SlideShare uma empresa Scribd logo

Tratamento de Incidentes de Segurança

C
Campus Party Brasil
1 de 27
Baixar para ler offline
Tratamento de Incidentes Cristine Hoepers cristine@cert.br Centro de Estudos, Resposta e Tratamento de Incidentes de Seguranca no Brasil ¸ ¸˜ ¸˜ Nucleo de Informacao e Coordenacao do Ponto br ´ ˆ Comite Gestor da Internet no Brasil ˜ Campus Party Brasil 2011, Sao Paulo – janeiro de 2010 – p. 1/27
Estrutura do CGI.br 01- ´ ˆ Ministerio da Ciencia e Tecnologia ´ 10- Notorio Saber 02- ´ ¸˜ Ministerio das Comunicacoes 11- Provedores de Acesso e Conteudo ´ 03- ˆ Casa Civil da Presidencia da Republica ´ 12- Provedores de Infra-estrutura de 04- ´ Ministerio do Planejamento, Orcamento e Gestao ¸ ˜ ¸˜ Telecomunicacoes 05- ´ ´ Ministerio do Desenvolvimento, Industria e Comercio Exterior ´ 13- Industria TICs (Tecnologia da Infor- ´ 06- ´ Ministerio da Defesa ¸˜ ¸˜ macao e Comunicacao) e Software 07- ˆ ¸˜ Agencia Nacional de Telecomunicacoes ´ 14- Empresas Usuarias 08- ´ Conselho Nacional de Desenvolvimento Cient´fico e Tecnologico ı 15-18- Terceiro Setor 09- ´ Conselho Nacional de Secretarios Estaduais para Assuntos de 19-21- Academia ˆ Ciencia e Tecnologia ˜ Campus Party Brasil 2011, Sao Paulo – janeiro de 2010 – p. 2/27
¸˜ Atribuicoes do CGI.br ¸˜ Entre as diversas atribuicoes e responsabilidades definidas no Decreto Presidencial no 4.829, destacam-se: • a proposicao de normas e procedimentos relativos a ¸˜ ` ¸˜ regulamentacao das atividades na internet • ¸˜ ˜ ´ a recomendacao de padroes e procedimentos tecnicos operacionais para a internet no Brasil • ´ o estabelecimento de diretrizes estrategicas relacionadas ao uso e desenvolvimento da internet no Brasil • ¸˜ ˜ ´ a promocao de estudos e padroes tecnicos para a seguranca das redes e servicos no pa´s ¸ ¸ ı • ¸˜ ¸˜ a coordenacao da atribuicao de enderecos internet (IPs) e do ¸ registro de nomes de dom´nios usando <.br> ı • ˜ e disseminacao de informacoes sobre a coleta, organizacao ¸ ¸˜ ¸˜ os servicos internet, incluindo indicadores e estat´sticas ¸ ı ˜ Campus Party Brasil 2011, Sao Paulo – janeiro de 2010 – p. 3/27
Sobre o CERT.br Criado em 1997 como ponto focal para tratar incidentes de seguranca relacionados com as redes conectadas a ¸ ` Internet no Brasil CERT.br Tratamento de Treinamento e Análise de Incidentes Conscientização Tendências − Articulação − Cursos − Consórcio − Apoio à − Palestras de Honeypots recuperação − Documentação − SpamPots − Estatísticas − Reuniões http://www.cert.br/missao.html ˜ Campus Party Brasil 2011, Sao Paulo – janeiro de 2010 – p. 4/27
Agenda ¸˜ Algumas Definicoes ¸˜ Incidentes Mais Frequentes e Recomedacoes para ¨ Prevencao ¸ ˜ e Tratamento ¸˜ Acompanhamento de Notificacoes ˆ Referencias ˜ Campus Party Brasil 2011, Sao Paulo – janeiro de 2010 – p. 5/27
¸˜ Algumas Definicoes ˜ Campus Party Brasil 2011, Sao Paulo – janeiro de 2010 – p. 6/27
Incidente de Seguranca ¸ Qualquer evento adverso, confirmado ou sob suspeita, ` ¸˜ relacionado a seguranca dos sistemas de computacao ou ¸ das redes de computadores. -ou- O ato de violar uma pol´tica de seguranca, expl´cita ou ı ¸ ı impl´cita. ı http://www.cert.br/certcc/csirts/csirt_faq-br.html ˜ Campus Party Brasil 2011, Sao Paulo – janeiro de 2010 – p. 7/27
CSIRT–Computer Security Incident Response Team e Tratamento de Incidentes ˆ ¸˜ ”Um CSIRT prove servicos de suporte para prevencao, ¸ tratamento e resposta a incidentes de seguranca em ¸ computadores.” Fonte: Defining Incident Management Processes for CSIRTs: A Work in Progress. ˜ Figura utilizada com permissao do CERT R /CC e do SEI/CMU. http://www.cert.org/archive/pdf/04tr015.pdf ˜ Campus Party Brasil 2011, Sao Paulo – janeiro de 2010 – p. 8/27
¸˜ Papel dos CSIRTs – Prevencao • Definir pol´ticas para tratamento de incidentes ı ¸˜ ¸˜ • Auxiliar na protecao da infra-estrutura e das informacoes • Conscientizar sobre os problemas – Administradores de redes e sistemas ´ – Usuarios ¸˜ – Administracao superior ˜ Campus Party Brasil 2011, Sao Paulo – janeiro de 2010 – p. 9/27
Papel dos CSIRTs – Resposta • Seguir as pol´ticas ı ˆ ˆ • Preservar as evidencias em caso de poss´vel ocorrencia ı de um crime • Responder o incidente – retornar o ambiente ao estado de ¸˜ producao ¸˜ ´ ¨ˆ • A reducao do impacto e consequencia da: – agilidade de resposta ¸˜ – reducao no numero de v´timas ´ ı • O sucesso depende da confiabilidade – nunca divulgar dados sens´veis nem expor v´timas, por ı ı exemplo ˜ Campus Party Brasil 2011, Sao Paulo – janeiro de 2010 – p. 10/27
Papel dos CSIRTs Quando se Fala em Crimes ´ • A pessoa que responde um incidente e a primeira a entrar ˆ em contato com as evidencias de um poss´vel crime, por ı sempre lembrar de: – seguir as pol´ticas ı ˆ – preservar as evidencias ˜ ´ • O CSIRT nao e um investigador ˜ ` • A decisao de levar um caso a justica deve ser da v´tima ¸ ı ˜ leia-se: alta administracao e setor – Em uma organizacao, ¸ ¸ ˜ jur´dico ı ˜ Campus Party Brasil 2011, Sao Paulo – janeiro de 2010 – p. 11/27
Incidentes Mais Frequentes e ¨ ¸˜ ¸˜ Recomendacoes para Prevencao e Tratamento ˜ Campus Party Brasil 2011, Sao Paulo – janeiro de 2010 – p. 12/27
Estat´sticas do CERT.br – 1999–2010 ı ˜ Campus Party Brasil 2011, Sao Paulo – janeiro de 2010 – p. 13/27
¸˜ Distribuicao dos Incidentes Reportados ao CERT.br em 2010 ˜ Campus Party Brasil 2011, Sao Paulo – janeiro de 2010 – p. 14/27
Ataques mais Frequentes – 2010 ¨ • de forca bruta ¸ – SSH, FTP, Telnet, VNC, etc • com cont´nuo crescimento nos ultimos meses: ı ´ ¸˜ ´ – ataques a aplicacoes Web vulneraveis – servidores SIP ´ • a usuarios finais – fraudes, bots, spyware, etc ¸˜ – motivacao financeira – abuso de proxies, na maioria instalados por bots ˜ Campus Party Brasil 2011, Sao Paulo – janeiro de 2010 – p. 15/27
Ataques de Forca Bruta ¸ Servico SSH ¸ ¸˜ • Ampla utilizacao em servidores UNIX • Alvos – senhas fracas ´ – contas temporarias ¸˜ • Pouca monitoracao permite que o ataque perdure por horas ou dias Outros servicos ¸ • FTP • TELNET • Radmin • VNC ˜ Campus Party Brasil 2011, Sao Paulo – janeiro de 2010 – p. 16/27
