NIC.br

Ir para o conteúdo
imprensa
  1. Home
  2. Notícias
  3. NBSO revela o cenário do terceiro trimestre: fraudes e scans pela porta 22/TCP
01 NOV 2004

NBSO revela o cenário do terceiro trimestre: fraudes e scans pela porta 22/TCP






Arquivo - Clipping 2004

01 de novembro de 2004

Veículo: Módulo Security Magazine
Autor: Luis Fernando Rocha

Aumento considerável de scans pela porta 22/TCP (ssh) e 75% a mais de notificações sobre fraudes pela internet. Estes foram alguns dos principais incidentes de segurança ocorridos entre julho e setembro desse ano, segundo revelam as estatísticas mantidas pelo NIC BR Security Office (NBSO), grupo brasileiro de resposta a incidentes de segurança, ligado ao Comitê Gestor da Internet no Brasil (CGI-Br).

Neste terceiro trimestre, foram reportados ao NBSO um total de 17.850 incidentes de segurança. Para se ter uma idéia do crescimento dos incidentes de segurança envolvendo redes localizadas no país, nesses nove meses de 2004 já foram registrados 52.584 incidentes, mais que o dobro contabilizado em 2002 (25.092) e quase o número total obtido em 2003 (54.607).

Nesta reportagem, Cristine Hoepers e Klaus Steding-Jessen, analistas de segurança sênior do NBSO, revelam - de forma exclusiva para Módulo Security Magazine - os principais aspectos sobre os dados obtidos neste estudo. Confira.

Origens dos incidentes por country code (CC)

A primeira novidade deste terceiro trimestre é a inclusão de um gráfico com as origens dos incidentes distribuídos por country code (CC) de origem. "Historicamente, sempre mantivemos dados de origem dos incidentes reportados, inicialmente por domínio de origem e atualmente por bloco CIDR de origem. O objetivo é complementar os dados já existentes e ajudar os administradores a terem uma idéia mais clara da origem das atividades maliciosas", explicam Cristine e Klaus.

Os especialistas acrescentam que todos esses dados podem ser usados, também, para servir como base de comparação entre os incidentes detectados localmente por um administrador e os números divulgados pelo NBSO, que possuem uma visão mais global. "Já na primeira edição do gráfico, um fato bastante significativo é a concentração de 3/4 dos incidentes reportados com origem nos seguintes países: Brasil, Estados Unidos, Coréia do Sul, China e Taiwan. Todos os demais países reunidos correspondem ao 1/4 restante dos incidentes notificados ao NBSO", apontam.

Aumentam as notificações de fraudes

Assim como as duas estatísticas divulgadas anteriormente pelo NBSO, o número de notificações sobre fraudes na internet continuou em crescimento. Segundo o grupo, houve aumento de 75% em relação ao trimestre anterior e 650% em relação ao mesmo período do ano anterior.

Se por um lado esses números assustam e revelam um cenário preocupante, uma das explicações para justificar o aumento de tal prática criminosa - em um curto período de tempo - pode residir na ampla divulgação do assunto na mídia e das recentes prisões efetuadas pela Polícia Federal. "Todas as estatísticas do NBSO são de incidentes voluntariamente reportados. A divulgação na mídia e as várias prisões aparentemente têm estimulado um maior número de usuários de internet a reportar este tipo de atividade. Aliado a esse maior número de usuários notificando fraudes, está claro que esse tipo de incidente está aumentando", revelam Cristine e Klaus.

Para tanto, o grupo aponta que os criminosos procuram explorar a credulidade dos usuários com relação aos e-mails recebidos e a execução de programas sem o conhecimento da origem. Além disso, o NBSO vem observando a utilização de novos artifícios para disseminação dessas fraudes. "Existe uma tendência de novas fraudes que exijam menor interação por parte do usuário, explorando diretamente vulnerabilidades do browser ou leitor de e-mail, por exemplo", alertam.

Assim, segundo os especialistas, o caminho para se proteger dessas ameaças passa pela conscientização dos usuários sobre os ataques de engenharia social e uma mudança de comportamento ao se usar a internet. "É vital também que os usuários assimilem um pouco mais da cultura de segurança, mantendo suas máquinas atualizadas, com antivírus, firewalls pessoais, entre outras precauções. Uma boa leitura sobre o assunto é a Parte IV da Cartilha de Segurança para Internet (ver link no final da matéria), que aborda os temas de engenharia social e fraudes", orientam.

Scans contra o serviço ssh

Os números desse estudo confirmam a tendência, apontada pelo grupo no trimestre anterior, do aumento de ataques automatizados e worms, que tentam explorar vulnerabilidades diversas e encontrar máquinas com backdoors deixados por outros malwares. Para isso, basta observarmos os dados da pesquisa atual, onde as notificações de incidentes envolvendo worms e scans correspondem a 91% do total das estatísticas.

"Quanto aos scans por múltiplas portas, realizados por bots/worms/etc, isso é realmente uma tendência que estamos observando. A procura por múltiplas vulnerabilidades é justamente para aumentar a eficácia desses malwares. A existência desse tipo de malware deve continuar enquanto continuar a existir um grande número de máquinas vulneráveis/sem patches que vemos hoje na internet", relatam.

