NIC.br

Ir para o conteúdo
11 JUL 2003

NBSO: aumenta o número de incidentes de segurança no Brasil






Arquivo do Clipping 2003

11 de julho de 2003

Veículo: Módulo Security Magazine
Autor: Luis Fernando Rocha

Assim como o primeiro trimestre de 2003, os worms continuam sendo os maiores responsáveis pelas notificações de incidentes de segurança na web brasileira. A constatação está nos números do último estudo realizado pelo grupo brasileiro de resposta a incidentes de segurança NIC BR Security Office (NBSO), ligado ao Comitê Gestor da Internet no Brasil.

O levantamento, divulgado nesta semana, revela ainda que o número de incidentes registrados no segundo trimestre de 2003 (10.414) representa, praticamente, o triplo dos incidentes registrados no mesmo período em 2002 (3.855).

"Cremos que o aumento se deve a um conjunto de fatores. Por um lado, notamos que é crescente o número de administradores que reportam os incidentes ocorridos em suas redes e, do mesmo modo, temos notado um aumento no número de usuários finais que utilizam firewalls pessoais ou outras ferramentas que facilitam a identificação e notificação de incidentes", explica Cristine Hoepers, Analista de Segurança Sênior do NBSO.

A especialista conclui que a popularização de ferramentas que automatizam os ataques também contribuiu para o aumento no número de incidentes. "As ferramentas mais utilizadas fazem a varredura por máquinas vulneráveis, lançam os exploits e instalam os backdoors de maneira automática, não exigindo conhecimento algum por parte dos atacantes", relata.

Os worms

Com relação aos tipos de ataques mais reportados, os worms aparecem novamente em primeiro lugar, com 55% dos incidentes. Para se ter uma idéia, no primeiro trimestre de 2003, o número de incidentes envolvendo worms registrava 60%.

Sobre esse cenário, Hoepers explica que é muito fácil para um worm se propagar, devido ao grande número de máquinas vulneráveis na Internet. "Veja o CodeRed, por exemplo. Ele explora uma vulnerabilidade antiga, mas que ainda é encontrada em número muito grande de máquinas. Além disso, o número de máquinas conectadas permanentemente à Internet tem aumento com a popularidade das conexões de banda larga. Estas máquinas, em geral, não são configuradas por um administrador de redes experiente e estão muito mais vulneráveis a serem infectadas por worms", alerta.

Scan por portas

No item scans reportados por porta, se compararmos os atuais resultados com os números do primeiro trimestre, constata-se o aparecimento da porta 17300/TCP (com 9%), o aumento de scan na 1080/TCP (de 16% para 22%) e a diminuição na 21/TCP (caiu de 11% para 7%).

"Quanto à porta 17300/TCP, o NBSO tem observado que as varreduras a ela destinadas tem por objetivo localizar máquinas previamente infectadas com o vírus Kuang2 e então fazer o upload de vários tipos de malware na máquina vítima. Já contabilizamos mais de 30 variantes de malware distribuídas desta forma, em sua maioria spybots e vírus", explica Hoepers.

Com relação ao aumento das atividades relacionadas com a porta 1080/TCP, juntamente com as portas 3128/TCP, 6588/TCP e 8080/TCP, a especialista diz que esses números confirmam a popularização da procura por proxies abertos por parte de spammers e atacantes em geral. "Esta é uma tendência que já havíamos destacado anteriormente e que está se confirmando", afirma.

Já a diminuição da procura pelo serviço de FTP (21/TCP) tem relação com o comportamento usual dos atacantes. "Normalmente, eles mudam seus alvos conforme novas ferramentas ou vulnerabilidades que vão surgindo ou, então, conforme encontram uma maneira mais fácil de atingir seus objetivos", diz.

Perspectivas

Segundo Hoepers, se as tendências observadas no primeiro semestre se mantiverem, é provável que o aumento de incidentes continue acentuado. "Principalmente aqueles incidentes relacionados com o abuso e procura por máquinas com serviços de proxy mal-configurados. Também parece ser uma tendência bem forte o desenvolvimento de programas que tentam tirar proveito de máquinas previamente infectadas por vírus ou worms", explica.

A especialista diz que a redução do número de incidentes está relacionada com diversos fatores, todos relacionados com educação e conscientizações de usuários e administradores de redes. "Como sempre, fica nossa recomendação de que cuidados básicos com segurança sejam tomados. Nossas recomendações podem ser encontradas nos seguintes documentos: Práticas de Segurança para Administradores de Redes Internet e Cartilha de Segurança para Internet", finaliza.

Saiba mais

NBSO divulga estatísticas de incidentes do primeiro trimestre de 2003

NBSO revela aumento de incidentes envolvendo worms em 2002

NBSO: Monitoração dos incidentes de segurança de Internet no Brasil