¸˜ Mitigacao de Forca Bruta SSH ¸ ¸˜ Recomendacoes: • Senhas fortes ¸˜ • Reducao no numero de equipamentos com servico ´ ¸ aberto para Internet • Filtragem de origem ˜ ˜ • Mover o servico para uma porta nao padrao ¸ • Acesso somente via chaves publicas ´ ¸˜ • Aumento na monitoracao Detalhes em: http://www.cert.br/docs/whitepapers/ defesa-forca-bruta-ssh/ ˜ Campus Party Brasil 2011, Sao Paulo – janeiro de 2010 – p. 17/27
Ataques a Servidores SIP • Varreduras por dispositivos SIP ¸˜ ´ • Identificacao de ramais validos • Tentativas de quebra de senhas de ramais ¸˜ • Tentativas de realizar ligacoes • spit? ˜ Campus Party Brasil 2011, Sao Paulo – janeiro de 2010 – p. 18/27
¸˜ Mitigacao de Ataques SIP ¸˜ Recomendacoes: • Senhas fortes ¸˜ • Reducao no numero de equipamentos com servico ´ ¸ aberto para Internet • Filtragem de origem ¸˜ • Aumento na monitoracao • Leituras recomendadas – Asterisk: README-SERIOUSLY.bestpractices.txt – Seven Steps to Better SIP Security: http://blogs.digium.com/2009/03/28/sip-security/ – Asterisk VoIP Security (webinar): http://www.asterisk.org/security/webinar/ ˜ Campus Party Brasil 2011, Sao Paulo – janeiro de 2010 – p. 19/27
Tentativas de Fraude Financeira • Spams em nome de diversas entidades/temas variados ´ – links para cavalos de troia hospedados em diversos sites – v´tima raramente associa o spam com a fraude financeira ı • Paginas falsas estao voltando a ter numeros significativos ´ ˜ ´ – drive-by downloads sendo usados intensamente no Brasil – via JavaScript, ActiveX, etc, inclusive em grandes sites – em conjunto com malware modificando: arquivo hosts ¸˜ configuracao de proxy em navegadores (arquivos PAC) • Malware se registrando como Browser Helper Objects (BHO) em navegadores • Malware validando, no site real, os dados capturados ˜ Campus Party Brasil 2011, Sao Paulo – janeiro de 2010 – p. 20/27
Uso de botnets para DDoS ´ • 20 PCs domesticos abusando de Servidores DNS Recursivos Abertos podem gerar 1Gbps • Em marco de 2009 foram atingidos picos de 48Gbps ¸ ´ – em media ocorrem 3 ataques de 1Gpbs por dia na Internet ´ ´ • De 2% a 3% do trafego de um grande backbone e ru´do de DDoS ı ˜ ´ • Extorsao e o principal objetivo – mas download de outros malwares, spam e furto de ¸˜ ´ informacoes tambem valem dinheiro e acabam sendo parte do payload dos bots Fonte: Global Botnet Underground: DDoS and Botconomics. Jose Nazario, Ph.D., Head of Arbor ASERT Keynote do Evento RioInfo 2009. ˜ Campus Party Brasil 2011, Sao Paulo – janeiro de 2010 – p. 21/27
Brasil na CBL Pa´sı ¸˜ Enderecos IP % do Total Taxa de Infeccao (%) ¸ 1 ´ndia (IN) I 1.129.747 17,06 4,881 2 Brasil (BR) 630.446 9,52 1,234 3 Russia (RU) ´ 585.637 8,84 1,672 4 ˜ Vietna (VN) 319.472 4,82 2,840 5 ˆ Ucrania (UA) 313.528 4,73 3,415 6 ´ Indonesia (ID) 213.132 3,22 2,390 7 China (CN) 198.271 2,99 0,071 8 ˆ Tailandia (TH) 171.941 2,60 1,712 9 ˜ Paquistao (PK) 164.467 2,48 4,667 10 ´ Italia (IT) 154.803 2,34 0,355 Fonte: CBL, uma lista de enderecos IP de computadores que ¸ comprovadamente enviaram spams nas ultimas 24 horas e estavam ´ infectados. Dados gerados em: Mon Jan 17 11:37:41 2011 UTC/GMT Composite Blocking List http://cbl.abuseat.org/ ˜ Campus Party Brasil 2011, Sao Paulo – janeiro de 2010 – p. 22/27
´ Abuso de Maquinas Infectadas para Envio de Spam Spammers Redes Residenciais Provedores de E−mail Provedores de E−mail Fraudadores (DSL, Cabo, Dial−up, etc) dos Remetentes (MTAs) dos Destinatários (MTAs) Malware 25/TCP Primergy Provedor 25/TCP de E−mail Primergy Provedor 1080/TCP A 25/TCP de E−mail 25/TCP X 25/TCP 25/TCP 25/TCP Primergy Provedor Primergy Provedor de E−mail de E−mail 8000/TCP 25/TCP Y B 25/TCP 6588/TCP 25/TCP Primergy 3382/TCP 80/TCP Primergy Provedor Provedor de E−mail de E−mail 80/TCP 25/TCP Z C ˜ Campus Party Brasil 2011, Sao Paulo – janeiro de 2010 – p. 23/27
¸˜ ´ ´ Mitigacao do Abuso das Maquinas de Usuarios • ¸˜ ´ definicao de pol´ticas de uso aceitavel; ı • ¸˜ monitoracao proativa de fluxos; • ¸˜ ¸˜ monitoracao das notificacoes de abusos; • ¸˜ ´ acao efetiva junto ao usuario nos casos de ¸˜ ´ deteccao de proxy aberto ou maquina comprometida; • egress filtering; • ˆ ´ gerencia de sa´da de trafego com destino a ı ` porta 25/TCP. ˜ Campus Party Brasil 2011, Sao Paulo – janeiro de 2010 – p. 24/27
¸˜ Prevencao de DNS Cache Poisoning ˜ • Instalar as ultimas versoes dos softwares DNS ´ ¸˜ ´ – Correcoes usam portas de origem aleatorias nas consultas ˜ – Nao eliminam o ataque, apenas retardam seu sucesso ¸˜ ´ ¸˜ • Adocao de DNSSEC e uma solucao mais definitiva http://registro.br/suporte/tutoriais/dnssec.html ˜ Campus Party Brasil 2011, Sao Paulo – janeiro de 2010 – p. 25/27
¸˜ Acompanhamento de Notificacoes • Criar e-mails da RFC 2142 (security@, abuse@) • Manter os contatos de Whois atualizados ´ • O contato tecnico deve ser um profissional que tenha contato com as equipes de abuso ¸˜ – ou, ao menos, saber para onde redirecionar notificacoes e ¸˜ reclamacoes • Redes com grupos de resposta a incidentes de ¸ ¸ ` seguranca devem anunciar o endereco do grupo junto a comunidade ¸˜ • As contas que recebem notificacoes de incidentes ou ˜ abusos nao podem barrar mensagens ¸˜ – antiv´rus podem impedir uma notificacao de malware ı ¸˜ – regras anti-spam podem impedir notificacoes de spam e de phishing ˜ Campus Party Brasil 2011, Sao Paulo – janeiro de 2010 – p. 26/27
ˆ Referencias • Esta apresentacao pode ser encontrada em: ¸˜ http://www.cert.br/docs/palestras/ • Comite Gestor da Internet no Brasil – CGI.br ˆ http://www.cgi.br/ • Nucleo de Informacao e Coordenacao do Ponto br – NIC.br ´ ¸˜ ¸˜ http://www.nic.br/ • Centro de Estudo, Resposta e Tratamento de Incidentes no Brasil – CERT.br http://www.cert.br/ ˜ Campus Party Brasil 2011, Sao Paulo – janeiro de 2010 – p. 27/27

