas (-6h) 765
−15m 0.7%
<= 12 horas (-12h) 259
<= 1 dia (-1d) 361
<= 1 semana (-1s) 1100
> 1 semana (+1s) 499 +1s 15.0%
−1s 33.0%
˜
Campus Party Brasil 2010, Sao Paulo – janeiro de 2010 – p. 14/27
15. Estat´sticas de Phishing (2/2)
ı
Tentativas de fraude tratadas envolvendo phishing em 2009
−6h 21.7%
−12h 9.1%
Bancos Brasileiros casos por tempo de vida
<= 15 minutos (-15m) 9
<= 1 hora (-1h) 151 −1d 11.3% −1h 7.9%
tempo de vida <= 6 horas (-6h) 416 −15m 0.5%
´
Max. 149d 22h 06m <= 12 horas (-12h) 175
M´n.
ı 0d 00h 00m <= 1 dia (-1d) 216
´
Media 4d 13h 54m <= 1 semana (-1s) 642 +1s 16.0%
D. P. 10d 13h 08m > 1 semana (+1s) 307
−1s 33.5%
−6h 24.6%
Outras Entidades casos por tempo de vida
−12h 5.9%
<= 15 minutos (-15m) 15 −1h 12.2%
<= 1 hora (-1h) 173
tempo de vida <= 6 horas (-6h) 349 −1d 10.2% −15m 1.1%
´
Max 218d 05h 26m <= 12 horas (-12h) 84
M´n.
ı 0d 00h 00m <= 1 dia (-1d) 145
´
Media 3d 22h 09m <= 1 semana (-1s) 458 +1s 13.6%
D. P. 11d 17h 46m > 1 semana (+1s) 192
−1s 32.3%
˜
Campus Party Brasil 2010, Sao Paulo – janeiro de 2010 – p. 15/27
16. Spam
˜
Campus Party Brasil 2010, Sao Paulo – janeiro de 2010 – p. 16/27
17. ¸˜
Reclamacoes ao CERT.br em 2009
Spams Reportados ao CERT.br por Ano
18000000 Total
SpamCop 17221200
Abusix
16000000
2327388
14000000
12000000 12574732
10000000
8000000
6000000
4072334 4156382
4000000
3403430 3297973
3661569 3665200
2414200 2446154
2000000
1989902 1889658 2012987
1729037
0
2003 2004 2005 2006 2007 2008 2009
Ano (2003 a 2009)
˜
Campus Party Brasil 2010, Sao Paulo – janeiro de 2010 – p. 17/27
18. Abuso de Proxies em PCs Infectados
Porcentagem de Spams Reportados ao CERT.br
Categorias mais Comuns sobre o Total Recebido do SpamCop
90
80
70
60
Porcentagem
50
40
30
20
10
0
01/2006 07/2006 01/2007 07/2007 01/2008 07/2008 01/2009 07/2009
Meses (janeiro de 2006 a dezembro de 2009)
Proxy Aberto Envio Direto de Spam Spamvertized Website
˜
Campus Party Brasil 2010, Sao Paulo – janeiro de 2010 – p. 18/27
19. Brasil na CBL
Dados gerados em: Fri Jan 22 11:58:37 2010 UTC/GMT
Composite Blocking List http://cbl.abuseat.org/
˜
Campus Party Brasil 2010, Sao Paulo – janeiro de 2010 – p. 19/27
20. Resultados do Projeto SpamPots
´
Metricas sobre o Abuso de Redes de Banda Larga para o Envio de Spam
Principais Resultados:
Per´odo de coleta
ı 10/06/2006
a 18/09/2007 • 99.84% das conexoes eram
˜
Dias coletados 466
originadas do exterior
Total de emails 524.585.779
Emails/dia ˜
1,2 milhoes • os spammers consumiam toda a
´
Destinatarios 4.805.521.964
banda de upload dispon´vel;
ı
´
Destinatarios/spam 9,16
IPs unicos
´ 216.888 • mais de 90% dos spams eram
ASNs unicos
´ 3.006
destinados a redes de outros
Country Codes 165
pa´ses.
