Panorama de incidentes de
segurança nas redes
acadêmicas brasileiras
Centro de Atendimento a Incidentes de Segurança – CAIS
Rede Nacional de Ensino e Pesquisa – RNP
Atanaí Sousa Ticianelli Coordenador de segurança
Gestão de Incidentes de Segurança - GIS
Agenda • Rede Nacional de Ensino e Pesquisa – RNP
• Centro de Atendimento a Incidentes de Segurança – CAIS
• Tratamento de Incidentes de Segurança
• Histórico e incidentes em 2011
• Incidentes por estado
• Código malicioso
• Conteúdo abusivo
• Fraude
• Tentativas de intrusão
• Demais categorias
Rede Nacional de Ensino e Pesquisa - RNP
• Criada em 1989 pelo MCT
• Primeira rede de acesso à internet no Brasil
• Conexão de internet para instituições de ensino superior e
unidades de pesquisa (Rede Ipê)
• Desenvolvimento e uso de aplicações avançadas em rede
• Treinamento de profissionais em redes
• Rede Ipê: sexta geração
– Mais de 800 instituições conectadas
– 3,5 milhões de usuários estimados
– 27.500 grupos de pesquisa beneficiados
– Universidades federais, escolas agrotécnicas, centros
federais de educação tecnológica, centros de pesquisa,
hospitais, museus, outros.
“A RNP está na ponta de lança da
construção de uma sociedade do
conhecimento. Depende do Plano Nacional
de Banda Larga e da RNP dar suporte às
instituições brasileiras de formação de
capital humano.”
Aluízio Mercadante – MCTI – 13/07/2011
Rede Nacional de Ensino e Pesquisa - RNP
• Rede Ipê: sexta geração
– Mais de 800 instituições conectadas
– 3,5 milhões de usuários estimados
– 27.500 grupos de pesquisa beneficiados
– Universidades federais, escolas agrotécnicas, centros
federais de educação tecnológica, centros de pesquisa,
hospitais, museus, outros.
“A RNP está na ponta de lança da
construção de uma sociedade do
conhecimento. Depende do Plano Nacional
de Banda Larga e da RNP dar suporte às
instituições brasileiras de formação de
capital humano.”
Aluízio Mercadante – MCTI – 13/07/2011
Rede Nacional de Ensino e Pesquisa - RNP
Centro de Atendimento a Incidentes de Segurança
• CAIS
– Área criada em 1997 na RNP
– Detecção, resolução e prevenção de incidentes de
segurança
– Divulgação de informações e alertas de segurança
– Quatro sub-áreas
• Disseminação da Cultura de Segurança (DCS)
• Gestão de Riscos e Segurança da Informação (GRSI)
• Infraestrutura e Serviços à Comunidade Acadêmica (SERV)
• Gestão de Incidentes de Segurança (GIS)
Tratamento de Incidentes de Segurança
• Gestão de incidentes de segurança (GIS)
– Papel de coordenação e suporte aos clientes
– Atuação nos núcleos da RNP e no backbone
– 2 analistas dedicados ao T.I.
Recebimento da
notificação
Análise e triagem
Encaminhamento do
incidente
Resposta ao reclamante
Histórico e incidentes em 2011
• Em 2011:
– Total de 319.327 incidentes tratados
– 20% a mais incidentes que 2009
– 204% a mais que 2010
– Processos de automação
– Novas fontes de monitoramento de incidentes
5 36 473 2.053 7.209 12.114 20.190 29.640
61.323 70.815
35.766 35.939
266.798
105.030
319.327
0
50.000
100.000
150.000
200.000
250.000
300.000
350.000
1997 1998 1999 2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011
• MS 08-067
• MS Server Services
• Senhas fracas
• USB
Conficker
(Configure “s/i/u”)
Restruturação
• Automação
• Taxonomia
• Novas fontes de
incidentes
Incidentes por estado
1.131
8.491
1.108 1.211
224
7.058
26.028
3.005
6.104
3.716
21.794
1.702
4.472 6.001
20.350
25.010
2.321
21.341
65.128
7.288
974
419
8.439
48.602
1.736
10.157
3.317
12.200
1
10
100
1.000
10.000
100.000
AC AL AM AP BA CE DF ES GO MA MG MS MT PA PB PE PI PR RJ RN RO RR RS SC SE SP TO -
TOTAL
– 23 estados possuem índice de fechamento de incidentes
menor que 1%