Recomendados

Certbr pragas
Certbr pragasCertbr pragas
Certbr pragasCampus Party Brasil
 
Certbr campus-party2011-1
Certbr campus-party2011-1Certbr campus-party2011-1
Certbr campus-party2011-1Campus Party Brasil
 
Difusão da Informação e Conservação
Difusão da Informação e ConservaçãoDifusão da Informação e Conservação
Difusão da Informação e ConservaçãoDocumentar Tecnologia e Informação
 
Iccyber 2010 - Sandro Süffert Avanços Tecnológicos
Iccyber 2010 - Sandro Süffert Avanços TecnológicosIccyber 2010 - Sandro Süffert Avanços Tecnológicos
Iccyber 2010 - Sandro Süffert Avanços TecnológicosSandro Suffert
 
Melhores praticas para ambientes de ti e aplicacoes
Melhores praticas para ambientes de ti e aplicacoesMelhores praticas para ambientes de ti e aplicacoes
Melhores praticas para ambientes de ti e aplicacoesGrupo InterCompany
 
Desafios para a Cibersegurança em 2014 e 2016
Desafios para a Cibersegurança em 2014 e 2016Desafios para a Cibersegurança em 2014 e 2016
Desafios para a Cibersegurança em 2014 e 2016Sandro Suffert
 
Teoria da contingência 2012_01
Teoria da contingência 2012_01Teoria da contingência 2012_01
Teoria da contingência 2012_01Milton Henrique do Couto Neto
 
Procedimento de análise de acidentes e incidentes
Procedimento de análise de acidentes e incidentesProcedimento de análise de acidentes e incidentes
Procedimento de análise de acidentes e incidentesUniversidade Federal Fluminense
 

Recomendados

Certbr pragas
Certbr pragasCertbr pragas
Certbr pragasCampus Party Brasil
 
Certbr campus-party2011-1
Certbr campus-party2011-1Certbr campus-party2011-1
Certbr campus-party2011-1Campus Party Brasil
 
Difusão da Informação e Conservação
Difusão da Informação e ConservaçãoDifusão da Informação e Conservação
Difusão da Informação e ConservaçãoDocumentar Tecnologia e Informação
 
Iccyber 2010 - Sandro Süffert Avanços Tecnológicos
Iccyber 2010 - Sandro Süffert Avanços TecnológicosIccyber 2010 - Sandro Süffert Avanços Tecnológicos
Iccyber 2010 - Sandro Süffert Avanços TecnológicosSandro Suffert
 
Melhores praticas para ambientes de ti e aplicacoes
Melhores praticas para ambientes de ti e aplicacoesMelhores praticas para ambientes de ti e aplicacoes
Melhores praticas para ambientes de ti e aplicacoesGrupo InterCompany
 
Desafios para a Cibersegurança em 2014 e 2016
Desafios para a Cibersegurança em 2014 e 2016Desafios para a Cibersegurança em 2014 e 2016
Desafios para a Cibersegurança em 2014 e 2016Sandro Suffert
 
Teoria da contingência 2012_01
Teoria da contingência 2012_01Teoria da contingência 2012_01
Teoria da contingência 2012_01Milton Henrique do Couto Neto
 
Procedimento de análise de acidentes e incidentes
Procedimento de análise de acidentes e incidentesProcedimento de análise de acidentes e incidentes
Procedimento de análise de acidentes e incidentesUniversidade Federal Fluminense
 
Campus party preso
Campus party presoCampus party preso
Campus party presoCampus Party Brasil
 
Wordpress
WordpressWordpress
WordpressCampus Party Brasil
 
Palestra vrlivrestudio sergio_gracas
Palestra vrlivrestudio sergio_gracasPalestra vrlivrestudio sergio_gracas
Palestra vrlivrestudio sergio_gracasCampus Party Brasil
 
Silverlight 4.0
Silverlight 4.0Silverlight 4.0
Silverlight 4.0Campus Party Brasil
 
Campusparty2011dl
Campusparty2011dlCampusparty2011dl
Campusparty2011dlCampus Party Brasil
 
Realidade Aumentada
Realidade AumentadaRealidade Aumentada
Realidade AumentadaCampus Party Brasil
 
Utilização de APIs do Windows Live
Utilização de APIs do Windows LiveUtilização de APIs do Windows Live
Utilização de APIs do Windows LiveCampus Party Brasil
 
Técnicas de Apuração para Blogueiros
Técnicas de Apuração para BlogueirosTécnicas de Apuração para Blogueiros
Técnicas de Apuração para BlogueirosCampus Party Brasil
 
Campusparty
CampuspartyCampusparty
CampuspartyCampus Party Brasil
 
Mvc
MvcMvc
MvcCampus Party Brasil
 
2011 01-18 mongo-db
2011 01-18 mongo-db2011 01-18 mongo-db
2011 01-18 mongo-dbCampus Party Brasil
 
RedegrafosocialGrafos Sociais: porque não devem ser desprezados pelas corpora...
RedegrafosocialGrafos Sociais: porque não devem ser desprezados pelas corpora...RedegrafosocialGrafos Sociais: porque não devem ser desprezados pelas corpora...
RedegrafosocialGrafos Sociais: porque não devem ser desprezados pelas corpora...Campus Party Brasil
 
