CAIS Resumo - Abril a Junho de 2007 Alertas, vulnerabilidades e incidentes de segurança 20070808
[CAIS, 09.08.2007-15:12] Publicação trimestral do Centro de Atendimento a Incidentes de Segurança da Rede Nacional de Ensino e Pesquisa Abril a Junho de 2007 Neste CAIS Resumo são abordados os alertas, vulnerabilidades e demais acontecimentos que se destacaram na área de segurança no segundo trimestre de 2007. ------------------------------ *Destaques:* 1. No segundo trimestre de 2007 a equipe do CAIS tratou 10.669 incidentes de segurança na sua totalidade. Destes, 61,26% refere-se à envio de spam em grande escala, 13,33% à tentativas de invasão de sistemas e 11,26% à propagação de vírus e worms através de botnets (computadores infectados e controlados à distância por atacantes). Também foram tratados 117 casos de troca de páginas, em que o atacante substitui o conteúdo original de uma página web ou inclui conteúdo não autorizado na página atacada, e ainda 65 casos de phishing, ataques que têm por objetivo básico obter dados confidenciais de usuários. 2. No mês de junho o CAIS finalizou o processo de patrocínio da Secunia, renomada empresa da área de segurança, na sua filiação ao FIRST (Forum of Incident Response and Security Teams), convertendo-o no mais novo membro deste organismo internacional. O patrocínio de um membro atual do FIRST é requisito indispensável ao candidato no processo de filiação. 3. A atividade de exploração de sistemas através de ataques de forca-bruta contra o serviço SSH continua a preocupar, em parte pela confirmação de que vários sistemas foram invadidos por ainda utilizarem senhas fracas. No período foram reportados ao CAIS 12 casos de invasões realizadas através deste tipo de ataque. 4. A diminuição no número de casos de troca de páginas registrado, 117 contra 264 no trimestre passado, ocorreu em parte pela indisponibilidade do site do Zone-h no período. Este site mantém um histórico de ataques deste tipo a diversos sites web e tem se tornado uma importante fonte de consulta do CAIS no processo de identificacao de sites web desfigurados no âmbito da rede acadêmica. 5. No dia 2 de abril foi reportada uma vulnerabilidade no cursor animado do Windows que podia ser explorada induzindo um usuário a acessar uma página web especialmente criada, através do envio de um e-mail, ou mesmo enviando um arquivo anexado contendo o código malicioso. O ataque, se realizado com sucesso, permitiria ao atacante o controle total sobre o sistema. A criticidade desta vulnerabilidade se viu agravada pelo fato da Microsoft só ter disponibilizado a correspondente correção dois dias depois, em 4 de abril. 6. No penúltima semana do mês de junho foi realizada a 19a Conferência Anual do FIRST, onde a equipe do CAIS teve participação ativa ministrando cursos hands-on, palestras e sendo convidado a organizar pela primeira vez o "Desafio de Segurança" oferecido durante o evento. 7. Ainda em junho foi reportada uma grave vulnerabilidade no Windows DNS RPC. A mesma tornou-se um forte alvo de ataques devido ao fato que código malicioso que explorava tal falha foi disponibilizado logo após a sua descoberta. Este fato tem se tornado um padrão e nos faz refletir sobre planos de contingência para vulnerabilidades que demorem a ter correções. ------------------------------ *Alertas:* No segundo trimestre de 2007, o CAIS divulgou 22 alertas de segurança através da lista CAIS-Alerta. Abaixo seguem os principais alertas divulgados neste período, e a relação completa dos alertas divulgados pode ser encontrada em: http://www.rnp.br/cais/alertas/2007/ A lista de e-mails CAIS-Alerta é aberta ao público e gratuita, e sua assinatura pode ser feita através do endereço http://www.rnp.br/cais/listas.php *Vulnerabilidade no cursor animado do Windows* Microsoft Security Advisory 935423 [CAIS, 02.04.2007] http://www.rnp.br/cais/alertas/2007/msa-935423.html *Correções de