RNP - Rede Nacional de Ensino e Pesquisa

 

Sobre a RNP | Parcerias | Contato

 

A Rede | Serviços | Operação | Segurança | P&D | Capacitação | Eventos

 

RNP > Serviços > Segurança em redes > Alertas do CAIS

Segurança de redes 
 

CAIS Resumo - julho a setembro de 2008

Alertas, vulnerabilidades e incidentes de segurança 20081013

[CAIS, 13.10.2008-09:55, revisão 01]


Publicação trimestral do Centro de Atendimento a Incidentes de Segurança da Rede Nacional de Ensino e Pesquisa

julho a setembro de 2008

Neste CAIS Resumo são abordados os alertas, as vulnerabilidades e os demais acontecimentos que se destacaram na área de segurança no terceiro trimestre de 2008.
 
1. Destaques
2. Alertas
3. CAIS na Mídia
4. Estatísticas
5. Notas
 
 

1. Destaques

  • No terceiro trimestre de 2008, a equipe do CAIS tratou 12.423 incidentes de segurança. Dos incidentes, 57% referem-se ao envio de spam em grande escala; 13% a ataques a serviços comuns em servidores, como o serviço de SSH (acesso remoto) ou aplicações Web; e 9% referem-se à presenca de malware (worm, vírus, bot, etc) em sistemas. Também foram tratados 431 casos de troca de páginas, nos quais o atacante substitui o conteúdo original de uma página web ou inclui conteúdo não autorizado na página atacada, além de 114 casos de 'phishing', ataques que têm por objetivo básico obter dados confidenciais de usuários.
     
  • Neste período, ocorreu um aumento considerável no número de incidentes que afetam diretamente os usuários finais da Rede Ipê (Rede RNP) bem como da Internet de forma geral. Comparando-se o segundo trimestre de 2008 com o terceiro trimestre do mesmo ano percebemos claramente o aumento na propagação de ameaças direcionadas à usuários finais: os casos de 'phishing' reportados pelo CAIS saltaram de 63 no segundo trimestre, para 114 no terceiro trimestre; o número de trocas de páginas saltou de 153 no segundo trimestre, para 431 no terceiro trimestre; e o número de incidentes envolvendo o envio de spams subiu de 3.893 para 7.671 no mesmo período.
     
  • Por meio de contato com grupos de segurança internacionais, o CAIS desmantelou, em julho deste ano, uma 'botnet' (rede de computadores infectados com arquivo malicioso e comandados remotamente por um atacante) com cerca de 900 computadores dentro da Rede Ipê (Rede RNP). Foram enviados mais de 370 e-mails à instituições conectadas à RNP solicitando a verificação e limpeza dos computadores participantes desta 'botnet'.
     
  • Foram divulgadas, no terceiro trimestre de 2008 duas graves vulnerabilidades que impactaram diretamente em instituições conectadas à Rede Ipê (Rede RNP): a vulnerabilidade de Envenenamento de Cache em Servidores DNS e a vulnerabilidade na Mudança de Senha do CMS Joomla. No que diz respeito à Rede Ipê (Rede RNP), recebemos diversos relatos de ataques de troca de páginas bem-sucedidos que exploraram a vulnerabilidade do Joomla. O que já não ocorreu no caso do envenenamento de cache em servidores DNS.
     
  • Dada a proximidade das eleições para cargos municipais, que ocorreram em 5 de Outubro de 2008, pôde-se notar no terceiro trimestre de 2008 a ocorrência de incidentes envolvendo a troca de página de sites de candidatos e partidos políticos. Tal fato demonstra a preocupação que usuários e administradores de sistemas devem ter em datas celebrativas ou importantes de nosso calendário, como eleições, natal e até mesmo a data para entrega de declarações de imposto de renda, quando os atacantes tentam se aproveitar destes assuntos para divulgar mensagens falsas com vírus ou mesmo atingir sites de Internet relacionados à estas datas.
     
  • Desde agosto de 2008, o CAIS optou por uma nova abordagem para a divulgação do ciclo mensal de alertas de segurança disponibilizados pela Microsoft. Neste novo formato são apresentados um resumo e as informações essenciais dos boletins de segurança oficiais divulgados pela Microsoft.
 
 
2. Alertas

Neste trimestre, o CAIS divulgou 14 alertas de segurança pela lista CAIS-Alerta. Desde agosto, o CAIS passou a publicar um alerta unificado para o ciclo mensal de atualizações Microsoft. Abaixo seguem os principais alertas do período.


Múltiplas vulnerabilidades no CISCO IOS
Secunia Advisory (SA31990)
[CAIS, 30.09.2008]

Início do Horário de Verão 2008/2009
Alerta do CAIS 20080916
[CAIS, 16.09.2008]

Comprometimento de pacotes OpenSSH do Red Hat
Red Hat Update for Tampered OpenSSH Packages (Secunia Advisory SA31575)
[CAIS, 27.08.2008]

Vulnerabilidade no Joomla sendo explorada
Joomla "token" Password Change Vulnerability (SA31457)
[CAIS, 15.08.2008]

Múltiplas Vulnerabilidades no RealPlayer
Secunia Advisory (SA27620)
[CAIS, 01.08.2008]

Múltiplas Vulnerabilidades no Sun Java
Technical Cyber Security Alert TA08-193A
[CAIS, 14.07.2008]

