sbseg 2016 niterói, rj 08 de novembro de 2016 - cert.br · 2016-11-18 · tipos de ataques ddos...
TRANSCRIPT
![Page 1: SBSeg 2016 Niterói, RJ 08 de novembro de 2016 - CERT.br · 2016-11-18 · Tipos de ataques DDoS Volumétrico – DRDoS • Serviços UDP permitindo abuso SNMP, SSDP, DNS recursivo](https://reader030.vdocuments.net/reader030/viewer/2022040604/5ea3c034f6f1c27918722d8a/html5/thumbnails/1.jpg)
SBSeg 2016 Niterói, RJ
08 de novembro de 2016
![Page 3: SBSeg 2016 Niterói, RJ 08 de novembro de 2016 - CERT.br · 2016-11-18 · Tipos de ataques DDoS Volumétrico – DRDoS • Serviços UDP permitindo abuso SNMP, SSDP, DNS recursivo](https://reader030.vdocuments.net/reader030/viewer/2022040604/5ea3c034f6f1c27918722d8a/html5/thumbnails/3.jpg)
Agenda
• Ataques atuais envolvendo IoT
• Problemas antigos
• Desafios
![Page 4: SBSeg 2016 Niterói, RJ 08 de novembro de 2016 - CERT.br · 2016-11-18 · Tipos de ataques DDoS Volumétrico – DRDoS • Serviços UDP permitindo abuso SNMP, SSDP, DNS recursivo](https://reader030.vdocuments.net/reader030/viewer/2022040604/5ea3c034f6f1c27918722d8a/html5/thumbnails/4.jpg)
Breaking News Ataques DDoS
![Page 5: SBSeg 2016 Niterói, RJ 08 de novembro de 2016 - CERT.br · 2016-11-18 · Tipos de ataques DDoS Volumétrico – DRDoS • Serviços UDP permitindo abuso SNMP, SSDP, DNS recursivo](https://reader030.vdocuments.net/reader030/viewer/2022040604/5ea3c034f6f1c27918722d8a/html5/thumbnails/5.jpg)
620Gbps contra o Blog do Brian Krebs
http://www.bbc.co.uk/news/amp/37439513
![Page 6: SBSeg 2016 Niterói, RJ 08 de novembro de 2016 - CERT.br · 2016-11-18 · Tipos de ataques DDoS Volumétrico – DRDoS • Serviços UDP permitindo abuso SNMP, SSDP, DNS recursivo](https://reader030.vdocuments.net/reader030/viewer/2022040604/5ea3c034f6f1c27918722d8a/html5/thumbnails/6.jpg)
http://arstechnica.com/security/2016/09/botnet-of-145k-cameras-reportedly-deliver-internets-biggest-ddos-ever/
![Page 7: SBSeg 2016 Niterói, RJ 08 de novembro de 2016 - CERT.br · 2016-11-18 · Tipos de ataques DDoS Volumétrico – DRDoS • Serviços UDP permitindo abuso SNMP, SSDP, DNS recursivo](https://reader030.vdocuments.net/reader030/viewer/2022040604/5ea3c034f6f1c27918722d8a/html5/thumbnails/7.jpg)
http://www.zdnet.com/article/source-code-of-mirai-botnet-responsible-for-krebs-on-security-ddos-released-online/
![Page 8: SBSeg 2016 Niterói, RJ 08 de novembro de 2016 - CERT.br · 2016-11-18 · Tipos de ataques DDoS Volumétrico – DRDoS • Serviços UDP permitindo abuso SNMP, SSDP, DNS recursivo](https://reader030.vdocuments.net/reader030/viewer/2022040604/5ea3c034f6f1c27918722d8a/html5/thumbnails/8.jpg)
http://www.computerworld.com/article/3132359/security/hackers-create-more-iot-botnets-with-mirai-source-code.html
![Page 9: SBSeg 2016 Niterói, RJ 08 de novembro de 2016 - CERT.br · 2016-11-18 · Tipos de ataques DDoS Volumétrico – DRDoS • Serviços UDP permitindo abuso SNMP, SSDP, DNS recursivo](https://reader030.vdocuments.net/reader030/viewer/2022040604/5ea3c034f6f1c27918722d8a/html5/thumbnails/9.jpg)
http://www.pcworld.com/article/3133847/internet/ddos-attack-on-dyn-knocks-spotify-twitter-github-etsy-and-more-offline.html