Music hack day
Music hack day Music hack day
Music hack day Campus Party Brasil
 
ApresentaçãO Thiago Bordini Campus Party 2010
ApresentaçãO Thiago Bordini Campus Party 2010ApresentaçãO Thiago Bordini Campus Party 2010
ApresentaçãO Thiago Bordini Campus Party 2010Campus Party Brasil
 
Palestra lousa interativa_com_software_livre_sergio_gracas
Palestra lousa interativa_com_software_livre_sergio_gracasPalestra lousa interativa_com_software_livre_sergio_gracas
Palestra lousa interativa_com_software_livre_sergio_gracasCampus Party Brasil
 
Compus Party - processing e arduino
Compus Party - processing e arduinoCompus Party - processing e arduino
Compus Party - processing e arduinoCampus Party Brasil
 
Cpbr2011
Cpbr2011Cpbr2011
Cpbr2011Campus Party Brasil
 
Ti verde e thineco
Ti verde e thinecoTi verde e thineco
Ti verde e thinecoCampus Party Brasil
 
Untitled 1
Untitled 1Untitled 1
Untitled 1Campus Party Brasil
 
O que muda na Comunicação Social com a TV Digital?
O que muda na Comunicação Social com a TV Digital?O que muda na Comunicação Social com a TV Digital?
O que muda na Comunicação Social com a TV Digital?Campus Party Brasil
 
Cenario das fraudes e do spam no Brasil
Cenario das fraudes e do spam no BrasilCenario das fraudes e do spam no Brasil
Cenario das fraudes e do spam no BrasilCampus Party Brasil
 
Abranet na Mídia 2011 - 2012
Abranet na Mídia 2011 - 2012Abranet na Mídia 2011 - 2012
Abranet na Mídia 2011 - 2012Eduardo Neger
 

Mais conteúdo relacionado

Destaque

Palestra vrlivrestudio sergio_gracas
Palestra vrlivrestudio sergio_gracasPalestra vrlivrestudio sergio_gracas
Palestra vrlivrestudio sergio_gracasCampus Party Brasil
 
Utilização de APIs do Windows Live
Utilização de APIs do Windows LiveUtilização de APIs do Windows Live
Utilização de APIs do Windows LiveCampus Party Brasil
 
Técnicas de Apuração para Blogueiros
Técnicas de Apuração para BlogueirosTécnicas de Apuração para Blogueiros
Técnicas de Apuração para BlogueirosCampus Party Brasil
 
RedegrafosocialGrafos Sociais: porque não devem ser desprezados pelas corpora...
RedegrafosocialGrafos Sociais: porque não devem ser desprezados pelas corpora...RedegrafosocialGrafos Sociais: porque não devem ser desprezados pelas corpora...
RedegrafosocialGrafos Sociais: porque não devem ser desprezados pelas corpora...Campus Party Brasil
 
ApresentaçãO Thiago Bordini Campus Party 2010
ApresentaçãO Thiago Bordini Campus Party 2010ApresentaçãO Thiago Bordini Campus Party 2010
ApresentaçãO Thiago Bordini Campus Party 2010Campus Party Brasil
 
Palestra lousa interativa_com_software_livre_sergio_gracas
Palestra lousa interativa_com_software_livre_sergio_gracasPalestra lousa interativa_com_software_livre_sergio_gracas
Palestra lousa interativa_com_software_livre_sergio_gracasCampus Party Brasil
 
Compus Party - processing e arduino
Compus Party - processing e arduinoCompus Party - processing e arduino
Compus Party - processing e arduinoCampus Party Brasil
 
O que muda na Comunicação Social com a TV Digital?
O que muda na Comunicação Social com a TV Digital?O que muda na Comunicação Social com a TV Digital?
O que muda na Comunicação Social com a TV Digital?Campus Party Brasil
 

Destaque (20)

Campus party preso
Campus party presoCampus party preso
Campus party preso
 
Wordpress
WordpressWordpress
Wordpress
 
Palestra vrlivrestudio sergio_gracas
Palestra vrlivrestudio sergio_gracasPalestra vrlivrestudio sergio_gracas
Palestra vrlivrestudio sergio_gracas
 
Silverlight 4.0
Silverlight 4.0Silverlight 4.0
Silverlight 4.0
 
Campusparty2011dl
Campusparty2011dlCampusparty2011dl
Campusparty2011dl
 
Realidade Aumentada
Realidade AumentadaRealidade Aumentada
Realidade Aumentada
 
Utilização de APIs do Windows Live
Utilização de APIs do Windows LiveUtilização de APIs do Windows Live
Utilização de APIs do Windows Live
 
Técnicas de Apuração para Blogueiros
Técnicas de Apuração para BlogueirosTécnicas de Apuração para Blogueiros
Técnicas de Apuração para Blogueiros
 
Campusparty
CampuspartyCampusparty
Campusparty
 
Mvc
MvcMvc
Mvc
 
2011 01-18 mongo-db
2011 01-18 mongo-db2011 01-18 mongo-db
2011 01-18 mongo-db
 
RedegrafosocialGrafos Sociais: porque não devem ser desprezados pelas corpora...
RedegrafosocialGrafos Sociais: porque não devem ser desprezados pelas corpora...RedegrafosocialGrafos Sociais: porque não devem ser desprezados pelas corpora...
RedegrafosocialGrafos Sociais: porque não devem ser desprezados pelas corpora...
 
Music hack day
Music hack day Music hack day
Music hack day
 
ApresentaçãO Thiago Bordini Campus Party 2010
ApresentaçãO Thiago Bordini Campus Party 2010ApresentaçãO Thiago Bordini Campus Party 2010
ApresentaçãO Thiago Bordini Campus Party 2010
 
Palestra lousa interativa_com_software_livre_sergio_gracas
Palestra lousa interativa_com_software_livre_sergio_gracasPalestra lousa interativa_com_software_livre_sergio_gracas
Palestra lousa interativa_com_software_livre_sergio_gracas
 
Compus Party - processing e arduino
Compus Party - processing e arduinoCompus Party - processing e arduino
Compus Party - processing e arduino
 
Cpbr2011
Cpbr2011Cpbr2011
Cpbr2011
 
Ti verde e thineco
Ti verde e thinecoTi verde e thineco
Ti verde e thineco
 
Untitled 1
Untitled 1Untitled 1
Untitled 1
 
O que muda na Comunicação Social com a TV Digital?
O que muda na Comunicação Social com a TV Digital?O que muda na Comunicação Social com a TV Digital?
O que muda na Comunicação Social com a TV Digital?
 