• Incluindo RJ, SC, DF, PE, MG, PR e PB (> 20K incidentes)
– Estados com melhores índices no combate a incidentes
de segurança
• BA: ~9%
• RS: ~4,5%; AM: ~3,2 % ; SP: ~1,4%
Incidentes por estado
1
10
100
1.000
10.000
100.000 T
Código malicioso
– Vírus, worms, trojans, bots, spywares, scripts, outros
– Representam 90% do total de incidentes na Rede Ipê
(286.397 incidentes)
– Botnets: 98% das infecções
281.965
159
10
4.268
1 10 100 1.000 10.000 100.000 1.000.000
Bot
Worm
Virus
Outros
Código malicioso
• Conficker na RNP (2011):
– 154.890 incidentes (~ 48% dos incidentes)
– 9.822 ips únicos
– 1.472 redes /24 únicas
• Conficker no mundo:
– Conficker A+B+C (2012-03-07)
Total hits HTTP: 672.627.608
IP's únicos: 2.931.401
ASN's únicos: 14.439
GEO's únicas: 226
http://www.confickerworkinggroup.org
Código malicioso
• Conficker na RNP (2011):
– 154.890 incidentes (~ 48% dos incidentes)
– 9.822 ips únicos
– 1.472 redes /24 únicas
• Conficker no mundo:
– Conficker A+B+C (2012-03-07)
Total hits HTTP: 672.627.608
IP's únicos: 2.931.401
ASN's únicos: 14.439
GEO's únicas: 226
http://www.confickerworkinggroup.org
0
200
400
600
800
1.000
1.200
1.400
Jan Fev Mar Abr Mai Jun Jul Ago Set Out Nov Dez
Conteúdo abusivo
– Envio de spam, casos de difamação, assédio,
discriminação, outros.
– 10.857 notificações em 2011 (3,34% do total anual)
0
200
400
600
800
1.000
1.200
1.400
Jan Fev Mar Abr Mai Jun Jul Ago Set Out Nov Dez
Conteúdo abusivo
– Envio de spam, casos de difamação, assédio,
discriminação, outros.
– 10.857 notificações em 2011 (3,34% do total anual)
m86_security_labs_report_2h2011.pdf
0
200
400
600
800
1.000
1.200
1.400
Jan Fev Mar Abr Mai Jun Jul Ago Set Out Nov Dez
Conteúdo abusivo
– Envio de spam, casos de difamação, assédio,
discriminação, outros.
– 10.857 notificações em 2011 (3,34% do total anual)
m86_security_labs_report_2h2011.pdf
Botnet Xarvester
• 2009/2010
• 2011
• Replica watches
• Produtos farmacêuticos
Fraude
– Violam direitos autoriais
– Entidade assume de forma ilegítima a identidade de outra
– Utilização de recursos de forma não autorizada
– 9.973 notificações em 2011 (3,12% do total anual)
4.835
2.680
2.458
2.284
1.676
2.491
0 1.000 2.000 3.000 4.000 5.000 6.000
2011 2010
Violação de direitos
autorais
Uso de recursos de
forma não autorizada
Fingir ou falsificar
identidade ou instituição
Tentativas de intrusão
2.671
4.347
1.871
0 1.000 2.000 3.000 4.000 5.000
Tentativa de exploração de vulnerabilidades
Tentativa de login
Outros
– XSS, SQL Injection
– SSH, Mail, FTP
– 8.889 notificações em 2011 (2,78% do total anual)
Demais categorias
335
284
38
2.554
1 10 100 1.000 10.000
Prospecção por informações
Intrusão
Indisponibilidade de serviço ou informação
Outros
Scan em portas
diversas, icmp, etc
Aplicação: 265
Conta de usuário: 19
(D) DoS
Atanaí Sousa Ticianelli <atanai at cais.rnp.br>
Centro de Atendimento a Incidentes de Segurança –
CAIS/RNP
http://www.rnp.br/cais/
@cais_rnp
Notificação de Incidentes
Para encaminhar incidentes de segurança envolvendo redes conectadas à
RNP:
1. E-mail: [email protected]
Para envio de informações criptografadas use a chave PGP pública do
CAIS: http://www.rnp.br/cais/cais-pgp.key
2. Formulário para Notificação de Incidentes de Segurança:
http://www.rnp.br/cais/atendimento_form.html
Hotline INOC-DBA (Inter-NOC Dial-By-ASN): 1916*800
Atendimento Emergencial: Para contato fora do horário comercial (09:00 -
18:00 - Horário de Brasília) por favor utilize o telefone (61) 226-9465.
Alertas do CAIS: O CAIS mantém a lista [email protected]. Assinatura
aberta à comunidade de segurança. Inscrição através do formulário em:
http://www.rnp.br/cais/alertas/