RNP - Rede Nacional de Ensino e Pesquisa
 
Segurança de redes 
 

CAIS Resumo - Janeiro a Março de 2007

Alertas, vulnerabilidades e incidentes de segurança 20070412

[CAIS, 12.04.2007-16:40, revisão 01]


Publicação trimestral do Centro de Atendimento a Incidentes de Segurança da Rede Nacional de Ensino e Pesquisa
Janeiro a Março de 2007

Neste CAIS Resumo são abordados os alertas, vulnerabilidades e demais acontecimentos que se destacaram na área de segurança no primeiro trimestre de 2007.



Destaques:

  1. Nos três primeiros meses de 2007 a equipe do CAIS tratou 9.565 incidentes de segurança na sua totalidade. Destes, 55 foram casos de 'phishing', ataques que tem por objetivo básico obter dados confidenciais de usuários. Foram tratados também 264 casos de troca de páginas, nos quais o atacante substitui o conteúdo original de uma página web ou inclui conteúdo não autorizado na página atacada.

  2. No mês de janeiro o CAIS finalizou o processo de patrocínio do TERIS, o CSIRT da Telefonica del Peru, na sua filiação ao FIRST (Forum of Incident Response and Security Teams), convertendo-o no mais novo membro deste organismo internacional. O patrocínio de um membro atual do FIRST é requisito indispensável ao candidato no processo de filiação.

  3. No dia 14 de fevereiro foi anunciada oficialmente o início da operação do primeiro servidor de chaves públicas da América Latina, mantido pela RNP, e que permite a pesquisa de chaves PGP públicas. O endereço, a partir do site da RNP, é http://www.rnp.br/keyserver

  4. O término do horário de verão 2006/2007 previsto para o dia 25 de fevereiro foi devidamente antecipado pelo CAIS através do envio do alerta no dia 16/02. O CAIS lembrou da importância do ajuste nos relógios dos sistemas e de manter-se a consistência dos logs, aspectos cruciais em qualquer processo de investigação.

  5. No dia 22 de fevereiro foi identificada uma vulnerabilidade no Snort que permitia ataques do tipo 'buffer overflow', com possibilidade de execução remota de código malicioso no sistema comprometido. A seriedade da mesma residiu principalmente no fato do Snort ser um software de IDS de domínio público, amplamente utilizado no mercado.

  6. A atividade de exploração de sistemas através de ataque de forca-bruta contra o serviço SSH continua a preocupar, em parte pela confirmação de que vários sistemas foram invadidos por ainda utilizarem senhas fracas.

  7. Mais uma vez, a equipe do CAIS realizou a tradução para o português do documento "SANS Top-20 Internet Security Attack Targets" que lista as maiores ameaças de segurança na Internet. O documento foi formalmente publicado pelo SANS no dia 28 de fevereiro e encontra-se atualmente disponível através da seguinte URL: http://www.sans.org/top20/2006/top20-v70-portuguese.pdf

  8. O mês de março de 2007 foi marcado pela identificação de várias vulnerabilidades em aplicações PHP. Assim sendo, a meados do mês, o CAIS decidiu publicar um alerta explicando a origem das iniciativas na identificação de vulnerabilidades nesta linguagem e a importância em se manter as aplicações PHP sempre atualizadas.

  9. Ainda no mês de março a equipe do CAIS publicou um alerta sobre as inúmeras mensagens falsas que vinham circulando na Internet, relacionadas com a Receita Federal e com o Imposto de Renda, bastante frequentes nesta época do ano em que o envio das Declarações de Imposto de Renda deve ser realizado.

  10. Curiosamente, no mês de março, a Microsoft não reportou nenhum alerta de segurança, apesar da divulgação de vulnerabilidades que afetavam seus produtos. Ao mesmo tempo, foi divulgada a segunda vulnerabilidade remota no sistema operacional OpenBSD, em 8 anos.

 


Alertas:

Nos três primeiros meses de 2007, o CAIS divulgou 33 alertas de segurança através da lista CAIS-Alerta. Abaixo seguem os principais alertas divulgados neste período, e a relação completa dos alertas divulgados pode ser encontrada em: http://www.rnp.br/cais/alertas/2007/

A lista de e-mails CAIS-Alerta é aberta ao público e gratuita, e sua assinatura pode ser feita através do endereço http://www.rnp.br/cais/listas.php

Mensagens falsas da Receita Federal e Imposto de Renda
Alerta do CAIS 20070327
[CAIS, 27.03.2007]
http://www.rnp.br/cais/alertas/2007/cais-alr-20070327.html

Mês dos Bugs em PHP - Março 2007
Alerta do CAIS 20070315
[CAIS, 15.03.2007]
http://www.rnp.br/cais/alertas/2007/cais-alr-20070315.html