Semelhante a Tratamento de Incidentes de Segurança

Cenario das fraudes e do spam no Brasil
Cenario das fraudes e do spam no BrasilCenario das fraudes e do spam no Brasil
Cenario das fraudes e do spam no BrasilCampus Party Brasil
 
Abranet na Mídia 2011 - 2012
Abranet na Mídia 2011 - 2012Abranet na Mídia 2011 - 2012
Abranet na Mídia 2011 - 2012Eduardo Neger
 
Apresentação dia 260511
Apresentação dia 260511Apresentação dia 260511
Apresentação dia 260511ITEC ALAGOAS
 
Legislação Para IES
Legislação Para IESLegislação Para IES
Legislação Para IESInformaGroup
 
Legislação para IES Privadas
Legislação para IES PrivadasLegislação para IES Privadas
Legislação para IES PrivadasInformaGroup
 
Pesquisa Internet 2010 Cetit BR
Pesquisa Internet 2010 Cetit BRPesquisa Internet 2010 Cetit BR
Pesquisa Internet 2010 Cetit BRSérgio Bigaran
 
ANPEI - Promovendo a Interação ICTs-Empresas - Gilson Manfio - Open Innovatio...
ANPEI - Promovendo a Interação ICTs-Empresas - Gilson Manfio - Open Innovatio...ANPEI - Promovendo a Interação ICTs-Empresas - Gilson Manfio - Open Innovatio...
ANPEI - Promovendo a Interação ICTs-Empresas - Gilson Manfio - Open Innovatio...Allagi Open Innovation Services
 
Luis vidigal eurocloud porto abril 2012 1
Luis vidigal eurocloud porto abril 2012 1Luis vidigal eurocloud porto abril 2012 1
Luis vidigal eurocloud porto abril 2012 1Luis Vidigal
 
Julio raimundo - Politicas Públicas
Julio raimundo - Politicas PúblicasJulio raimundo - Politicas Públicas
Julio raimundo - Politicas PúblicasBrasscom
 
Artefato PETIC Final Petrobras UO-SEAL
Artefato PETIC Final Petrobras UO-SEAL Artefato PETIC Final Petrobras UO-SEAL
Artefato PETIC Final Petrobras UO-SEAL diegofarias2014
 
PETIC - Assembléia Legislativa
PETIC - Assembléia LegislativaPETIC - Assembléia Legislativa
PETIC - Assembléia Legislativacabelo.lucas
 
Relatório de Progresso - Mercosul Digital 2010
Relatório de Progresso - Mercosul Digital 2010Relatório de Progresso - Mercosul Digital 2010
Relatório de Progresso - Mercosul Digital 2010Gerson Rolim
 
A implantação da Computação em Nuvem na Administração Pública Federal - APF
A implantação da Computação em Nuvem na Administração Pública Federal - APFA implantação da Computação em Nuvem na Administração Pública Federal - APF
A implantação da Computação em Nuvem na Administração Pública Federal - APFEUBrasilCloudFORUM .
 

Semelhante a Tratamento de Incidentes de Segurança (20)

Cenario das fraudes e do spam no Brasil
Cenario das fraudes e do spam no BrasilCenario das fraudes e do spam no Brasil
Cenario das fraudes e do spam no Brasil
 
Abranet na Mídia 2011 - 2012
Abranet na Mídia 2011 - 2012Abranet na Mídia 2011 - 2012
Abranet na Mídia 2011 - 2012
 
ANETIE - MISSÃO BRASIL'09
ANETIE - MISSÃO BRASIL'09ANETIE - MISSÃO BRASIL'09
ANETIE - MISSÃO BRASIL'09
 
Apresentação dia 260511
Apresentação dia 260511Apresentação dia 260511
Apresentação dia 260511
 
Apresentação ciki
Apresentação cikiApresentação ciki
Apresentação ciki
 
Legislação Para IES
Legislação Para IESLegislação Para IES
Legislação Para IES
 
Legislação para IES Privadas
Legislação para IES PrivadasLegislação para IES Privadas
Legislação para IES Privadas
 
Pesquisa Internet 2010 Cetit BR
Pesquisa Internet 2010 Cetit BRPesquisa Internet 2010 Cetit BR
Pesquisa Internet 2010 Cetit BR
 
ANPEI - Promovendo a Interação ICTs-Empresas - Gilson Manfio - Open Innovatio...
ANPEI - Promovendo a Interação ICTs-Empresas - Gilson Manfio - Open Innovatio...ANPEI - Promovendo a Interação ICTs-Empresas - Gilson Manfio - Open Innovatio...
ANPEI - Promovendo a Interação ICTs-Empresas - Gilson Manfio - Open Innovatio...
 
Estratégia de Segurança Cibernética para o SISP
Estratégia de Segurança Cibernética para o SISPEstratégia de Segurança Cibernética para o SISP
Estratégia de Segurança Cibernética para o SISP
 
Tic domicilios-2009
Tic domicilios-2009Tic domicilios-2009
Tic domicilios-2009
 
Luis vidigal eurocloud porto abril 2012 1
Luis vidigal eurocloud porto abril 2012 1Luis vidigal eurocloud porto abril 2012 1
Luis vidigal eurocloud porto abril 2012 1
 
Julio raimundo - Politicas Públicas
Julio raimundo - Politicas PúblicasJulio raimundo - Politicas Públicas
Julio raimundo - Politicas Públicas
 
Artefato PETIC Final Petrobras UO-SEAL
Artefato PETIC Final Petrobras UO-SEAL Artefato PETIC Final Petrobras UO-SEAL
Artefato PETIC Final Petrobras UO-SEAL
 
PETIC - Assembléia Legislativa
PETIC - Assembléia LegislativaPETIC - Assembléia Legislativa
PETIC - Assembléia Legislativa
 
Relatório de Progresso - Mercosul Digital 2010
Relatório de Progresso - Mercosul Digital 2010Relatório de Progresso - Mercosul Digital 2010
Relatório de Progresso - Mercosul Digital 2010
 
A governança do setor cibernético no brasil a proposição de um comitê gestor
A governança do setor cibernético no brasil a proposição de um comitê gestorA governança do setor cibernético no brasil a proposição de um comitê gestor
A governança do setor cibernético no brasil a proposição de um comitê gestor
 
Palestra BáSica 21 07 09
Palestra BáSica 21 07 09Palestra BáSica 21 07 09
Palestra BáSica 21 07 09
 
Palestra Básica - Agosto de 2009
Palestra Básica - Agosto de 2009Palestra Básica - Agosto de 2009
Palestra Básica - Agosto de 2009
 
A implantação da Computação em Nuvem na Administração Pública Federal - APF
A implantação da Computação em Nuvem na Administração Pública Federal - APFA implantação da Computação em Nuvem na Administração Pública Federal - APF
A implantação da Computação em Nuvem na Administração Pública Federal - APF
 

Mais de Campus Party Brasil

Desenvolvimento de aplicações para o Google App Engine
Desenvolvimento de aplicações para o Google App EngineDesenvolvimento de aplicações para o Google App Engine
Desenvolvimento de aplicações para o Google App EngineCampus Party Brasil
 
Técnicas forenses para a recuperação de arquivos
Técnicas forenses para a recuperação de arquivosTécnicas forenses para a recuperação de arquivos
Técnicas forenses para a recuperação de arquivosCampus Party Brasil
 
Como ganhar dinheiro no mundo mobile?
Como ganhar dinheiro no mundo mobile?Como ganhar dinheiro no mundo mobile?
Como ganhar dinheiro no mundo mobile?Campus Party Brasil
 
Tempestades solares: mitos e verdades
Tempestades solares: mitos e verdadesTempestades solares: mitos e verdades
Tempestades solares: mitos e verdadesCampus Party Brasil
 
A busca por planetas além do sistema solar
A busca por planetas além do sistema solarA busca por planetas além do sistema solar
A busca por planetas além do sistema solarCampus Party Brasil
 
