Aspectos
de Segurança na Internet: Evolução e Tendências
Atuais
NIC BR Security One
nbso@nic.br
http://www.nic.br/nbso.html
Cristine Hoepers cristine@nic.br
Klaus Steding-Jessen - jessen@nic.br
COMDEX 2001
São Paulo
29 de agosto de 2001
Nota sobre a Distribuição
desse Documento
É permitido fazer e distribuir cópias
inalteradas deste documento, completo ou em partes, contanto que os autores
originais sejam citados e esta nota sobre a distribuição
seja mantida em todas as cópias. Se este documento for distribuído
apenas em partes, instruções de como obtê-lo por completo
devem ser incluídas.
Aspectos de Segurança na Internet
Evolução
Mudança do Perl
Segurança: O Processo
Papel dos CSIRTs
Histórico
Final do Anos 60 Internet
-
Projeto não considera implicações
de segurança
-
Comunidade
de pesquisadores
-
Confiança
1986
30+ sistemas invadidos
contas/senhas óbvias
vulnerabilidades em softwares
tempo e persistência
1988
-
Internet Worm - Robert Morris Jr.
furos do sendmail e finger
uso do arquivo .rhosts
6000+ computadores atingidos
criação do CERT/CC
mobilização em torno do tema
segurança
1989
VAX/VMS
Propagava-se apenas via DECnet
Senhas padrão / fracas
necessidade de melhor comunicação
entre times
1991
-
Popularização da Engenharia Social
solicitação de troca de senhas
"programas de teste"
buffer overflow
acesso remoto ao sistema de arquivos
1992
-
Vários sites comprometidos
roubo de senhas
root a partir de conta comum
trojans (su,
login,
etc)
backdoors
1993
-
Ferramenta de Scanning de Vulnerabilidades
Internet Security Scanner (ISS)
postada em comp.sources.misc
procura vários furos: contas default,
bugs do sendmail, NFS, NIS, etc
1994
-
Network Sniffing / rootkits
comprometimento de root
instalação de sniffers
instalação de "rootkits"
1995
-
IP Spoofing
Problema do TCP/IP descrito em 1989
Afetam aplicações que usam
IP de origem como autenticação
1996
UDP (loop entre chargen
e echo)
SYN Flood
ping com tamanho grande
1997
-
Ataques a servidores Web (CGI scripts)
count.cgi
webdist.cgi
nph-test-cgi
1998
-
Buffer over ow em clientes de Mail
MIME
rodar código arbitrário
Back Oriçe (BO)
1999
virus de macro Word
propaga-se via attachments de mail
milhares de hosts infectados
1998 1999
-
aumento significativo de:
ferramentas de ataque automático
administradores reportando incidentes
maior divulgação de incidentes
2000
-
aumento significativo de:
DDoS
invasão de DSLs e cable modems
1999 2000
-
aumento significativo de:
virus / backdoors para Windows
máquina de usuários finais
comprometendo toda a rede
vírus se propagando automaticamente
usuários finais vulneráveis
2001
velocidade de propagação
exploram vulnerabilidades conhecidas
máquina infectada vulnerável
a outros invasores
-
Exemplos: Code Red, Sircam, Ramem
Incidentes Reportados ao
NBSO em 1999
Incidentes Reportados
ao NBSO em 2000
Incidentes Reportados ao NBSO em 2001
(primeiro trimestre)
Comparativo dos Incidentes Reportados
ao NBSO
Tendências Atuais
Problemas
-
Sistemas vulneráveis por "default"
-
Complexidade crescente dos sistemas
-
Dificuldade em acompanhar todos os patches
Problemas (Cont.)
-
Ataques não são barrados pela
maioria dos
-
Firewalls (e.g.: IIS, DNS, Vírus)
-
Facilidade em ocultar os passos de uma invasão
-
Exploits são lançados antes dos
patches
Convivendo com os problemas
Políticas de Segurança
Escolha do ambiente
Detecção de Intrusão
Atualização Constante
-
Resposta a Incidentes: CSIRT
O Processo
Fortalecer
-
Escolher softwares cautelosamente
segurança X "facilidade"
cada sistema possui sua finalidade
-
Nunca usar configuração default
-
Instalar firewalls, IDSs, etc
-
Atualizar o sistema (patches)
Preparar
-
Estar preparado para detectar ataques não
conhecidos
-
Monitorar freqüentemente logs e sistemas
-
Estar familiarizado com ferramentas de segurança
Detectar
-
Monitorar logs e sistemas
-
Identificar comportamentos não usuais
-
Analisar as informações geradas
pelas ferramentas
-
Investigar incidentes reportados
-
Cruzar informações
Responder
-
Conter os efeitos de uma invasão
-
Analisar os efeitos, conseqüências
e possíveis causas
-
Coletar
evidências
-
Determinar o escopo do problema
-
Recuperar o ambiente
Melhorar
-
Análise detalhada post-mortem
-
Revisar Políticas e procedimentos
-
Revisar/alterar configurações
e ferramentas
-
Possivelmente retornar a todos os passos anteriores
CSIRT Computer Security and Incident Response
Team
-
Um grupo ou organização que provê
serviços e suporte para um público bem definido, para prevenção,
tratamento e resposta a Incidentes de Segurança.
Ponto central de contato
Provê informações para
o seu público
Troca informações com outros
CSIRTs
Papel do CSIRT
Determinar o impacto
Prover recuperação rápida
Preservar evidências
Prover recomendações e estratégias
Serviços do CSIRT
-
Tratamento de Incidentes
-
Detecção de Intrusão
-
Análise de Artefatos/Vulnerabilidades
-
Rastreamento de Invasões
-
Auditoria e Teste de Invasão
-
Análise de Riscos
Autoridade do CSIRT
-
Parcial
-
Indireta
-
Sem autoridade
Cenário Atual
-
Grande número de vulnerabilidades
-
Falta de preocupação por parte
das empresas
-
Poucos administradores de redes
-
Raros CSIRTs estabelecidos
-
Falta de Legislação
Cenário Atual (cont.)
-
Invasores com pouco nível de conhecimento
-
Comunicação
rápida e eficiente entre invasores (email, WEB, conferências,
chats, etc)
-
Ferramentas automáticas
scans/probes/invasão
rootkits
ataques coordenados em grande escala
Cenário Atual (cont.)
-
Banalização do "Consultor de Segurança"
-
"ex"-invasores vendendo "proteção"
-
"saber" invadir = saber proteger?
Leitura Recomendada
-
Secrets & Lies Digital Security in a Networked
World, Bruce Schneier, ISBN 0-471-25311-1, http://www.
counterpane.com/sandl.html
-
Sites de referência - http://www.nic.br/links.html