CAIS Resumo - Outubro a Dezembro de 2007

Alertas, vulnerabilidades e incidentes de segurança 20080207

[CAIS, 07.02.2008-17:32, revisão 01]

Publicação trimestral do Centro de Atendimento a Incidentes de Segurança da Rede Nacional de Ensino e Pesquisa
Outubro a Dezembro de 2007

Neste CAIS Resumo são abordados os alertas, vulnerabilidades e demais acontecimentos que se destacaram na área de segurança no quarto trimestre de 2007.

Destaques:

No último trimestre de 2007, a equipe do CAIS tratou 7.436 incidentes de segurança na sua totalidade. Destes, 44,72% referem-se ao envio de spam em grande escala, 16,31% a tentativas de invasão de sistemas e 11,29% à propagação de vírus e worms através de botnets (computadores infectados e controlados à distância por atacantes). Também foram tratados 241 casos de troca de páginas, em que o atacante substitui o conteúdo original de uma página web ou inclui conteúdo não autorizado na página atacada, e ainda 56 casos de phishing, ataques que têm por objetivo básico obter dados confidenciais de usuários.
A atividade de exploração de sistemas através de ataques de força-bruta contra o serviço SSH (acesso remoto seguro) continua a preocupar, em parte pela confirmação de que vários sistemas foram invadidos por ainda utilizarem senhas fracas. No período, foram reportados ao CAIS 27 casos de invasões realizadas através deste tipo de ataque e 502 tentativas de ataques.
Outra modalidade de exploração de sistemas muito popular é o uso de exploits, programas que exploram vulnerabilidades de um dado software. Nesta modalidade se destaca a busca por hosts com uma versão vulnerável de RealVNC (4.1.1), seguida pelo uso de um exploit que permite o login sem a necessidade de autenticação alguma. Ataques SSH e VNC têm uma semelhança básica: a facilidade de exploração. Embora a exploração já aconteça há muito tempo (SSH desde 2004 e VNC desde 2006), os ataques não caem em desuso porque ainda têm sucesso, seja pela má escolha de senhas no caso de SSH ou pela negligência na atualização de todos os softwares do sistema (e não apenas do sistema operacional) no caso do VNC.
No dia 17 de dezembro foi divulgado um alerta com dicas para as compras on-line de final do ano. Muitos usuários ainda são vítimas de golpes e o alerta busca informar quais são os cuidados mínimos necessários.
No dia 5 de outubro foi divulgado o alerta com as correções necessárias para o horário de verão 2007/2008. O alerta traz informações sobre como configurar o horário de verão em diversos sistemas operacionais, uma vez que, tratando-se de incidentes de segurança, a precisão dos relógios dos sistemas é fundamental para manter a consistência dos logs, além de ser imprescindível nas investigações e identificação de responsáveis.
No dia 30 de novembro foi comemorado o DISI 2007 - Dia Internacional da Segurança em Informática, com a realização de palestras, por meio da Internet, divulgação de material e um Quiz de segurança. Este evento é focado na conscientizacão do usuário final sobre as questões de segurança.

Alertas:

No quarto trimestre de 2007, o CAIS divulgou 19 alertas de segurança através da lista CAIS-Alerta. Abaixo seguem os principais alertas divulgados neste período. A relação completa dos alertas divulgados pode ser encontrada em http://www.rnp.br/cais/alertas/2007/

A lista de e-mails CAIS-Alerta é aberta ao público e gratuita, e sua assinatura pode ser feita através do endereço http://www.rnp.br/cais/listas.php

Dicas para suas compras on-line de final de ano
Alerta do CAIS 20071217
[CAIS, 17.12.2007]
http://www.rnp.br/cais/alertas/2007/cais-alr-20071217.html

Alterações de configuração necessárias para o Horário de Verão 2007/2008
Alerta do CAIS 20071005
[CAIS, 05.10.2007]
http://www.rnp.br/cais/alertas/2007/cais-alr-20071005.html

CAIS na mídia:

A seguir, são listadas algumas reportagens, artigos e entrevistas que tiveram a participação da equipe do CAIS:

Rede acadêmica também é alvo de ataques hackers
[Jornal do Commercio, 05.12.2007]
http://jc.uol.com.br/jornal/2007/12/06/not_260689.php

Incidentes de segurança em rede acadêmica caem 59%
[Módulo, 16.11.2007]
http://www.modulo.com.br/

Cais festeja com palestra na web
[Jornal do Commercio, 28.11.2007]
http://jc.uol.com.br/jornal/2007/11/29/not_259622.php