Construção de uma luneta a baixo custo
Construção de uma luneta a baixo custoConstrução de uma luneta a baixo custo
Construção de uma luneta a baixo custoCampus Party Brasil
 
Hardware livre Arduino: eletrônica e robótica com hardware e software livres
Hardware livre Arduino: eletrônica e robótica com hardware e software livresHardware livre Arduino: eletrônica e robótica com hardware e software livres
Hardware livre Arduino: eletrônica e robótica com hardware e software livresCampus Party Brasil
 
Robótica e educação inclusiva
Robótica e educação inclusivaRobótica e educação inclusiva
Robótica e educação inclusivaCampus Party Brasil
 
Fazendo do jeito certo: criando jogos sofisticados com DirectX
Fazendo do jeito certo: criando jogos sofisticados com DirectXFazendo do jeito certo: criando jogos sofisticados com DirectX
Fazendo do jeito certo: criando jogos sofisticados com DirectXCampus Party Brasil
 
Robótica e educação inclusiva
Robótica e educação inclusiva Robótica e educação inclusiva
Robótica e educação inclusivaCampus Party Brasil
 
Gestão e monitoramento de redes e dispositivos com Software Livre
Gestão e monitoramento de redes e dispositivos com Software LivreGestão e monitoramento de redes e dispositivos com Software Livre
Gestão e monitoramento de redes e dispositivos com Software LivreCampus Party Brasil
 
Confecção de Circuito Impresso
Confecção de Circuito ImpressoConfecção de Circuito Impresso
Confecção de Circuito ImpressoCampus Party Brasil
 
Virtualização, cloud computig e suas tendencias
Virtualização, cloud computig e suas tendenciasVirtualização, cloud computig e suas tendencias
Virtualização, cloud computig e suas tendenciasCampus Party Brasil
 

Mais de Campus Party Brasil (20)

Buracos negros
Buracos negrosBuracos negros
Buracos negros
 
Programação para Atari 2600
Programação para Atari 2600Programação para Atari 2600
Programação para Atari 2600
 
Desenvolvimento de aplicações para o Google App Engine
Desenvolvimento de aplicações para o Google App EngineDesenvolvimento de aplicações para o Google App Engine
Desenvolvimento de aplicações para o Google App Engine
 
Técnicas forenses para a recuperação de arquivos
Técnicas forenses para a recuperação de arquivosTécnicas forenses para a recuperação de arquivos
Técnicas forenses para a recuperação de arquivos
 
Como ganhar dinheiro no mundo mobile?
Como ganhar dinheiro no mundo mobile?Como ganhar dinheiro no mundo mobile?
Como ganhar dinheiro no mundo mobile?
 
Tempestades solares: mitos e verdades
Tempestades solares: mitos e verdadesTempestades solares: mitos e verdades
Tempestades solares: mitos e verdades
 
A busca por planetas além do sistema solar
A busca por planetas além do sistema solarA busca por planetas além do sistema solar
A busca por planetas além do sistema solar
 
Passeio virtual pelo LHC
Passeio virtual pelo LHCPasseio virtual pelo LHC
Passeio virtual pelo LHC
 
Construção de uma luneta a baixo custo
Construção de uma luneta a baixo custoConstrução de uma luneta a baixo custo
Construção de uma luneta a baixo custo
 
Hardware livre Arduino: eletrônica e robótica com hardware e software livres
Hardware livre Arduino: eletrônica e robótica com hardware e software livresHardware livre Arduino: eletrônica e robótica com hardware e software livres
Hardware livre Arduino: eletrônica e robótica com hardware e software livres
 
Robótica e educação inclusiva
Robótica e educação inclusivaRobótica e educação inclusiva
Robótica e educação inclusiva
 
Fazendo do jeito certo: criando jogos sofisticados com DirectX
Fazendo do jeito certo: criando jogos sofisticados com DirectXFazendo do jeito certo: criando jogos sofisticados com DirectX
Fazendo do jeito certo: criando jogos sofisticados com DirectX
 
Blue Via
Blue ViaBlue Via
Blue Via
 
Linux para iniciantes
Linux para iniciantesLinux para iniciantes
Linux para iniciantes
 
Robótica e educação inclusiva
Robótica e educação inclusiva Robótica e educação inclusiva
Robótica e educação inclusiva
 
Gestão e monitoramento de redes e dispositivos com Software Livre
Gestão e monitoramento de redes e dispositivos com Software LivreGestão e monitoramento de redes e dispositivos com Software Livre
Gestão e monitoramento de redes e dispositivos com Software Livre
 
Confecção de Circuito Impresso
Confecção de Circuito ImpressoConfecção de Circuito Impresso
Confecção de Circuito Impresso
 
Vida de Programador
Vida de Programador Vida de Programador
Vida de Programador
 
Virtualização, cloud computig e suas tendencias
Virtualização, cloud computig e suas tendenciasVirtualização, cloud computig e suas tendencias
Virtualização, cloud computig e suas tendencias
 
Desafio Robótica Livre
Desafio Robótica LivreDesafio Robótica Livre
Desafio Robótica Livre
 