Segurança Acumulativas para Internet Explorer* Microsoft Security Bulletin MS07-027 [CAIS, 08.05.2007] http://www.rnp.br/cais/alertas/2007/ms07-027.html *Vulnerabilidade no Windows DNS RPC* Microsoft Security Bulletin MS07-029 [CAIS, 08.05.2007] http://www.rnp.br/cais/alertas/2007/ms07-029.html ------------------------------ *CAIS na mídia:* A seguir, são listadas algumas reportagens, artigos e entrevistas concedidas pela equipe do CAIS, relacionadas aos temas destacados anteriormente: *Equipe do CAIS participa de entrevista em blog* [SecurityProPortal, 21.06.2007] http://securitypodcasts.itproportal.com/?p=34 *Curso do CAIS é elogiado em blog da F-Secure* [F-Secure, 21.06.2007] http://www.f-secure.com/weblog/archives/archive-062007.html#00001219 *Navegue longe das pragas* [Correio Braziliense, 19.06.2007] http://www.rnp.br/noticias/imprensa/2007/not-imp-070619.html *Incidentes de segurança na rede acadêmica brasileira caem pela metade nos primeiros três meses de 2007 em relação ao mesmo período de 2006* [Módulo, 19.04.2007] http://www.modulo.com.br/pt/page_i.jsp?page=3&catid=7&objid=5490&pagenumber=0&idiom=0 *Incidentes de segurança na rede acadêmica caem à metade* [RNP, 19.04.2007] http://www.rnp.br/noticias/2007/not-070419a.html *Em queda* Globo, 17.04.2007] http://oglobo.globo.com/blogs/andremachado/post.asp?cod_Post=55004 *Incidentes de segurança na rede acadêmica brasileira caem à metade* [Caderno Digital, 17.04.2007] http://www.cadernodigital.inf.br/interna_noticia.php?idN=1627# ------------------------------ *Estatísticas:* Segue uma análise comparativa das estatísticas de incidentes reportados ao CAIS no segundo trimestre de 2007 com dados da mesma época de anos anteriores. Mês 2005 2006 2007 Abr 2762 4776 3404 Mai 7579 6082 3886 Jun 3808 6591 3379 *TOTAL* 14149 17449 10669 A queda no número de incidentes reportados que foi informada no primeiro CAIS-Resumo deste ano se repete. Comparando-se o segundo trimestre de 2007 com o mesmo período dos últimos dois anos, a queda é acentuada. Se comparado com o mesmo período de 2006 ocorreram 6.780 incidentes a menos, ou seja, uma diminuição de quase 40%. Esta queda é reflexo direto das ações pró-ativas para identificar e erradicar máquinas infectadas. Trimestre anterior #incidentes Trimestre atual #incidentes Jan/2007 2615 Abr/2007 3404 Fev/2007 3104 Mai/2007 3886 Mar/2007 3846 Jun/2007 3379 TOTAL 9565 10669 Média 3188 3556 A média de incidentes dos últimos dois trimestres é próxima, o que nos leva a afirmar que o nível de infecção de sistemas e ataques tem se mantido sob controle. Soma-se a isto o não aparecimento de um novo worm ou vírus com ação propagadora significante no período observado. Média mensal de incidentes (nos últimos anos) Ano #incidentes 2007 3372 2006 5901 2005 5110 Observa-se uma sensível redução na média mensal de 2007 em comparação com os dois anos anteriores. Isto certamente se deve a uma maior capacidade de identificação dos sistemas comprometidos, e a uma maior conscientização nos aspectos de segurança por parte das instituições em preservar a operação e integridade das suas redes. ------------------------------ *Notas:* O CAIS ressalta que manter os sistemas e aplicativos atualizados, seguir uma política de segurança e orientar os usuários são algumas das práticas recomendadas para diminuir os riscos de comprometimento de sua rede, além de contribuir para o aumento da segurança da Internet como um todo. Assim também, o CAIS recomenda aos administradores que se mantenham cientes e conscientes dos alertas, correções e atualizações disponibilizadas pelos fabricantes e órgãos de renome na área de segurança. -- Rafael Gomes Consultor em TI ITServ - Tecnologia com Segurança (71) 8146-5772 -- Interessado em aprender mais sobre o Ubuntu em português? http://wiki.ubuntu-br.org/ComeceAqui - ubuntu-br mailing list [email protected] https://lists.ubuntu.com/mailman/listinfo/ubuntu-br