Para se proteger desse tipo de incidentes, os especialistas explicam que os administradores precisam basicamente manter seus sistemas atualizados. "E, portanto, imunes às vulnerabilidades exploradas. É muito importante que eles também fiquem atentos ao tráfego de rede saindo de suas redes com destino a essas portas, evidenciando assim máquinas infectadas da rede interna da instituição", frisam.

Ainda em relação aos scans reportados por portas, o NBSO observou um aumento de atividade envolvendo a porta 22/TCP (ssh). Segundo o grupo, esse crescimento relaciona-se a utilização de ferramentas para ataques de força bruta contra o ssh, através da tentativa de diversos logins e senhas.

"O problema de ataque de força bruta de login/senha, utilizando-se do ssh, é uma nova faceta de um problema bem antigo: escolha de senhas fortes. Temos observado que muitos administradores têm descuidado dessa questão, levando ao comprometimento de servidores importantes de suas redes, mesmo quando estão utilizando protocolos mais seguros como o ssh. O mesmo vale para usuários domésticos de Linux, por exemplo, conectados via banda larga", revelam.

Segundo Cristine e Klaus, para evitar esse tipo de atividade, o ideal é que os administradores utilizem uma combinação de medidas de segurança, conforme relatado abaixo:

1. uso de senhas fortes, para todas as contas, não apenas de root; 2. uso de passphrases; 3. uso de autenticação do SSH via chave pública; 4. restrição de conexão por endereço de origem.

"Outra questão importante evidenciada por essa onda de incidentes relacionados com ssh: muitos administradores não estão atentos aos logs do ssh, que costumam ser bem ruidosos nesses casos de ataques por força bruta. Vale lembrar que apenas trocar a porta default do ssh não é suficiente, uma vez que o invasor pode descobrir a nova porta e explorar o real problema que são as senhas fracas", ressaltam.

As boas notícias deste trimestre

Apesar dos fatos preocupantes relacionados acima, nem só de más notícias vive o estudo divulgado pelo NBSO. Podemos destacar como a primeira boa notícia deste terceiro trimestre a diminuição do comprometimento de sites através de vulnerabilidades relacionadas com PHP. Muitos deles vinham sendo utilizados por invasores em atividades relacionadas com fraude bancária.

"Embora os casos de sites comprometidos via vulnerabilidades relacionadas com PHP ainda continuem, notamos uma diminuição nestes casos nesse terceiro trimestre. É importante notar que os problemas não ocorrem com o PHP em si, mas são problemas relacionados com a sua utilização e/ou configuração", dizem.

Segundo os especialistas do NBSO, essa mudança reflete o aumento de conscientização entre muitos administradores, que gradativamente percebem a necessidade de técnicas de programação segura em PHP e da avaliação de scripts PHP escritos por terceiros. "Para ajudar este público, colocamos na página de links do nosso site, dicas de programação e utilização segura de PHP (ver link no final da matéria). O maior interesse pelo assunto e a maior quantidade de material de referência podem explicar a diminuição dessa categoria de incidentes neste trimestre", revelam.

A outra boa notícia refere-se à queda do relato de atividades observadas nas portas 1026/UDP e 1027/UDP, associadas geralmente com o envio de pop-up spam, revelando assim o valor que essas estatísticas têm para os profissionais que trabalham com a segurança de sistemas em redes.

"Temos sentido não apenas um maior interesse pelas estatísticas por parte dos profissionais de segurança como também uma maior utilização desses dados, que além de ajudar os profissionais a entenderem novas tendências de incidentes e se protegerem melhor, têm servido também para que os administradores as utilizem para comparar com o que têm se observado localmente. Grandes backbones também utilizam as estatísticas, em particular as estatísticas de spam, para focar esforços nos seus blocos de redes mais problemáticos, com o objetivo de sanar problemas", apontam.

Perspectivas para o final do ano

Com base nos dados obtidos de janeiro a setembro desse ano, o grupo prevê, até o final do ano, um alto índice de ataques automatizados e worms que tentam explorar múltiplas vulnerabilidades. Além disso, Cristine e Klaus revelam que, infelizmente, o número de fraudes reportadas deve permanecer alto. "Possivelmente com exploração de vulnerabilidades mais sutis (como a vulnerabilidade do JPEG, por exemplo) e menor interação por parte dos usuários", alertam.

Portanto, a dica para os administradores de redes e profissionais de segurança é aproveitar a riqueza desses dados divulgados pelo NBSO, utilizando-os como um parâmetro confiável na hora de se reforçar as melhores práticas de segurança em seus sistemas.

Saiba mais:

Estatísticas de Incidentes no 3º Trimestre de 2004 - NBSO

NBSO traça cenário de incidentes de segurança no segundo trimestre de 2004

Um retrato dos incidentes de segurança no primeiro trimestre de 2004

Parte IV da Cartilha de Segurança para Internet

Práticas de Segurança para Administradores de Redes Internet

Dicas de programação e utilização segura de PHP

Logos do CGI.br, NIC.br, Registro.br, Cert.br, Ceptro.br, Cetic.br e W3C
Licença Creative Commons
O conteúdo publicado no site NIC.br está licenciado com a Licença Creative Commons - Atribuição-CompartilhaIgual 4.0 Internacional a menos que condições e/ou restrições adicionais específicas estejam claramente explícitas na página correspondente.
Núcleo de Informação e Coordenação do Ponto BR (NIC.br) CNPJ 05.506.560/0001-36
Política de Privacidade e Termos de Uso