Tratamento de Incidentes de Segurança

  • 1. Tratamento de Incidentes Cristine Hoepers cristine@cert.br Centro de Estudos, Resposta e Tratamento de Incidentes de Seguranca no Brasil ¸ ¸˜ ¸˜ Nucleo de Informacao e Coordenacao do Ponto br ´ ˆ Comite Gestor da Internet no Brasil ˜ Campus Party Brasil 2011, Sao Paulo – janeiro de 2010 – p. 1/27
  • 2. Estrutura do CGI.br 01- ´ ˆ Ministerio da Ciencia e Tecnologia ´ 10- Notorio Saber 02- ´ ¸˜ Ministerio das Comunicacoes 11- Provedores de Acesso e Conteudo ´ 03- ˆ Casa Civil da Presidencia da Republica ´ 12- Provedores de Infra-estrutura de 04- ´ Ministerio do Planejamento, Orcamento e Gestao ¸ ˜ ¸˜ Telecomunicacoes 05- ´ ´ Ministerio do Desenvolvimento, Industria e Comercio Exterior ´ 13- Industria TICs (Tecnologia da Infor- ´ 06- ´ Ministerio da Defesa ¸˜ ¸˜ macao e Comunicacao) e Software 07- ˆ ¸˜ Agencia Nacional de Telecomunicacoes ´ 14- Empresas Usuarias 08- ´ Conselho Nacional de Desenvolvimento Cient´fico e Tecnologico ı 15-18- Terceiro Setor 09- ´ Conselho Nacional de Secretarios Estaduais para Assuntos de 19-21- Academia ˆ Ciencia e Tecnologia ˜ Campus Party Brasil 2011, Sao Paulo – janeiro de 2010 – p. 2/27
  • 3. ¸˜ Atribuicoes do CGI.br ¸˜ Entre as diversas atribuicoes e responsabilidades definidas no Decreto Presidencial no 4.829, destacam-se: • a proposicao de normas e procedimentos relativos a ¸˜ ` ¸˜ regulamentacao das atividades na internet • ¸˜ ˜ ´ a recomendacao de padroes e procedimentos tecnicos operacionais para a internet no Brasil • ´ o estabelecimento de diretrizes estrategicas relacionadas ao uso e desenvolvimento da internet no Brasil • ¸˜ ˜ ´ a promocao de estudos e padroes tecnicos para a seguranca das redes e servicos no pa´s ¸ ¸ ı • ¸˜ ¸˜ a coordenacao da atribuicao de enderecos internet (IPs) e do ¸ registro de nomes de dom´nios usando <.br> ı • ˜ e disseminacao de informacoes sobre a coleta, organizacao ¸ ¸˜ ¸˜ os servicos internet, incluindo indicadores e estat´sticas ¸ ı ˜ Campus Party Brasil 2011, Sao Paulo – janeiro de 2010 – p. 3/27
  • 4. Sobre o CERT.br Criado em 1997 como ponto focal para tratar incidentes de seguranca relacionados com as redes conectadas a ¸ ` Internet no Brasil CERT.br Tratamento de Treinamento e Análise de Incidentes Conscientização Tendências − Articulação − Cursos − Consórcio − Apoio à − Palestras de Honeypots recuperação − Documentação − SpamPots − Estatísticas − Reuniões http://www.cert.br/missao.html ˜ Campus Party Brasil 2011, Sao Paulo – janeiro de 2010 – p. 4/27
  • 5. Agenda ¸˜ Algumas Definicoes ¸˜ Incidentes Mais Frequentes e Recomedacoes para ¨ Prevencao ¸ ˜ e Tratamento ¸˜ Acompanhamento de Notificacoes ˆ Referencias ˜ Campus Party Brasil 2011, Sao Paulo – janeiro de 2010 – p. 5/27
  • 6. ¸˜ Algumas Definicoes ˜ Campus Party Brasil 2011, Sao Paulo – janeiro de 2010 – p. 6/27
  • 7. Incidente de Seguranca ¸ Qualquer evento adverso, confirmado ou sob suspeita, ` ¸˜ relacionado a seguranca dos sistemas de computacao ou ¸ das redes de computadores. -ou- O ato de violar uma pol´tica de seguranca, expl´cita ou ı ¸ ı impl´cita. ı http://www.cert.br/certcc/csirts/csirt_faq-br.html ˜ Campus Party Brasil 2011, Sao Paulo – janeiro de 2010 – p. 7/27
  • 8. CSIRT–Computer Security Incident Response Team e Tratamento de Incidentes ˆ ¸˜ ”Um CSIRT prove servicos de suporte para prevencao, ¸ tratamento e resposta a incidentes de seguranca em ¸ computadores.” Fonte: Defining Incident Management Processes for CSIRTs: A Work in Progress. ˜ Figura utilizada com permissao do CERT R /CC e do SEI/CMU. http://www.cert.org/archive/pdf/04tr015.pdf ˜ Campus Party Brasil 2011, Sao Paulo – janeiro de 2010 – p. 8/27
  • 9. ¸˜ Papel dos CSIRTs – Prevencao • Definir pol´ticas para tratamento de incidentes ı ¸˜ ¸˜ • Auxiliar na protecao da infra-estrutura e das informacoes • Conscientizar sobre os problemas – Administradores de redes e sistemas ´ – Usuarios ¸˜ – Administracao superior ˜ Campus Party Brasil 2011, Sao Paulo – janeiro de 2010 – p. 9/27
  • 10. Papel dos CSIRTs – Resposta • Seguir as pol´ticas ı ˆ ˆ • Preservar as evidencias em caso de poss´vel ocorrencia ı de um crime • Responder o incidente – retornar o ambiente ao estado de ¸˜ producao ¸˜ ´ ¨ˆ • A reducao do impacto e consequencia da: – agilidade de resposta ¸˜ – reducao no numero de v´timas ´ ı • O sucesso depende da confiabilidade – nunca divulgar dados sens´veis nem expor v´timas, por ı ı exemplo ˜ Campus Party Brasil 2011, Sao Paulo – janeiro de 2010 – p. 10/27
  • 11. Papel dos CSIRTs Quando se Fala em Crimes ´ • A pessoa que responde um incidente e a primeira a entrar ˆ em contato com as evidencias de um poss´vel crime, por ı sempre lembrar de: – seguir as pol´ticas ı ˆ – preservar as evidencias ˜ ´ • O CSIRT nao e um investigador ˜ ` • A decisao de levar um caso a justica deve ser da v´tima ¸ ı ˜ leia-se: alta administracao e setor – Em uma organizacao, ¸ ¸ ˜ jur´dico ı ˜ Campus Party Brasil 2011, Sao Paulo – janeiro de 2010 – p. 11/27
  • 12. Incidentes Mais Frequentes e ¨ ¸˜ ¸˜ Recomendacoes para Prevencao e Tratamento ˜ Campus Party Brasil 2011, Sao Paulo – janeiro de 2010 – p. 12/27
  • 13. Estat´sticas do CERT.br – 1999–2010 ı ˜ Campus Party Brasil 2011, Sao Paulo – janeiro de 2010 – p. 13/27
  • 14. ¸˜ Distribuicao dos Incidentes Reportados ao CERT.br em 2010 ˜ Campus Party Brasil 2011, Sao Paulo – janeiro de 2010 – p. 14/27
  • 15. Ataques mais Frequentes – 2010 ¨ • de forca bruta ¸ – SSH, FTP, Telnet, VNC, etc • com cont´nuo crescimento nos ultimos meses: ı ´ ¸˜ ´ – ataques a aplicacoes Web vulneraveis – servidores SIP ´ • a usuarios finais – fraudes, bots, spyware, etc ¸˜ – motivacao financeira – abuso de proxies, na maioria instalados por bots ˜ Campus Party Brasil 2011, Sao Paulo – janeiro de 2010 – p. 15/27
  • 16. Ataques de Forca Bruta ¸ Servico SSH ¸ ¸˜ • Ampla utilizacao em servidores UNIX • Alvos – senhas fracas ´ – contas temporarias ¸˜ • Pouca monitoracao permite que o ataque perdure por horas ou dias Outros servicos ¸ • FTP • TELNET • Radmin • VNC ˜ Campus Party Brasil 2011, Sao Paulo – janeiro de 2010 – p. 16/27