![Page 10: SBSeg 2016 Niterói, RJ 08 de novembro de 2016 - CERT.br · 2016-11-18 · Tipos de ataques DDoS Volumétrico – DRDoS • Serviços UDP permitindo abuso SNMP, SSDP, DNS recursivo](https://reader030.vdocuments.net/reader030/viewer/2022040604/5ea3c034f6f1c27918722d8a/html5/thumbnails/10.jpg)
![Page 11: SBSeg 2016 Niterói, RJ 08 de novembro de 2016 - CERT.br · 2016-11-18 · Tipos de ataques DDoS Volumétrico – DRDoS • Serviços UDP permitindo abuso SNMP, SSDP, DNS recursivo](https://reader030.vdocuments.net/reader030/viewer/2022040604/5ea3c034f6f1c27918722d8a/html5/thumbnails/11.jpg)
Problema: telnet e senhas fracas
![Page 12: SBSeg 2016 Niterói, RJ 08 de novembro de 2016 - CERT.br · 2016-11-18 · Tipos de ataques DDoS Volumétrico – DRDoS • Serviços UDP permitindo abuso SNMP, SSDP, DNS recursivo](https://reader030.vdocuments.net/reader030/viewer/2022040604/5ea3c034f6f1c27918722d8a/html5/thumbnails/12.jpg)
IoT botnets
• CPEs, DVRs, CCTVs, NAS, roteadores domésticos, etc
• Malware se propaga geralmente via telnet
• Explora senhas fracas ou padrão muitas vezes são “backdoors” dos fabricantes
• Em nossos honeypots IPs de IoT infectados – 07/11/2016
• Total: 581.917 • BR: 76.187
Detecção: • número de sequência do pacote = endereço IP do destino
![Page 13: SBSeg 2016 Niterói, RJ 08 de novembro de 2016 - CERT.br · 2016-11-18 · Tipos de ataques DDoS Volumétrico – DRDoS • Serviços UDP permitindo abuso SNMP, SSDP, DNS recursivo](https://reader030.vdocuments.net/reader030/viewer/2022040604/5ea3c034f6f1c27918722d8a/html5/thumbnails/13.jpg)
Notificações ao CERT.br: Scans por porta em 2015
![Page 14: SBSeg 2016 Niterói, RJ 08 de novembro de 2016 - CERT.br · 2016-11-18 · Tipos de ataques DDoS Volumétrico – DRDoS • Serviços UDP permitindo abuso SNMP, SSDP, DNS recursivo](https://reader030.vdocuments.net/reader030/viewer/2022040604/5ea3c034f6f1c27918722d8a/html5/thumbnails/14.jpg)
Notificações ao CERT.br: Scans por 23/TCP – 2013 a jun/2016
0
10
20
30
40
50
60
70
01/2013 01/2014 01/2015 01/2016 06/2016
Porc
enta
gem
das
not
ifica
ções
de
scan
por
mês
Período: 01/2013 a 06/2016
Varreduras por 23/TCP
Porcentagem das Notificações de Scan
![Page 15: SBSeg 2016 Niterói, RJ 08 de novembro de 2016 - CERT.br · 2016-11-18 · Tipos de ataques DDoS Volumétrico – DRDoS • Serviços UDP permitindo abuso SNMP, SSDP, DNS recursivo](https://reader030.vdocuments.net/reader030/viewer/2022040604/5ea3c034f6f1c27918722d8a/html5/thumbnails/15.jpg)
![Page 16: SBSeg 2016 Niterói, RJ 08 de novembro de 2016 - CERT.br · 2016-11-18 · Tipos de ataques DDoS Volumétrico – DRDoS • Serviços UDP permitindo abuso SNMP, SSDP, DNS recursivo](https://reader030.vdocuments.net/reader030/viewer/2022040604/5ea3c034f6f1c27918722d8a/html5/thumbnails/16.jpg)
![Page 17: SBSeg 2016 Niterói, RJ 08 de novembro de 2016 - CERT.br · 2016-11-18 · Tipos de ataques DDoS Volumétrico – DRDoS • Serviços UDP permitindo abuso SNMP, SSDP, DNS recursivo](https://reader030.vdocuments.net/reader030/viewer/2022040604/5ea3c034f6f1c27918722d8a/html5/thumbnails/17.jpg)
http://www.pcworld.com/article/2987813/thousands-of-medical-devices-are-vulnerable-to-hacking-security-researchers-say.html
