| CAIS Resumo - Abril a Junho de 2007Alertas, vulnerabilidades e incidentes de segurança 20070808 [CAIS, 09.08.2007-15:12, revisão 01]
Publicação trimestral do Centro de Atendimento a Incidentes de Segurança da Rede Nacional de Ensino e Pesquisa
Abril a Junho de 2007
Neste CAIS Resumo são abordados os alertas, vulnerabilidades e demais acontecimentos que se destacaram na área de segurança no segundo trimestre de 2007.
Destaques:
-
No segundo trimestre de 2007 a equipe do CAIS tratou 10.669 incidentes de segurança na sua totalidade. Destes, 61,26% refere-se à envio de spam em grande escala, 13,33% à tentativas de invasão de sistemas e 11,26% à propagação de vírus e worms através de botnets (computadores infectados e controlados à distância por atacantes). Também foram tratados 117 casos de troca de páginas, em que o atacante substitui o conteúdo original de uma página web ou inclui conteúdo não autorizado na página atacada, e ainda 65 casos de phishing, ataques que têm por objetivo básico obter dados confidenciais de usuários.
-
No mês de junho o CAIS finalizou o processo de patrocínio da Secunia, renomada empresa da área de segurança, na sua filiação ao FIRST (Forum of Incident Response and Security Teams), convertendo-o no mais novo membro deste organismo internacional. O patrocínio de um membro atual do FIRST é requisito indispensável ao candidato no processo de filiação.
-
A atividade de exploração de sistemas através de ataques de forca-bruta contra o serviço SSH continua a preocupar, em parte pela confirmação de que vários sistemas foram invadidos por ainda utilizarem senhas fracas. No período foram reportados ao CAIS 12 casos de invasões realizadas através deste tipo de ataque.
-
A diminuição no número de casos de troca de páginas registrado, 117 contra 264 no trimestre passado, ocorreu em parte pela indisponibilidade do site do Zone-h no período. Este site mantém um histórico de ataques deste tipo a diversos sites web e tem se tornado uma importante fonte de consulta do CAIS no processo de identificacao de sites web desfigurados no âmbito da rede acadêmica.
-
No dia 2 de abril foi reportada uma vulnerabilidade no cursor animado do Windows que podia ser explorada induzindo um usuário a acessar uma página web especialmente criada, através do envio de um e-mail, ou mesmo enviando um arquivo anexado contendo o código malicioso. O ataque, se realizado com sucesso, permitiria ao atacante o controle total sobre o sistema. A criticidade desta vulnerabilidade se viu agravada pelo fato da Microsoft só ter disponibilizado a correspondente correção dois dias depois, em 4 de abril.
-
No penúltima semana do mês de junho foi realizada a 19a Conferência Anual do FIRST, onde a equipe do CAIS teve participação ativa ministrando cursos hands-on, palestras e sendo convidado a organizar pela primeira vez o "Desafio de Segurança" oferecido durante o evento.
-
Ainda em junho foi reportada uma grave vulnerabilidade no Windows DNS RPC. A mesma tornou-se um forte alvo de ataques devido ao fato que código malicioso que explorava tal falha foi disponibilizado logo após a sua descoberta. Este fato tem se tornado um padrão e nos faz refletir sobre planos de contingência para vulnerabilidades que demorem a ter correções.