  • 17. ¸˜ Mitigacao de Forca Bruta SSH ¸ ¸˜ Recomendacoes: • Senhas fortes ¸˜ • Reducao no numero de equipamentos com servico ´ ¸ aberto para Internet • Filtragem de origem ˜ ˜ • Mover o servico para uma porta nao padrao ¸ • Acesso somente via chaves publicas ´ ¸˜ • Aumento na monitoracao Detalhes em: http://www.cert.br/docs/whitepapers/ defesa-forca-bruta-ssh/ ˜ Campus Party Brasil 2011, Sao Paulo – janeiro de 2010 – p. 17/27
  • 18. Ataques a Servidores SIP • Varreduras por dispositivos SIP ¸˜ ´ • Identificacao de ramais validos • Tentativas de quebra de senhas de ramais ¸˜ • Tentativas de realizar ligacoes • spit? ˜ Campus Party Brasil 2011, Sao Paulo – janeiro de 2010 – p. 18/27
  • 19. ¸˜ Mitigacao de Ataques SIP ¸˜ Recomendacoes: • Senhas fortes ¸˜ • Reducao no numero de equipamentos com servico ´ ¸ aberto para Internet • Filtragem de origem ¸˜ • Aumento na monitoracao • Leituras recomendadas – Asterisk: README-SERIOUSLY.bestpractices.txt – Seven Steps to Better SIP Security: http://blogs.digium.com/2009/03/28/sip-security/ – Asterisk VoIP Security (webinar): http://www.asterisk.org/security/webinar/ ˜ Campus Party Brasil 2011, Sao Paulo – janeiro de 2010 – p. 19/27
  • 20. Tentativas de Fraude Financeira • Spams em nome de diversas entidades/temas variados ´ – links para cavalos de troia hospedados em diversos sites – v´tima raramente associa o spam com a fraude financeira ı • Paginas falsas estao voltando a ter numeros significativos ´ ˜ ´ – drive-by downloads sendo usados intensamente no Brasil – via JavaScript, ActiveX, etc, inclusive em grandes sites – em conjunto com malware modificando: arquivo hosts ¸˜ configuracao de proxy em navegadores (arquivos PAC) • Malware se registrando como Browser Helper Objects (BHO) em navegadores • Malware validando, no site real, os dados capturados ˜ Campus Party Brasil 2011, Sao Paulo – janeiro de 2010 – p. 20/27
  • 21. Uso de botnets para DDoS ´ • 20 PCs domesticos abusando de Servidores DNS Recursivos Abertos podem gerar 1Gbps • Em marco de 2009 foram atingidos picos de 48Gbps ¸ ´ – em media ocorrem 3 ataques de 1Gpbs por dia na Internet ´ ´ • De 2% a 3% do trafego de um grande backbone e ru´do de DDoS ı ˜ ´ • Extorsao e o principal objetivo – mas download de outros malwares, spam e furto de ¸˜ ´ informacoes tambem valem dinheiro e acabam sendo parte do payload dos bots Fonte: Global Botnet Underground: DDoS and Botconomics. Jose Nazario, Ph.D., Head of Arbor ASERT Keynote do Evento RioInfo 2009. ˜ Campus Party Brasil 2011, Sao Paulo – janeiro de 2010 – p. 21/27
  • 22. Brasil na CBL Pa´sı ¸˜ Enderecos IP % do Total Taxa de Infeccao (%) ¸ 1 ´ndia (IN) I 1.129.747 17,06 4,881 2 Brasil (BR) 630.446 9,52 1,234 3 Russia (RU) ´ 585.637 8,84 1,672 4 ˜ Vietna (VN) 319.472 4,82 2,840 5 ˆ Ucrania (UA) 313.528 4,73 3,415 6 ´ Indonesia (ID) 213.132 3,22 2,390 7 China (CN) 198.271 2,99 0,071 8 ˆ Tailandia (TH) 171.941 2,60 1,712 9 ˜ Paquistao (PK) 164.467 2,48 4,667 10 ´ Italia (IT) 154.803 2,34 0,355 Fonte: CBL, uma lista de enderecos IP de computadores que ¸ comprovadamente enviaram spams nas ultimas 24 horas e estavam ´ infectados. Dados gerados em: Mon Jan 17 11:37:41 2011 UTC/GMT Composite Blocking List http://cbl.abuseat.org/ ˜ Campus Party Brasil 2011, Sao Paulo – janeiro de 2010 – p. 22/27
  • 23. ´ Abuso de Maquinas Infectadas para Envio de Spam Spammers Redes Residenciais Provedores de E−mail Provedores de E−mail Fraudadores (DSL, Cabo, Dial−up, etc) dos Remetentes (MTAs) dos Destinatários (MTAs) Malware 25/TCP Primergy Provedor 25/TCP de E−mail Primergy Provedor 1080/TCP A 25/TCP de E−mail 25/TCP X 25/TCP 25/TCP 25/TCP Primergy Provedor Primergy Provedor de E−mail de E−mail 8000/TCP 25/TCP Y B 25/TCP 6588/TCP 25/TCP Primergy 3382/TCP 80/TCP Primergy Provedor Provedor de E−mail de E−mail 80/TCP 25/TCP Z C ˜ Campus Party Brasil 2011, Sao Paulo – janeiro de 2010 – p. 23/27
  • 24. ¸˜ ´ ´ Mitigacao do Abuso das Maquinas de Usuarios • ¸˜ ´ definicao de pol´ticas de uso aceitavel; ı • ¸˜ monitoracao proativa de fluxos; • ¸˜ ¸˜ monitoracao das notificacoes de abusos; • ¸˜ ´ acao efetiva junto ao usuario nos casos de ¸˜ ´ deteccao de proxy aberto ou maquina comprometida; • egress filtering; • ˆ ´ gerencia de sa´da de trafego com destino a ı ` porta 25/TCP. ˜ Campus Party Brasil 2011, Sao Paulo – janeiro de 2010 – p. 24/27
  • 25. ¸˜ Prevencao de DNS Cache Poisoning ˜ • Instalar as ultimas versoes dos softwares DNS ´ ¸˜ ´ – Correcoes usam portas de origem aleatorias nas consultas ˜ – Nao eliminam o ataque, apenas retardam seu sucesso ¸˜ ´ ¸˜ • Adocao de DNSSEC e uma solucao mais definitiva http://registro.br/suporte/tutoriais/dnssec.html ˜ Campus Party Brasil 2011, Sao Paulo – janeiro de 2010 – p. 25/27
  • 26. ¸˜ Acompanhamento de Notificacoes • Criar e-mails da RFC 2142 (security@, abuse@) • Manter os contatos de Whois atualizados ´ • O contato tecnico deve ser um profissional que tenha contato com as equipes de abuso ¸˜ – ou, ao menos, saber para onde redirecionar notificacoes e ¸˜ reclamacoes • Redes com grupos de resposta a incidentes de ¸ ¸ ` seguranca devem anunciar o endereco do grupo junto a comunidade ¸˜ • As contas que recebem notificacoes de incidentes ou ˜ abusos nao podem barrar mensagens ¸˜ – antiv´rus podem impedir uma notificacao de malware ı ¸˜ – regras anti-spam podem impedir notificacoes de spam e de phishing ˜ Campus Party Brasil 2011, Sao Paulo – janeiro de 2010 – p. 26/27
  • 27. ˆ Referencias • Esta apresentacao pode ser encontrada em: ¸˜ http://www.cert.br/docs/palestras/ • Comite Gestor da Internet no Brasil – CGI.br ˆ http://www.cgi.br/ • Nucleo de Informacao e Coordenacao do Ponto br – NIC.br ´ ¸˜ ¸˜ http://www.nic.br/ • Centro de Estudo, Resposta e Tratamento de Incidentes no Brasil – CERT.br http://www.cert.br/ ˜ Campus Party Brasil 2011, Sao Paulo – janeiro de 2010 – p. 27/27