| Incidentes de segurança: uma análise sobre o cenário brasileiroMódulo Security Magazine Luis Fernando Rocha 01.03.2004 Milhares de computadores conectados em mais de 800 instituições distribuídas pelos 27 estados brasileiros. Essa é a realidade da Rede Nacional de Ensino e Pesquisa (RNP), responsável por "promover o desenvolvimento de tecnologias na área de redes e aplicações inovadoras no Brasil". Dentro da instituição, a responsabilidade de disseminar a cultura de segurança entre os usuários de sua rede e registrar e acompanhar os incidentes que envolvam redes conectadas ao backbone da RNP fica a cargo do Centro de Atendimento a Incidentes de Segurança (CAIS). No final de fevereiro, o grupo divulgou o Relatório Anual de 2003, documento que traz um resumo do mapeamento dos principais incidentes registrados, além das ações que o CAIS realizou no ano passado. Diante da importância deste trabalho, a Módulo Security Magazine decidiu reunir os especialistas do CAIS, sob o comando de Liliana Velásquez Solha, Gerente do grupo e a primeira latino-americana membro do Comitê Gestor do FIRST (Forum of Incident Response and Security Teams), para um bate-papo virtual. Nessa conversa, eles analisaram o aumento dos incidentes registrados em 2003, o cenário de Segurança da Informação no Brasil e as perspectivas para 2004. Confira. Módulo Security Magazine: O total de incidentes reportados ao CAIS em 2003 apresenta um aumento de 60% em relação a 2002. Quais fatores o CAIS apontaria como responsáveis por esse cenário? Liliana Velásquez Solha (Gerente do CAIS): É importante ressaltar que o aumento no número de incidentes reportados ao CAIS não necessariamente indica que a Internet está mais vulnerável. Ele é o resultado combinado de vários fatores, a começar por uma maior conscientização dos profissionais em relação à segurança e a maior importância dada ao processo de tratamento de incidentes que envolvem a notificação de incidentes a grupos de segurança estabelecidos. Por outro lado, o próprio crescimento do número de hosts e usuários da Internet, bem como o surgimento de novas aplicações e sistemas certamente contribuíram para este aumento. A cada dia novas vulnerabilidades são descobertas, surgindo também novas ferramentas hackers capazes de explorá-las. A este respeito, vale a pena lembrar que se no passado a atividade hacker caraterizava-se pela necessidade de se ter um elevado conhecimento técnico, hoje em dia as ferramentas hackers podem ser facilmente encontradas e exploradas por "script kiddies". O cenário se completa quando se considera o crescente surgimento de worms, vírus e códigos maliciosos, além das fraudes e golpes, dentre outros. Por último, vale a pena ressaltar que a proporção de crescimento do número de incidentes reportados ao CAIS neste último ano mostrou-se bastante similar à observada nas estatísticas divulgadas por outros reconhecidos centros, como o CERT/CC, por exemplo. Módulo Security Magazine: Diante do aumento das fraudes e golpes por e-mail, o grupo caracterizou 2003 como o "Ano da Fraude". Por que essa prática se tornou tão comum pela internet? Renata Cicilini Teixeira (Analista de Segurança Sênior): Antes de tudo, vale lembrar que muitos dos golpes aplicados recentemente na Internet já existiam fora do meio digital, apenas migraram para outro ambiente. É o caso do golpe da Nigéria, por exemplo. Na verdade, tudo leva a crer que não houve um único responsável pela proliferação das fraudes e golpes na Internet. Uma conjunção de fatores contribuiu para este cenário: - o crescente surgimento de ferramentas hackers e a facilidade de obtê-las e usá-las; - os usuários inocentes, desinformados e desatentos; - a união das atividades de hacking, spamming e engenharia social; - a união dos hackers a quadrilhas e ao crime organizado. - a facilidade em usar provedores de hosting gratuito para hospedar páginas falsas e códigos maliciosos, no exterior principalmente. - no caso do Brasil, a ausência de legislação específica, que poderia não ser impedimento maior, caso fossem enquadrados os crimes digitais nas leis vigentes no país. Os mecanismos de defesa existem e envolvem várias vertentes: a legislação adequada; a atuação da polícia, como nas prisões de quadrilhas de fraudadores digitais no Pará e em Santa Catarina; a atuação dos grupos de resposta a incidentes (CSIRTs), principalmente àqueles ligados aos bancos e empresas envolvidas nos golpes e fraudes; a conscientização e educação do usuário; além dos recursos técnicos mandatários, dentre os quais está manter os sistemas sempre atualizados e com as devidas correções aplicadas. Módulo Security Magazine: Entre os outros incidentes reportados ao CAIS, aparecem "os casos de violação de direitos autorais devido à distribuição de software, filmes, músicas e livros através de redes P2P". Quais os perigos no uso de redes P2P (peer-to-peer) e como combater