Alertas:
No segundo trimestre de 2007, o CAIS divulgou 22 alertas de segurança através da lista CAIS-Alerta. Abaixo seguem os principais alertas divulgados neste período, e a relação completa dos alertas divulgados pode ser encontrada em: http://www.rnp.br/cais/alertas/2007/
A lista de e-mails CAIS-Alerta é aberta ao público e gratuita, e sua assinatura pode ser feita através do endereço http://www.rnp.br/cais/listas.php
Vulnerabilidade no cursor animado do Windows
Microsoft Security Advisory 935423
[CAIS, 02.04.2007]
http://www.rnp.br/cais/alertas/2007/msa-935423.html
Correções de Segurança Acumulativas para Internet Explorer
Microsoft Security Bulletin MS07-027
[CAIS, 08.05.2007]
http://www.rnp.br/cais/alertas/2007/ms07-027.html
Vulnerabilidade no Windows DNS RPC
Microsoft Security Bulletin MS07-029
[CAIS, 08.05.2007]
http://www.rnp.br/cais/alertas/2007/ms07-029.html
CAIS na mídia:
A seguir, são listadas algumas reportagens, artigos e entrevistas concedidas pela equipe do CAIS, relacionadas aos temas destacados anteriormente:
Equipe do CAIS participa de entrevista em blog
[SecurityProPortal, 21.06.2007]
http://securitypodcasts.itproportal.com/?p=34
Curso do CAIS é elogiado em blog da F-Secure
[F-Secure, 21.06.2007]
http://www.f-secure.com/weblog/archives/archive-062007.html#00001219
Navegue longe das pragas
[Correio Braziliense, 19.06.2007]
http://www.rnp.br/noticias/imprensa/2007/not-imp-070619.html
Incidentes de segurança na rede acadêmica brasileira caem pela metade nos primeiros três meses de 2007 em relação ao mesmo período de 2006
[Módulo, 19.04.2007]
http://www.modulo.com.br/pt/page_i.jsp?page=3&catid=7&objid=5490&pagenumber=0&idiom=0
Incidentes de segurança na rede acadêmica caem à metade
[RNP, 19.04.2007]
http://www.rnp.br/noticias/2007/not-070419a.html
Em queda
Globo, 17.04.2007]
http://oglobo.globo.com/blogs/andremachado/post.asp?cod_Post=55004
Incidentes de segurança na rede acadêmica brasileira caem à metade
[Caderno Digital, 17.04.2007]
http://www.cadernodigital.inf.br/interna_noticia.php?idN=1627#
Estatísticas:
Segue uma análise comparativa das estatísticas de incidentes reportados ao CAIS no segundo trimestre de 2007 com dados da mesma época de anos anteriores.
| Mês |
2005 |
2006 |
2007 |
| Abr |
2762 |
4776 |
3404 |
| Mai |
7579 |
6082 |
3886 |
| Jun |
3808 |
6591 |
3379 |
| TOTAL |
14149 |
17449 |
10669 |
A queda no número de incidentes reportados que foi informada no primeiro CAIS-Resumo deste ano se repete. Comparando-se o segundo trimestre de 2007 com o mesmo período dos últimos dois anos, a queda é acentuada. Se comparado com o mesmo período de 2006 ocorreram 6.780 incidentes a menos, ou seja, uma diminuição de quase 40%. Esta queda é reflexo direto das ações pró-ativas para identificar e erradicar máquinas infectadas.
Trimestre
anterior |
#incidentes |
Trimestre
atual |
#incidentes |
| Jan/2007 |
2615 |
Abr/2007 |
3404 |
| Fev/2007 |
3104 |
Mai/2007 |
3886 |
| Mar/2007 |
3846 |
Jun/2007 |
3379 |
| TOTAL |
9565 |
|
10669 |
| Média |
3188 |
|
3556 |
A média de incidentes dos últimos dois trimestres é próxima, o que nos leva a afirmar que o nível de infecção de sistemas e ataques tem se mantido sob controle. Soma-se a isto o não aparecimento de um novo worm ou vírus com ação propagadora significante no período observado.
Média mensal de incidentes
(nos últimos anos) |
| Ano |
#incidentes |
| 2007 |
3372 |
| 2006 |
5901 |
| 2005 |
5110 |
Observa-se uma sensível redução na média mensal de 2007 em comparação com os dois anos anteriores. Isto certamente se deve a uma maior capacidade de identificação dos sistemas comprometidos, e a uma maior conscientização nos aspectos de segurança por parte das instituições em preservar a operação e integridade das suas redes.
Notas:
O CAIS ressalta que manter os sistemas e aplicativos atualizados, seguir uma política de segurança e orientar os usuários são algumas das práticas recomendadas para diminuir os riscos de comprometimento de sua rede, além de contribuir para o aumento da segurança da Internet como um todo.
Assim também, o CAIS recomenda aos administradores que se mantenham cientes e conscientes dos alertas, correções e atualizações disponibilizadas pelos fabricantes e órgãos de renome na área de segurança.
|
Listas de alertas publicados:
2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998
Assinatura dos Alertas do CAIS Assine a lista de alertas do CAIS e receba antecipadamente, por correio eletrônico, as mais recentes notificações sobre segurança em redes e sistemas. Formulário de assinatura dos Alertas do CAIS 
Contato com o Cais: +55 (19) 3787-3300
+55 (19) 3787-3301
cais@cais.rnp.br
Chave PGP pública do Cais |
