Incidentes de segurança
na RNP: números e
ações em resposta
2º EnSI
Agenda
• RNP e CAIS
• Incidentes de segurança no backbone acadêmico
• Ações do CAIS no combate a atividade hacker
2
RNP
• Rede Nacional de Ensino e Pesquisa, fundada em
1989 pelo MCT
• Fornece conexão a Internet para instituições de
ensino e pesquisa
• Fomento do uso de aplicações avançadas de rede
• Treinamentos
3
Rede Ipê
• Mais de 800 instituições conectadas
• Número estimado de usuários em 3.5 milhões
• 27.500 grupos de pesquisa beneficiados
• Universidades federais, escolas agrotécnicas,
centros federais de educação tecnológica,
centros de pesquisas, hospital, museus e outros
• Backbone com alta capacidade e disponibilidade
• Instituições conectadas com grande quantidade
de computadores conectados
• Pontos de troca de tráfego com grande
provedores
4
CAIS
• Centro de Atendimento a Incidentes de Segurança
• 15 anos de atuação na área de segurança
• Constituency: instituições conectadas a RNP
6
“O Centro de Atendimento a Incidentes de
Segurança (CAIS) atua na detecção, resolução e
prevenção de incidentes de segurança na rede
acadêmica brasileira, além de elaborar, promover
e disseminar práticas de segurança em redes.”
http://www.rnp.br/cais/sobre.html
Relacionamentos do CAIS
CAIS
Organizações
usuárias
PoPs
CSIRTsacadêmic
os
Andifes
GTs
Governo
APWG
FIRST
Clara
Parceiros de
informação
CAIS - Estrutura
8
CAIS
Gestão de Incidentes de Segurança (GSI)
Disseminação da Cultura de Segurança
(DCS)
Gestão de Riscos e Segurança da
Informãção (GRSI)
Infra-estrutura e Serviços à
Comunidade Acadêmica (SERV)
Tratamento de incidentes
• Papel de coordenação e suporte aos clientes
• Atuação nos núcleos da RNP e no backbone
• 2 analistas dedicados em regime de plantão
9
Recebimento da notificação
Análise e triagem
Análise e triagem
Encaminhamento do
incidente
Encaminhamento do
incidente
Resposta ao reclamanteResposta ao reclamante
Tratamento de incidentes
� Incidentes de segurança que envolvem o backbone
da RNP – AS1916 e 19 clientes (AS1251, AS2715, AS2716,
AS10412, AS10715, AS10881, AS11097, AS11156, AS11242, AS11751, AS13522,
AS14553, AS19200, AS19611, AS19763, AS21506, AS21612, AS22819, AS28579)
� Conta [email protected]
� Os incidentes são reportados por parceiros, CSIRTs,
usuários, provedores ou são identificados pelo CAIS
através dos sistemas de detecção de atividade
maliciosa:
* trocas de páginas (defacements) * botnets/malware
* phishing * spam * sistemas comprometidos
10
Incidentes de Segurança no
Backbone Acadêmico
11
Estatísticas de incidentes (Junho, 2012)
12
5 36 473 2.053 7.209 12.11420.190
29.640
61.32370.815
35.766 35.939
266.798
105.030
319.327
71.689
0
50.000
100.000
150.000
200.000
250.000
300.000
350.000
1997 1998 1999 2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012
Incidentes Reportados Anualmente ao CAIS
1.131
8.491
1.1081.211
224
7.058
26.028
3.005
6.104
3.716
21.794
1.702
4.4726.001
20.350
25.010
2.321
21.341
65.128
7.288
974
419
8.439
48.602
1.736
10.157
3.317
12.200
1
10
100
1.000
10.000
100.000
AC AL AM AP BA CE DF ES GO MA MG MS MT PA PB PE PI PR RJ RN RO RR RS SC SE SP TO -
TOTAL
Estatísticas por categoria (2011)
Estatísticas por categoria (2012)
5.101
52.685
73
4.289
138
51
7.103
2.249
1 10 100 1.000 10.000 100.000
Conteúdo abusivo
Código malicioso
Prospecção por informações
Tentativa de intrusão
Intrusão
Indisponibilidade de serviço ou informação
Segurança da informação
Fraude
Outros
Categorias de ataques ocorridos em 2012
Ocorrências (Log)
Malware
• Vírus, worms, trojans, bots, spywares, scripts,
outros
• Representaram 90% do total de incidentes na
Rede Ipê (286.397)
• Botnets: 98% de infecções – 11.754 IP únicos!
16
281.965
159
10
4.268
1 10 100 1.000 10.000 100.000 1.000.000
Bot
Worm
Virus
Outros
Malware
Todo dia é identificado 9.500 sites maliciosos
17
12 a 14 milhões de buscas levama sites maliciosos
300.000 alertas de download de malware por dia
Fonte: Google
Malware
Em 2011, foram criados 73.000 malwarespor dia
(Fonte: Panda Security)
18
Os antivírus detectaram menos que 12% dos malwares encontrados em 2011
(Fonte: Trustwave Globla Report 2012
Botnets
– Grande vilão atualmente no backbone
– Ataques DDoS
– Backdoors
– Abrigo de dados para distribuição ilegal
– Impacto:
– Atividades cotidianas, sobrecarga dos sistemas
– Mau uso dos recursos da universidade
– Consumo de banda
– Riscos à organização (informações confidenciais)
– Sem saber, facilitamos a realização de crimes!