ı
• Projeto mantido pelo CGI.br/NIC.br, como parte da CT-Spam
• 10 sensores (honeypots de baixa interatividade)
– 5 operadoras diferentes de cabo e DSL
– em conexoes residenciais e comerciais
˜
http://www.cert.br/docs/whitepapers/spampots/
˜
Campus Party Brasil 2010, Sao Paulo – janeiro de 2010 – p. 20/27
21. ´
Abuso - Cenario Atual
Spammers Redes Residenciais Provedores de E−mail Provedores de E−mail
Fraudadores (DSL, Cabo, Dial−up, etc) dos Remetentes (MTAs) dos Destinatários (MTAs)
Malware
25/TCP
Primergy
Provedor 25/TCP
de E−mail Primergy
Provedor
1080/TCP A 25/TCP de E−mail
25/TCP X
25/TCP
25/TCP 25/TCP Primergy
Provedor
Primergy
Provedor de E−mail
de E−mail
8000/TCP 25/TCP Y
B 25/TCP
6588/TCP
25/TCP Primergy
3382/TCP 80/TCP Primergy
Provedor
Provedor de E−mail
de E−mail
80/TCP 25/TCP Z
C
˜
Campus Party Brasil 2010, Sao Paulo – janeiro de 2010 – p. 21/27
22. ¸˜ ¸˜
Acoes para Reducao
do Problema
˜
Campus Party Brasil 2010, Sao Paulo – janeiro de 2010 – p. 22/27
23. ¸˜ ¸˜
Acoes para Reducao do Problema
¸˜ ¸˜
Acoes por parte das Operadoras de Telecomunicacoes e
`
Provedores de Acesso a Internet
¸˜
• Implementar, em acao coordenada, a
ˆ
Gerencia de Porta 25
¸˜ ´
Acoes por parte dos Usuarios de Servicos de E-mail
¸
¸˜
• Alterar suas configuracoes de e-mail, conforme
¸˜
instrucoes de seu provedor de e-mail
¸˜
• Seguir as recomendacoes de seguranca para evitar
¸
¸˜
a infeccao de seus computadores
˜
Campus Party Brasil 2010, Sao Paulo – janeiro de 2010 – p. 23/27
24. ˆ
Gerencia de Porta 25
˜
Diferenciar a submissao de e-mails do cliente para o servidor,
˜
da transmissao de e-mails entre servidores.
¸˜ ¸˜
Implementacao depende da aplicacao de medidas por
provedores e operadoras:
• Provedores de servicos de correio eletronico:
¸ ˆ
˜
– Implementar o padrao de Message Submission,
tipicamente na porta 587/TCP (RFC 4409), e
implementar SMTP autenticado
• Operadoras de banda larga/dial up de perfil residencial
´
(usuario final):
ˆ
– Impedir envio direto de mensagens eletronicas
´ ´
(atraves da filtragem da sa´da de trafego com destino
ı
`
a porta 25/TCP)
Detalhes em: http://www.antispam.br/admin/porta25/
˜
Campus Party Brasil 2010, Sao Paulo – janeiro de 2010 – p. 24/27
25. ˆ
Gerencia de Porta 25 e seu Impacto
Spammers Redes Residenciais Provedores de E−mail Provedores de E−mail
Fraudadores (DSL, Cabo, Dial−up, etc) dos Remetentes dos Destinatários
Malware
587/TCP (MSA)
Primergy
Provedor (MTA) 25/TCP (MTA)
de E−mail Primergy
Provedor
1080/TCP 25/TCP A de E−mail
X
(MTA)
25/TCP 25/TCP
(MTA)
587/TCP (MSA) 25/TCP Primergy
Provedor
Primergy
Provedor (MTA) (MTA) de E−mail
de E−mail
8000/TCP 587/TCP (MSA) Y
B
6588/TCP
25/TCP
(MTA) 25/TCP (MTA) Primergy
3382/TCP 80/TCP (MSA) Primergy
Provedor
Provedor de E−mail
de E−mail
80/TCP (MSA) Z
C
25/TCP
˜
Campus Party Brasil 2010, Sao Paulo – janeiro de 2010 – p. 25/27
26. ˆ
Benef´cios da Gerencia de Porta 25
ı
¸˜ ¸˜
• Melhores condicoes de utilizacao da rede
´ ¸˜ ¸˜
– ha melhores condicoes de utilizacao da rede com a
reducao
¸ ˜ do desperd´cio de banda para o envio de
ı
spam
– sobram mais recursos computacionais para o usuario´
leg´timo pelo fato do computador ser menos abusado
ı
• Melhor qualidade de servico de e-mail
¸
˜
– como atua na submissao, antes da mensagem entrar
na infra-estrutura de e-mail dos provedores, tem o
potencial de aliviar a carga e melhorar a qualidade de
´
servico para o usuario
¸
˜
Campus Party Brasil 2010, Sao Paulo – janeiro de 2010 – p. 26/27
27. ˆ
Referencias
• Esta Apresentacao:
¸˜
http://www.cert.br/docs/palestras/
• Antispam.br: Gerencia de Porta 25
ˆ
http://www.antispam.br/admin/porta25/
• Resolucao CGI.br/RES/2009/002/P: Recomendacao para adocao
¸˜ ¸˜ ¸˜
ˆ ´
de gerencia de Porta 25 em redes de carater residencial
http://www.cgi.br/regulamentacao/resolucao2009-02.htm
• Comite Gestor da Internet no Brasil – CGI.br
ˆ
http://www.cgi.br/
• Nucleo de Informacao e Coordenacao do Ponto br – NIC.br
´ ¸˜ ¸˜
http://www.nic.br/
• Centro de Estudos, Resposta e Tratamento de Incidentes de
Seguranca no Brasil – CERT.br
¸
http://www.cert.br/
˜
Campus Party Brasil 2010, Sao Paulo – janeiro de 2010 – p. 27/27