![Page 18: SBSeg 2016 Niterói, RJ 08 de novembro de 2016 - CERT.br · 2016-11-18 · Tipos de ataques DDoS Volumétrico – DRDoS • Serviços UDP permitindo abuso SNMP, SSDP, DNS recursivo](https://reader030.vdocuments.net/reader030/viewer/2022040604/5ea3c034f6f1c27918722d8a/html5/thumbnails/18.jpg)
Problema: dados sensíveis armazenados
em texto claro
![Page 19: SBSeg 2016 Niterói, RJ 08 de novembro de 2016 - CERT.br · 2016-11-18 · Tipos de ataques DDoS Volumétrico – DRDoS • Serviços UDP permitindo abuso SNMP, SSDP, DNS recursivo](https://reader030.vdocuments.net/reader030/viewer/2022040604/5ea3c034f6f1c27918722d8a/html5/thumbnails/19.jpg)
http://www.bbc.com/news/technology-36903274
![Page 20: SBSeg 2016 Niterói, RJ 08 de novembro de 2016 - CERT.br · 2016-11-18 · Tipos de ataques DDoS Volumétrico – DRDoS • Serviços UDP permitindo abuso SNMP, SSDP, DNS recursivo](https://reader030.vdocuments.net/reader030/viewer/2022040604/5ea3c034f6f1c27918722d8a/html5/thumbnails/20.jpg)
Problema: backdoor e senhas facilmente
descobertas
![Page 21: SBSeg 2016 Niterói, RJ 08 de novembro de 2016 - CERT.br · 2016-11-18 · Tipos de ataques DDoS Volumétrico – DRDoS • Serviços UDP permitindo abuso SNMP, SSDP, DNS recursivo](https://reader030.vdocuments.net/reader030/viewer/2022040604/5ea3c034f6f1c27918722d8a/html5/thumbnails/21.jpg)
![Page 22: SBSeg 2016 Niterói, RJ 08 de novembro de 2016 - CERT.br · 2016-11-18 · Tipos de ataques DDoS Volumétrico – DRDoS • Serviços UDP permitindo abuso SNMP, SSDP, DNS recursivo](https://reader030.vdocuments.net/reader030/viewer/2022040604/5ea3c034f6f1c27918722d8a/html5/thumbnails/22.jpg)
Problema: DRDos e endereços spoofados
![Page 23: SBSeg 2016 Niterói, RJ 08 de novembro de 2016 - CERT.br · 2016-11-18 · Tipos de ataques DDoS Volumétrico – DRDoS • Serviços UDP permitindo abuso SNMP, SSDP, DNS recursivo](https://reader030.vdocuments.net/reader030/viewer/2022040604/5ea3c034f6f1c27918722d8a/html5/thumbnails/23.jpg)
http://www.darkreading.com/attacks-breaches/report-iot-connected-devices-leading-to-rise-in-ssdp-based-reflection-attacks-/d/d-id/1320149
![Page 24: SBSeg 2016 Niterói, RJ 08 de novembro de 2016 - CERT.br · 2016-11-18 · Tipos de ataques DDoS Volumétrico – DRDoS • Serviços UDP permitindo abuso SNMP, SSDP, DNS recursivo](https://reader030.vdocuments.net/reader030/viewer/2022040604/5ea3c034f6f1c27918722d8a/html5/thumbnails/24.jpg)
Estatísticas CERT.br – 2015
1900/UDP: 2012: posição 107 2015: posição 18 fator de amplificação de 30.8
![Page 25: SBSeg 2016 Niterói, RJ 08 de novembro de 2016 - CERT.br · 2016-11-18 · Tipos de ataques DDoS Volumétrico – DRDoS • Serviços UDP permitindo abuso SNMP, SSDP, DNS recursivo](https://reader030.vdocuments.net/reader030/viewer/2022040604/5ea3c034f6f1c27918722d8a/html5/thumbnails/25.jpg)
Tipos de ataques DDoS Volumétrico – DRDoS
• Serviços UDP permitindo abuso SNMP, SSDP, DNS recursivo aberto, entre outros
Ano
Notificações
Notificações sobre computadores participando em ataques de DoS1999 -- 2015
25360
25360
223935
223935
1030
1030
309
309
272
272
198
198
896
896
327
327
954
954
277
277
96
96
104
104
50
50
62
62
26
26
159
159
21
21
2015
2014
2013
2012
2011
2010
2009
2008
2007
2006
2005
2004
2003
2002
2001
2000