Vulnerabilidade no IPv6 do OpenBSD
CORE-2007-0219
[CAIS, 14.03.2007]
http://www.rnp.br/cais/alertas/2007/core-2007-0219.html

Worm explora falha no telnet.d em sistemas Sun Solaris
USCERT-TA07-059A
[CAIS, 02.03.2007]
http://www.rnp.br/cais/alertas/2007/USCERT-TA07-059A.html

Código Malicioso para Vulnerabilidade no Snort
Alerta do CAIS 20070223
[CAIS, 23.02.2007]
http://www.rnp.br/cais/alertas/2007/cais-alr-20070223.html

Término do Horário de Verão 2006/2007
Alerta do CAIS 20070216
[CAIS, 16.02.2007]
http://www.rnp.br/cais/alertas/2007/cais-alr-20070216.html

 


CAIS na mídia:

A seguir, são listadas algumas reportagens, artigos e entrevistas concedidas pela equipe do CAIS, relacionadas aos temas destacados anteriormente:

RNP registra 22 bugs em aplicações PHP
[Módulo, 21.03.2007]
http://www.modulo.com.br/index.jsp?page=3&catid=7&objid=5409

Cais amplia divulgação de lista-referência de segurança na Internet
[Módulo, 05.03.2007]
http://www.modulo.com.br/index.jsp?page=3&catid=7&objid=5359

Lista das 20 maiores vulnerabilidades da internet é ampliada
[Computerworld, 05.03.2007]
http://computerworld.uol.com.br/seguranca/2007/03/05/idgnoticia.2007-03-05.4220452984/IDGNoticia_view

Rede Nacional de Ensino e Pesquisa cria chave de segurança para envio de e-mails de brasileiros
[WNews, 16.02.2007]
http://wnews.uol.com.br/site/noticias/materia.php?id_secao=4&id_conteudo=7379

Rede Nacional de Ensino e Pesquisa cria chave de segurança para envio de e-mails de brasileiros
[Módulo, 15.02.2007]
http://www.modulo.com.br/pt/page_i.jsp?page=3&catid=7&objid=5321&pagenumber=0&idiom=0

CSIRT da Telefonica del Peru é o mais novo membro do First
[RNP, 24.01.2007]
http://www.rnp.br/noticias/2007/not-070124.html

 


Estatísticas:

Segue uma análise comparativa das estatísticas de incidentes reportados ao CAIS no primeiro trimestre de 2007 com dados da mesma época de anos anteriores.

 

Mês 2005 2006 2007
Jan 1871 5597 2615
Fev 2638 6725 3104
Mar 1542 7384 3846
TOTAL 6051 19706 9565

Nota-se que apesar da queda acentuada entre o primeiro trimestre de 2006 e 2007, o número total de incidentes reportados ao CAIS continua a aumentar ano após ano. No primeiro trimestre de 2006, o CAIS/RNP realizou uma série de ações pró-ativas para identificar e erradicar máquinas infectadas, o que resultou em um aumento singular no número de incidentes naquele ano, porém tendo como consequência a diminuição significativa do volume de incidentes no ano seguinte. Em 2007, o número de incidentes volta a sua tendência de crescimento normal, com a notificação de 9.565 incidentes somente no primeiro trimestre do ano.

 

Trimestre
anterior
#incidentes Trimestre
atual
#incidentes
Out/2006 5227 Jan/2007 2615
Nov/2006 4432 Fev/2007 3104
Dez/2006 4321 Mar/2007 3846
TOTAL 13980   9565
Média 4660   3188

A média de incidentes dos últimos dois trimestres é decrescente em razão das ações pró-ativas tomadas pelo CAIS, para erradicar sistemas infectados.

 

Média mensal de incidentes
(nos últimos anos)
Ano #incidentes
2007 3188
2006 5901
2005 5110

Observa-se que a média mensal dos últimos três anos tende a reduzir-se. Certamente, isto deve-se a uma maior capacidade de identificação dos sistemas comprometidos e preocupação por parte das instituções em preservar a operação e integridade das suas redes.

 


Notas:

O CAIS ressalta que manter os sistemas e aplicativos atualizados, seguir uma política de segurança e orientar os usuários são algumas das práticas recomendadas para diminuir os riscos de comprometimento de sua rede, além de contribuir para o aumento da segurança da Internet como um todo.

Assim também, o CAIS recomenda aos administradores que se mantenham cientes e conscientes dos alertas, correções e atualizações disponibilizadas pelos fabricantes e órgãos de renome na área de segurança.



Centro de Atendimento a Incidentes de Segurança

Consulta em alertas

 


Contato com o Cais:

+55 (19) 3787-3300
+55 (19) 3787-3301

cais@cais.rnp.br


Chave PGP pública do Cais