Vulnerabilidade no ISC BIND e outras implementações de DNS
US-CERT Vulnerability Note VU#800113
[CAIS, 08.07.2008]


A relação completa dos alertas está disponível em:
http://www.rnp.br/cais/alertas/2008/

A lista de e-mails CAIS-Alerta é aberta ao público e gratuita, e sua assinatura pode ser feita através do seguinte URL:
http://www.rnp.br/cais/listas.php
 
 
3. CAIS na Mídia

A seguir, são listadas matérias e entrevistas relacionadas aos temas
destacados anteriormente e que contaram com a participação da equipe do
CAIS:

Como identificar e-mails falsos
[Site Voe Gol, 24.07.2008]

Phishing
[Wikipédia, 24.07.2008]
 
 
4. Estatísticas

Segue uma análise comparativa das estatísticas de incidentes reportados ao CAIS no terceiro trimestre de 2008 com dados do mesmo período de anos anteriores.

Mês 2006 2007 2008
Jul 6.919
 3.190 4.218
Ago 7.710 2.747 4.094
Set 5.051 2.159 4.111
TOTAL 19.680 8.096 12.423

A tendência de diminuição do número de incidentes de segurança que vinha ocorrendo na rede acadêmica brasileira cessou e é possível notar um abrupto aumento no número de incidentes tratados pelo CAIS no terceiro trimestre de 2008. Foram 4.327 incidentes a mais que no terceiro trimestre de 2007 (aumento de 53%), chegando ao total de 12.423 incidentes tratados no terceiro trimestre de 2008.

Observa-se também que o aumento dos incidentes na comparação entre o terceiro trimestre de 2007 e o mesmo período de 2008 (4.327 incidentes a mais) foi inferior à queda no número de incidentes observada entre os anos de 2006 e 2007 (11.584 incidentes a menos). Tal fato demonstra como os esforços para promover a monitoramento e erradicação das máquinas infectadas na Rede Ipê (Rede RNP) podem surtir efeito, mas também como a descoberta de novas vulnerabilidades e a utilização de sistemas comprometidos para o envio de spam, podem reverter rapidamente um quadro de estabilidade já atingido.

Trimestre
anterior		 #incidentes Trimestre
atual		 #incidentes
Abr/2008 1.988 Jul/2008 4.218
Mai/2008 2.488 Ago/2008 4.094
Jun/2008 2.450 Set/2008 4.111
TOTAL 6.926   12.423
Média 2.308   4.141

A média de incidentes do terceiro trimestre de 2008, se comparada com a média do segundo trimestre de 2008, aumentou 79%. Tal fato ocorreu devido ao crescimento elevado no número de incidentes tratados pelo CAIS, envolvendo principalmente casos de spam, presença de malware em sistemas, notificações de 'phishing' e trocas de páginas de Internet.

No que diz respeito ao tratamento de incidentes, tendo em vista a mudança ocorrida neste último trimestre, no quadro descendente que vinha se mostrando de maneira contínua, o CAIS redobra sua atenção e determinação no monitoramento e notificação de incidentes de segurança, visando combater as ameaças presentes dentro da Rede Nacional de Ensino e Pesquisa.

Média mensal de incidentes
(nos últimos anos)
Ano #incidentes
2008 2.115
2007 2.981
2006 5.901
2005 5.110

Observa-se uma sensível redução na média mensal de 2008 em comparação aos dois anos anteriores. É bem possível que esta redução se deva a uma maior capacidade de identificação dos sistemas comprometidos e a uma maior preocupação das instituições em preservar a operação e integridade das suas redes.
 
 
5. Notas

O CAIS ressalta que manter os sistemas e aplicativos atualizados, seguir uma política de segurança e orientar os usuários são algumas das práticas recomendadas para diminuir os riscos de comprometimento de sua rede, além de contribuir para o aumento da segurança da Internet como um todo.

Assim, o CAIS recomenda aos administradores que se mantenham cientes e conscientes dos alertas, correções e atualizações disponibilizados pelos fabricantes e órgãos de renome na área de segurança.



Centro de Atendimento a Incidentes de Segurança

Listas de alertas publicados:
2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998

Consulta em alertas

 

Assinatura dos Alertas do CAIS

Assine a lista de alertas do CAIS e receba antecipadamente, por correio eletrônico, as mais recentes notificações sobre segurança em redes e sistemas.

Formulário de assinatura dos Alertas do CAIS

Formulário de assinatura

Notícias RNP

RNP na mídia

Sala de imprensa

Publicações

Documentos

RSS da RNP

Contato com o Cais:

+55 (19) 3787-3300
+55 (19) 3787-3301

cais@cais.rnp.br

Chave PGP pública do Cais

11.10.2012

Guia RNP

Rede Nacional de Ensino e Pesquisa

Rua Lauro Müller, 116 sala 1103

Botafogo - Rio de Janeiro - RJ

22290-906

tel: 55 21 2102-9660

fax: 55 21 2279-3731


Rede Nacional de Ensino e Pesquisa

Prédio da Embrapa/Unicamp Av. André Tosello, 209

Cidade Universitária Zeferino Vaz - Campinas - SP

13083-886

tel: 55 19 3787-3300

fax: 55 19 3787-3301


Rede Nacional de Ensino e Pesquisa

SAS, quadra 5, lote 6, bloco H, 7° andar Edifício IBICT

Brasília - DF

70070-914

tel: 55 61 3243-4300

fax: 55 61 3226-5303