1999
10 20 40 100 200 400 1k 2k 4k 10k 20k 40k 100k 200k 400k 1M
© CERT.br -- by Highcharts.com
![Page 26: SBSeg 2016 Niterói, RJ 08 de novembro de 2016 - CERT.br · 2016-11-18 · Tipos de ataques DDoS Volumétrico – DRDoS • Serviços UDP permitindo abuso SNMP, SSDP, DNS recursivo](https://reader030.vdocuments.net/reader030/viewer/2022040604/5ea3c034f6f1c27918722d8a/html5/thumbnails/26.jpg)
Problema: malware
![Page 27: SBSeg 2016 Niterói, RJ 08 de novembro de 2016 - CERT.br · 2016-11-18 · Tipos de ataques DDoS Volumétrico – DRDoS • Serviços UDP permitindo abuso SNMP, SSDP, DNS recursivo](https://reader030.vdocuments.net/reader030/viewer/2022040604/5ea3c034f6f1c27918722d8a/html5/thumbnails/27.jpg)
http://motherboard.vice.com/read/internet-of-things-ransomware-smart-thermostat
![Page 28: SBSeg 2016 Niterói, RJ 08 de novembro de 2016 - CERT.br · 2016-11-18 · Tipos de ataques DDoS Volumétrico – DRDoS • Serviços UDP permitindo abuso SNMP, SSDP, DNS recursivo](https://reader030.vdocuments.net/reader030/viewer/2022040604/5ea3c034f6f1c27918722d8a/html5/thumbnails/28.jpg)
![Page 29: SBSeg 2016 Niterói, RJ 08 de novembro de 2016 - CERT.br · 2016-11-18 · Tipos de ataques DDoS Volumétrico – DRDoS • Serviços UDP permitindo abuso SNMP, SSDP, DNS recursivo](https://reader030.vdocuments.net/reader030/viewer/2022040604/5ea3c034f6f1c27918722d8a/html5/thumbnails/29.jpg)
http://www.nytimes.com/2016/11/03/technology/why-light-bulbs-may-be-the-next-hacker-target.html?_r=1
![Page 30: SBSeg 2016 Niterói, RJ 08 de novembro de 2016 - CERT.br · 2016-11-18 · Tipos de ataques DDoS Volumétrico – DRDoS • Serviços UDP permitindo abuso SNMP, SSDP, DNS recursivo](https://reader030.vdocuments.net/reader030/viewer/2022040604/5ea3c034f6f1c27918722d8a/html5/thumbnails/30.jpg)
http://iotworm.eyalro.net
![Page 31: SBSeg 2016 Niterói, RJ 08 de novembro de 2016 - CERT.br · 2016-11-18 · Tipos de ataques DDoS Volumétrico – DRDoS • Serviços UDP permitindo abuso SNMP, SSDP, DNS recursivo](https://reader030.vdocuments.net/reader030/viewer/2022040604/5ea3c034f6f1c27918722d8a/html5/thumbnails/31.jpg)
Desafios
![Page 32: SBSeg 2016 Niterói, RJ 08 de novembro de 2016 - CERT.br · 2016-11-18 · Tipos de ataques DDoS Volumétrico – DRDoS • Serviços UDP permitindo abuso SNMP, SSDP, DNS recursivo](https://reader030.vdocuments.net/reader030/viewer/2022040604/5ea3c034f6f1c27918722d8a/html5/thumbnails/32.jpg)
Como melhorar o cenário
• Solução depende de diversas camadas usuários desenvolvedores administradores fabricantes
![Page 33: SBSeg 2016 Niterói, RJ 08 de novembro de 2016 - CERT.br · 2016-11-18 · Tipos de ataques DDoS Volumétrico – DRDoS • Serviços UDP permitindo abuso SNMP, SSDP, DNS recursivo](https://reader030.vdocuments.net/reader030/viewer/2022040604/5ea3c034f6f1c27918722d8a/html5/thumbnails/33.jpg)
Usuários
• Antes de comprar ser criterioso ao escolher o fabricante
• verificar se possui política de atualização de firmware • verificar histórico de tratamento de vulnerabilidades
• Assumir que os dispositivos virão com sérios problemas mantê-los atualizados desabilitar o acesso remoto se não for necessário alterar as senhas padrão desabilitar serviços desnecessários (hardening)