Dez anos de duro combate
[O Globo, 26.11.2007]
http://www.oglobodigital.com.br

Guardiões da rede
[O Globo, 20.11.2007]
http://oglobo.globo.com/

RNP registra mais de 232 mil incidentes de segurança em 10 anos
[WNews, 21.11.2007]
http://wnews.uol.com.br/site/noticias/materia.php?id_secao=4&id_conteudo=9481

Rede segura
[Jornal do Commercio, 14.11.2007]
http://jc.uol.com.br/jornal/2007/11/14/col_49.php

Rede Nacional de Ensino e Pesquisa tem queda de 59% nos incidentes de segurança
[Computerworld, 14.11.2007]
http://computerworld.uol.com.br/seguranca/2007/11/14/idgnoticia.2007-11-14.2863642219/

Internet mais segura
[Agência Fapesp, 14.11.2007]
http://www.agencia.fapesp.br/boletim_dentro.php?id=8037

Incidentes de segurança nas redes acadêmicas e científicas caem 59%
[TI Inside, 05.11.2007]
http://www.tiinside.com.br/Filtro.asp?C=265&ID=79881

RNP firme na vigilância
[Globo online, 30.10.2007]
http://oglobo.globo.com/blogs/andremachado/

Estatísticas:

Segue uma análise comparativa das estatísticas de incidentes reportados ao CAIS no quarto trimestre de 2007 com dados da mesma época de anos anteriores.

Mês	2005	2006	2007
Out	10.186	5.227	2.615
Nov	10.851	4.432	2.668
Dez	5.607	4.321	2.153
TOTAL	26.644	13.980	7.436

A queda no número de incidentes reportados, que foi informada nos três primeiros CAIS-Resumo deste ano, se repete. Comparando-se o quarto trimestre de 2007 com o mesmo período dos últimos dois anos, a queda é acentuada. Se comparado com o mesmo período de 2006 ocorreram 6.544 incidentes a menos, ou seja, uma diminuição de 53%. Esta queda é reflexo direto das ações pró-ativas do CAIS para identificar e erradicar máquinas infectadas.

Primeiro trimestre	#incidentes	Segundo trimestre	#incidentes
Jan/2007	2.615	Abr/2007	3.404
Fev/2007	3.104	Mai/2007	3.886
Mar/2007	3.846	Jun/2007	3.379
TOTAL	9.565		10.669
Média	3.188		3.556

Terceiro trimestre	#incidentes	Quarto trimestre	#incidentes
Jul/2007	3.190	Out/2007	2.615
Ago/2007	2.747	Nov/2007	2.668
Set/2007	2.143	Dez/2007	2.153
TOTAL	8.080		7.436
Média	2.693		2.478

A média de incidentes do último trimestre é inferior às médias dos três primeiros trimestres, o que nos leva a afirmar que o nível de infecção de sistemas e ataques foi realmente mais baixo e tem se mantido sob controle. Soma-se a isto o não aparecimento de um novo worm ou vírus com ação propagadora significante no período observado.

No ano de 2007 foram tratados 35.700 incidentes contra 70.815 no ano de 2006, uma diminuição de 50%.

Média mensal de incidentes (nos últimos anos)
Ano	#incidentes
2007	2.981
2006	5.901
2005	5110

Observa-se uma sensível redução na média mensal de 2007 em comparação com os dois anos anteriores. Isto certamente se deve a uma maior capacidade de identificação dos sistemas comprometidos e a uma maior conscientização nos aspectos de segurança por parte das instituições em preservar a operação e integridade das suas redes.

Notas:

O CAIS ressalta que manter os sistemas e aplicativos atualizados, seguir uma política de segurança e orientar os usuários são algumas das práticas recomendadas para diminuir os riscos de comprometimento de sua rede, além de contribuir para o aumento da segurança da Internet como um todo.

Logo, o CAIS recomenda aos administradores que se mantenham cientes e conscientes dos alertas, correções e atualizações disponibilizadas pelos fabricantes e órgãos de renome na área de segurança.

Listas de alertas publicados:
2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998

Assinatura dos Alertas do CAIS

Assine a lista de alertas do CAIS e receba antecipadamente, por correio eletrônico, as mais recentes notificações sobre segurança em redes e sistemas.

Formulário de assinatura dos Alertas do CAIS

Formulário de assinatura

Contato com o Cais:

+55 (19) 3787-3300
+55 (19) 3787-3301

cais@cais.rnp.br

Chave PGP pública do Cais