1 / 24

POP-RS

CERT-RS. POP-RS. Estatísticas de ataques mais freqüentes à Internet/BR e como evitá-los Leandro Márcio Bertholdo berthold@pop-rs.rnp.br. CERT-RS. POP-RS. O que é o CERT-RS

hope
Download Presentation

POP-RS

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. CERT-RS POP-RS Estatísticas de ataques mais freqüentes à Internet/BR e como evitá-los Leandro Márcio Bertholdo berthold@pop-rs.rnp.br

  2. CERT-RS POP-RS O que é o CERT-RS O CERT-RS realiza estudos sobre a segurança e vulnerabilidade na Internet, provendo serviços de informação a sites e publicando uma variedade de alertas de segurança e pesquisando sobre segurança e sobrevivência na rede e dando dicas para ajudar você a manter a segurança de seu site

  3. CERT-RS POP-RS Qual a proposta do CERT-RS • Prover informações sobre segurança • Cursos presenciais e a distância • Consultoria especializada sobre estratégias de segurança • http://www.cert-rs.tche.br

  4. CERT-RS POP-RS O que será visto • Recomendações de Segurança do CG • Incidentes reportados junto ao NIC (Brasil) • Incidentes reportados junto ao CERT-RS • Total de Ataques monitorados pelo CERT-RS aos sites do POP-RS & UFRGS • Soluções recomendadas

  5. CERT-RS POP-RS A recomendação do Comitê Gestor (CG) • Identificação de origem (chamada/conexão) • Proteção aos usuários • Serviços DNS configurados corretamente • Contato de segurança • Equipe de segurança • Contratos com política de uso aceitável

  6. CERT-RS POP-RS Incidentes registrados pelo NICBr (Network Information Center)

  7. CERT-RS POP-RS Incidentes Registrados pelo CERT-RS

  8. CERT-RS POP-RS data Ataque Destino 4-Jan-99 tentativa de hacking tnt.com.br 5-Jan-99 tentativa de hacking mk.com.au 6-Jan-99 cgi/telnet pop-rs.rnp.br 6-Jan-99 cgi/telnet cert-rs 6-Jan-99 cgi/telnet pampa.tche.br 11-Jan-99 imap/rpc/cgi/bo ufrgs.br 11-Jan-99 imap/rpc/cgi/bo ufrgs.br 17-Jan-99 bo scan netpar.com.br 18-Jan-99 phf ufrgs.br 18-Jan-99 smurf furg.br 4-Feb-99 transferencia de zona rnp.br 5-Feb-99 bots IRC/nuke kern.com 5-Feb-99 bots IRC/nuke kern.com

  9. CERT-RS POP-RS data Ataque Destino 8-Feb-99 ataque desconhecido (31223/tcp) 12-Feb-99 acesso indevido(privacidade) 16-Feb-99 buffer overflow mountd cmg.com.br 23-Feb-99 phf horizontes.com.br 1-Mar-99 roubo de senhas (denuncia) 1-Mar-99 roubo de senhas (denuncia) 1-Mar-99 roubo de senhas (denuncia) 2-Mar-99 transferencia de zona fapesp.br 7-Mar-99 CGI skidmore.edu 31-Mar-99 exploit ao innd/nnrpd uri.com.br 10-Apr-99 SPAM znet.com 14-Apr-99 DoS FTP xciv.org 17-Apr-99 scan telnet/rpc/dns/... sanet.de

  10. CERT-RS POP-RS data Ataque Destino 17-Apr-99 scan completo comroep.nl 19-Apr-99 SPAM netcom.com 21-Apr-99 SPAM iname.com 5-May-99 SPAM flinet.com 7-May-99 SPAM state.ny.us 7-May-99 SPAM cert-rs.tche.br 8-May-99 SPAM aol.com 9-May-99 ISS/coldfusion inf.ufrgs.br 10-May-99 CGI cert-rs.tche.br 11-May-99 transferencia de zona unicamp.br 13-May-99 netbus pop-rs.rnp.br

  11. CERT-RS POP-RS data Ataque Destino 15-May-99 scan completo pop-rs.rnp.br 18-May-99 SPAM cert-rs.tche.br 20-May-99 hacking & vandalismo 24-May-99 scan completo cert-rs.tche.br 27-May-99 hacking & vandalismo 28-May-99 telnet inf.ufrgs.br 28-May-99 transferencia de zona ufrgs.br

  12. CERT-RS POP-RS Tentativas de Ataques realizados aos sites da UFRGS e POP-RS e monitorados pelo CERT-RS

  13. CERT-RS POP-RS Observações sobre os Ataques • Total de tentativas em 2 sites (UFRGS & POP-RS) X registro total do CERT-RS • tentativas (635973) x registros (45)

  14. CERT-RS POP-RS Observações sobre os Ataques • Sem alvo definido (maioria são scans generalizados) • Ataques totalmente automatizados explorando bugs mais recentes (wu-ftp, pop3, IIS/www, cgi-bin) • Scans a procura de informações (axfr, snmp)

  15. CERT-RS POP-RS Observações sobre ataques (continuação) • Pesquisa de Trapdoors (B.O. & Netbus) • DoS (Smurf)

  16. CERT-RS POP-RS Soluções imediatas: • Adoção de um filtro de pacotes, mesmo que utilizando inicialmente uma política francesa (solução implantada na UFRGS) • SP5 generalizado em máquinas NT com patches caso a caso para IIS 4.0 • Cuidado com os CGIs (ex. count, test, phf, handler, php, webgais, faxsurvey, perl, ...)

  17. CERT-RS POP-RS Soluções imediatas (continuação): • Configuração adequada do router contra IPSpoofing (redes 10, 172.16, 192.168, 127) • Configuração contra ataques ( no ip source route) • Configuração contra DoS (no ip-direct-broadcast) • Não esquecer de bloquear SNMP

  18. CERT-RS POP-RS Soluções imediatas (continuação): • Troca de versão FTP(wu-2.5.0) POP3(QPOP 3.0b18) • Desabilitar serviços não utilizados (NT/Unix) • Acompanhe alguma lista de segurança (ex: infoseg@pop-rs.rnp.br)

  19. CERT-RS POP-RS Estatísticas de ataques mais freqüentes à Internet/BR e como evitá-los Leandro Márcio Bertholdo berthold@pop-rs.rnp.br

More Related