![Page 34: SBSeg 2016 Niterói, RJ 08 de novembro de 2016 - CERT.br · 2016-11-18 · Tipos de ataques DDoS Volumétrico – DRDoS • Serviços UDP permitindo abuso SNMP, SSDP, DNS recursivo](https://reader030.vdocuments.net/reader030/viewer/2022040604/5ea3c034f6f1c27918722d8a/html5/thumbnails/34.jpg)
Desenvolvedores
• Não usar protocolos obsoletos
• Usar criptografia e autenticação forte
• Não ter senha do dia, senha padrão não documentada, reset de configuração via rede, etc
• Defaults seguros
• Atualização precisa ser possível necessário prever algum mecanismo de autenticação
• Usar práticas de desenvolvimento seguro
![Page 35: SBSeg 2016 Niterói, RJ 08 de novembro de 2016 - CERT.br · 2016-11-18 · Tipos de ataques DDoS Volumétrico – DRDoS • Serviços UDP permitindo abuso SNMP, SSDP, DNS recursivo](https://reader030.vdocuments.net/reader030/viewer/2022040604/5ea3c034f6f1c27918722d8a/html5/thumbnails/35.jpg)
Desenvolvedores OWASP Top 10
Applications - 2013 IOT - 2014
1 Injection Insecure Web Interface
2 Broken Authentication and Session Management Insufficient Authentication/Authorization
3 Cross-Site Scripting (XSS) Insecure Network Services
4 Insecure Direct Object References Lack of Transport Encryption/Integrity Verification
5 Security Misconfiguration Privacy Concerns
6 Sensitive Data Exposure Insecure Cloud Interface
7 Missing Function Level Access Control Insecure Mobile Interface
8 Cross-Site Request Forgery (CSRF) Insufficient Security Configurability
9 Using Components with Known Vulnerabilities Insecure Software/Firmware
10 Unvalidated Redirects and Forwards Poor Physical Security
https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project https://www.owasp.org/images/7/71/Internet_of_Things_Top_Ten_2014-OWASP.pdf
![Page 36: SBSeg 2016 Niterói, RJ 08 de novembro de 2016 - CERT.br · 2016-11-18 · Tipos de ataques DDoS Volumétrico – DRDoS • Serviços UDP permitindo abuso SNMP, SSDP, DNS recursivo](https://reader030.vdocuments.net/reader030/viewer/2022040604/5ea3c034f6f1c27918722d8a/html5/thumbnails/36.jpg)
Administradores
• Implementar boas práticas: BCP38/BCP84 filtrar pacotes com endereços “spoofados” http://bcp.nic.br/entenda-o-antispoofing/
• Manter os equipamentos atualizados sistema operacional e todos os serviços nele executados serviço Web, SGBD, extensões, módulos e plugins
• Desabilitar serviços desnecessários
• Ser cuidadoso ao usar e elaborar senhas se disponível, usar verificação em duas etapas
![Page 37: SBSeg 2016 Niterói, RJ 08 de novembro de 2016 - CERT.br · 2016-11-18 · Tipos de ataques DDoS Volumétrico – DRDoS • Serviços UDP permitindo abuso SNMP, SSDP, DNS recursivo](https://reader030.vdocuments.net/reader030/viewer/2022040604/5ea3c034f6f1c27918722d8a/html5/thumbnails/37.jpg)
Fabricantes
• Segurança deve ser nativa não deve ser opcional requisitos de segurança devem ser considerados desde o projeto
• Deve ser incluída na análise de risco das empresas danos à imagem danos aos usuários
• Como implementar segurança em larga escala • Um equipamento è diversos fabricantes recall???? Xiongmai Botnet
• Ter grupo de resposta a incidentes preparado para lidar com os problemas