19
Conteúdo abusivo
• Envio de spam, casos de difamação, assédio,
discriminação, outros
• 3,34% do total anual (10.857)
20
Botnet Xarvester
• 2009/2010
• 2011
• Produtos farmacêuticos
Fraudes
• Violação de direitos autorais
• Fingir ou falsificar identidade
(pessoa/instituição)
• Utilização de recursos de forma não autorizada
• 3,12% do total em 2011 (9.973)
21
4.835
2.680
2.458
2.284
1.676
2.491
0 1.000 2.000 3.000 4.000 5.000 6.000
2011 2010
Violação de direitos
autorais
Uso de recursos de
forma não autorizada
Fingir ou falsificar
identidade ou instituição
Violação de copyright
Infringing Work: Harry Potter and the Chamberof Secrets
Filename: John.Williams.Harry.Potter.and.the.Chamber.of.Secrets.pdf
First Found: 27 May 2012 15:01:13 EDT (GMT-4)
Last Found: 27 May 2012 15:01:13 EDT (GMT-4)
Filesize: 29,609k
IP Address: 200.200.200.200
IP Port: 21408
22
Fonte: Google, 2012
23
Phishing
• Uso de engenharia social para adquirir
informações confidenciais como senhas, dados
financeiros, etc
• Principais meios utilizados: E-mail, IM, Web-
site
• Objetivo: $$$$$
– Realizar compras
– Transferências financeiras
– Vendas de informações no mercado negro
– Pedido de resgate
24
25
26
Fonte: Google
Tentativas de intrusão
• Exploração de vulnerabilidades: XSS, SQL
Injection
• Login: SSH, Mail, FTP
• 2,78% do total (8.889)
27
2.671
4.347
1.871
0 1.000 2.000 3.000 4.000 5.000
Tentativa de exploração de
vulnerabilidades
Tentativa de login
Outros
Desfiguração de sites
28
Agosto/2012
DDoS
• Arma de grupos hackers e grupos auto-
intitulado “ciberativistas”
• Diversos grupos “recrutam” usuários para
apoiar a “causa”
• Instituições de áreas diversas estão sendo
afetadas por este “movimento”
29
DDoS na Rede Ipê
• Uma importante instituição sofreu um ataque
de 700Mbps em um período crítico de suas
atividades
• Instituições educacionais foram citadas no IRC
para serem alvos de ataques
• 38 ataques críticos em 2011
31
DDoS na Rede Ipê
32
DDoS na Rede Ipê
• “Remember… Remember… The 5th
November.”
‒ Vários grupos anunciaram ataques contrainstitiuições em 5 de Novembro, em alusão adata mencionada no filme “V de Vingança”
‒ Só neste dia, foram detectados 10 ataques naRede Ipê
‒ Os ataques começaram às 15:30 e terminou 40minutos depois
‒ Cerca de 1.9Gpbs de tráfegomalicioso detectado!
33
Ações do CAIS para o combate a
atividade hacker
34
Reativo – Tratamento de Incidente
• Repasse do incidente aos responsáveis
• Auxílio às instituições da RNP na
solução de problemas
• Todas as notificações são respondidas
• Baixo tempo de atendimento ao
incidente
• Uso de scripts
• Coordenação de ações
• Combate ao Conficker no Backbone
da RNP35
Divulgação de alertas de segurança
• Visa alertar a comunidade de
vulnerabilidades críticas a fim de evitar
a sua exploração
• 25 em 2011, 08 em 2012
• 3907 inscritos
• Vulnerabildades em softwares e outros
36
Publicações
• CAIS-Resumo
• Pesquisa de segurança da rede
acadêmica
• Cartilhas de segurança
37
Educação
• Palestras
• GTS, FIRST, YSTS, ENSI, Bsides-BR
• Cursos
• SCI/RNP, FIRST, CLARA-TEC
• Realização de palestras e cursos em
instituições
38
Catálogo de Fraudes
• Informar as principais fraudes em
circulação na Internet brasileira
• Grande colaboração da comunidade
• 4135 fraudes cadastradas
39
http://www.rnp.br/cais/fraudes.php
Participação e realização de eventos
41
CAIS
EnCSIRTs
COLARIS FIRST
DISI
• Dia Internacional de Segurança em
Informática
• Realizado desde 2005
• Transmitido pela Internet em PT, EN e ES
42
43
44
“In the space of one hour, my entire digital life was
destroyed. First my Google account was taken over,
then deleted. Next my Twitter account was
compromised, and used as a platform to broadcast
racist and homophobic messages. And worst of all, my
AppleID account was broken into, and my hackers
used it to remotely erase all of the data on my
iPhone, iPad, and MacBook. “
DISI ‘12
• 29 de agosto de 2012
• São Paulo/SP
45
http://disi.rnp.br
Participe!!!
Carla Freitas
Centro de Atendimento a Incidentes de Segurança
http://www.rnp.br/cais