esse tipo de incidente? Alexandre Medeiros (Analista de Segurança): Os principais perigos no uso de redes P2P são: - a contaminação por vírus, worms e malware nos arquivos baixados via P2P; - a invasão através de vulnerabilidades em aplicações de redes P2P; - a publicação de informações sensíveis através de compartilhamento de arquivos acidentalmente (information disclosure). - os processos judiciais em decorrência de violação de direitos autorais através da obtenção de software, filmes, músicas, livros obtidos via redes P2P. As ações judiciais, principalmente no exterior, têm sido mais freqüentes devido a atuação mais efetiva de associações e empresas na monitoração das atividades em redes P2P. No caso de redes corporativas, um dos maiores impactos é o excessivo consumo de banda causado pelo uso de P2P, afetando a performance do acesso à internet. Em defesa dessa tecnologia, é importante dizer que sua aplicação em ambientes corporativos pode ajudar no compartilhamento de arquivos, racionalizando o uso da capacidade de processamento e armazenamento. Para combater o uso indevido das redes P2P, como a pirataria, por exemplo, os recursos são a educação e conscientização do usuário, a adequação da política de uso e de segurança. Em casos mais extremos, a aplicação de filtros restringindo o uso de P2P pode ser necessária. Módulo Security Magazine: O documento divulgado em fevereiro pelo CAIS fala sobre o terceiro ano do uso de Sensores Distribuídos nas Redes Acadêmicas. Quais os benefícios obtidos pelo grupo na implantação desse projeto ao longo dos últimos três anos? Jacomo Piccolini (Analista de Segurança Sênior): O objetivo básico deste projeto foi o de obter informações bastante detalhadas sobre ações indevidas ocorridas no backbone das redes acadêmicas. No caso da RNP, que possui um backbone de âmbito nacional, é possível por exemplo identificar ataques diferentes em máquinas localizadas fisicamente no Nordeste e máquinas no Sul do país. Este nível de detalhe permite acompanhar melhor a atividade hacker e possibilita auxiliar os envolvidos com informações mais ricas tecnicamente. Assim também, este tipo de monitoramento permite identificar, por exemplo, se uma determinada variante de um worm ou vírus foi introduzida em algum local do backbone e, sendo este o caso, permite medir o grau de propagação da mesma. As informações coletadas permitem ainda correlacionar eventos e determinar se se trata de uma ação isolada ou alguma que envolva todo o backbone. Com informações deste tipo é possível conter - ou mesmo isolar - um determinado ataque antes que o mesmo tome proporções maiores. O conhecimento das mais recentes técnicas de ataque, das portas de acesso mais testadas, dos sistemas operacionais comumente atacados e das ferramentas utilizadas, permite ao CAIS prover serviços com melhor qualidade às instituições conectadas ao backbone. Módulo Security Magazine: Diante dos números obtidos, quais são as perspectivas do CAIS para 2004? Liliana Velásquez Solha (Gerente do CAIS): O CAIS acredita que em 2004 a Internet seja ainda testemunha da "criatividade" dos spammers. Novos mecanismos que permitam contornar quaisquer contra-medidas para mitigar este abuso deverão ser criados. Sem dúvida, a exploração da ingenuidade dos usuários, como ocorreu na maior parte das fraudes em 2003, continuará sendo uma arma bastante utilizada. Espera-se também que novos e mais sofisticados worms e vírus surjam ao longo dos próximos anos. Principalmente quando sabe-se que ainda existem "bombas relógio" - isto é, vulnerabilidades sérias reportadas no ano passado não sanadas até o momento - ou quando se fala em divulgação do código-fonte de sistemas operacionais amplamente usados. Tendo em vista o número de incidentes de segurança envolvendo redes brasileiras, espera-se uma maior pressão internacional na tentativa de se forçar a providência de medidas definitivas e efetivas para coibir atividades ilícitas partindo das redes do país. Infelizmente, o Brasil é hoje considerado um "celeiro de hackers", embora se saiba que este título seja graças ao descaso total de alguns poucos provedores. A este respeito, o CAIS acha oportuno esclarecer que a Rede Nacional de Ensino e Pesquisa mantém uma política de tolerância zero contra o uso abusivo dos recursos das redes conectadas ao backbone acadêmico. Já na área específica de resposta a incidentes de segurança, o CAIS aposta no surgimento de novos CSIRTs (Computer Security Incidents Response Team). A cada dia tem se tornado mais evidentes as vantagens de uma instituição possuir um CSIRT, tendo um grupo dedicado exclusivamente para lidar com incidentes de segurança e sua prevenção. Relatório Anual 2003 - CAIS/RNP (em pdf) CAIS/RNP aponta spam e scan como maiores incidentes em 2002 CAIS: Disseminando a Segurança da Informação no Brasil fonte: http://www.modulo.com.br/index.jsp?page=3&catid=7&objid=2749 |