redes

Estatísticas do Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (CERT.br), do Núcleo de Informação e Coordenação do Ponto BR (NIC.br), apontam um aumento de ataques contra equipamentos como roteadores domésticos e elementos de rede e a continuidade de ataques por “força bruta” (tentativas de adivinhação de senhas). E alertam que a adoção de práticas de segurança simples, como manter os equipamentos atualizados com as versões mais recentes e com todas as correções aplicadas, utilizar senhas fortes e habilitar o recurso de verificação de senha em duas etapas, ajudariam a prevenir os incidentes mais comuns registrados em 2018.

Além dos incidentes de segurança reportados voluntariamente por usuários de Internet em 2018, o CERT.br divulga nesta quinta-feira (28/3) análises conjuntas de outras fontes: as notificações enviadas aos sistemas autônomos cujas redes possuem sistemas mal configurados, que podem ser abusados por atacantes para amplificar tráfego; as notificações de servidores DNS maliciosos, que tem o propósito de direcionar usuários para sítios falsos; e tendências obtidas a partir dos honeypots – sensores distribuídos no espaço de endereços IP da Internet no Brasil que ampliam a capacidade de detecção de incidentes e correlação de eventos.

As notificações reportadas ao CERT.br sobre varreduras de redes, aliadas aos dados obtidos por meio dos honeypots, apontam um aumento de ataques a elementos de rede. A varredura é uma técnica que tem o objetivo de identificar computadores ativos e coletar informações sobre eles. Em 2018, o CERT.br recebeu 397.590 notificações de varreduras, sendo 9% delas relativas ao par de portas TELNET (23/TCP) e Winbox (8291/TCP) que parecem visar roteadores da MikroTik.

“Esse é um ataque que surgiu em 2018. Os dados dos honeypots mostram, de forma complementar, que em março do ano passado saímos de praticamente zero varreduras contra a porta 8291 (do serviço Winbox do Mikrotik) para um pico que se mantém expressivo até hoje”, alerta Cristine Hoepers, gerente do CERT.br. “Os roteadores MikroTik são muito utilizados por provedores de acesso, o que reforça a importância e necessidade da adoção de boas práticas de segurança para os sistemas autônomos”, complementa. O CERT.br, inclusive, realizou uma apresentação sumarizando as boas práticas para os sistemas autônomos – assista ao vídeo e confira os slides.

Ataques de força bruta

Os ataques que têm o objetivo de adivinhar, por tentativa e erro, as senhas de administração e, assim, comprometer os dispositivos, também estão entre os destaques de 2018. As notificações sobre varreduras de rede apontam que os serviços que podem sofrer ataques de força bruta continuam muito visados: SSH (22/TCP) com 29% das notificações e TELNET (23/TCP) com 6% – este último, em conjunto com o par de varreduras 23/TCP e 2323/TCP, continua em evidência desde 2015 e parece ter como alvo dispositivos de Internet das Coisas (IoT na sigla em inglês) e equipamentos de rede alocados às residências de usuários finais, tais como modems ADSL e cabo, roteadores Wi-Fi, entre outros. Os dados obtidos por meio dos honeypotscorroboram que os serviços SSH (22/TCP) e TELNET (23/TCP) são muito procurados para ataques de força bruta. Também de acordo com os honeypots, essas são as duas portas que mais recebem varreduras.

Servidores DNS maliciosos

Além dos incidentes reportados por usuários de Internet e dos dados obtidos pelos honeypots, o CERT.br notifica sistemas autônomos que hospedam servidores DNS maliciosos que fornecem respostas incorretas para nomes de domínios populares como os de instituições financeiras, comércio eletrônico e redes sociais. São usados em ataques que também comprometem roteadores domésticos para que passem a consultá-los.

“Observamos que esse foi um problema comum no país em 2018. Os servidores DNS maliciosos têm o propósito de direcionar os usuários para sítios falsos, o usuário pode ser levado à outra página com identidade visual semelhante, e assim, inadvertidamente, fornecer senhas de acesso, entre outros dados importantes, ou mesmo acabar permitindo que se instalem códigos maliciosos (malwares) em seu equipamento”, explica Hoepers.

Amplificação de tráfego

Equipamentos infectados, mal configurados ou invadidos podem ser usados para ataques de negação de serviço (DoS – Denial of Service), uma técnica em que um atacante utiliza um equipamento conectado à rede para tirar de operação um serviço, um computador ou uma rede ligada à Internet. Em 2018, o CERT.br recebeu 158.407 notificações sobre computadores que participaram de ataques de negação de serviço.

Os ataques DoS também podem acontecer pela exploração de características em serviços de Internet, como DNS, SNMP e NTP, SSDP, que permitem altas taxas de amplificação de pacotes. O atacante forja o endereço IP da vítima fazendo com que ela receba diversas respostas grandes, que consomem uma quantidade considerável de banda da rede. Diversos equipamentos, como roteadores domésticos, costumam vir com esses serviços habilitados e podem ser abusados. Mais de 70% dos casos de DoS reportados ao CERT.br em 2018 envolvem protocolos de rede que podem ser utilizados como amplificadores, tais como: DNS (53/UDP), SNMP (161/UDP), NTP (123/UDP) e SSDP (1900/UDP).

Com objetivo de reduzir o número de redes brasileiras passíveis de serem abusadas para realização de ataques DoS, o CERT.br notifica regularmente os sistemas autônomos brasileiros que possuem endereço IP com algum serviço mal configurado permitindo amplificação de tráfego. As ações de conscientização do Programa Por uma Internet mais Segura, do NIC.br, contribuíram para uma queda de 73% dos endereços IPs abusáveis via protocolo SNMP, no período de janeiro a dezembro de 2018.

“Os ataques por amplificação de tráfego precisam ser reduzidos no Brasil e cada um de nós tem um papel importante a desempenhar, desde os fabricantes de equipamentos, os provedores de acesso à Internet e toda a comunidade técnica, mas também os usuários da rede. Cada um precisa fazer a sua parte para que a Internet seja mais saudável como um todo”, pontua Hoepers.

Mantenha-se protegido! A Future é parceira e possui profissionais certificados junto aos maiores fabricantes de Soluções de Segurança, Disponibilidade e Performance do mundo! Preencha o formulário abaixo e entre em contato conosco.

Fonte: CIO.

A segurança de rede continuará sendo uma grande preocupação também para os padrões de rede sem fio 5G. Poucas medidas de segurança estão sendo adotadas nos novos padrões 5G, e há um potencial recém-descoberto de ataques Man-in-the-Middle em redes, segundo estudos recentes.

Um desses estudos – uma análise formal da autenticação 5G conduzida em conjunto por cientistas da ETH Zurich, da Universidade de Lorraine/INRIA e da Universidade de Dundee – descobriu que criminosos poderão interceptar comunicações 5G e roubar dados, porque foram encontradas “lacunas críticas de segurança”, segundo o comunicado de imprensa do grupo. Em parte, porque “os objetivos de segurança são subespecificados” e há “falta de precisão” nos padrões 3GPP.

Um segundo relatório, publicado este mês por pesquisadores da Brown University, da Rice University e da University at Buffalo, informa a descoberta de sérias vulnerabilidades no sucessor da 5G: as redes de comunicação de dados na faixa dos terahertz.

Terahertz (THz) são ondas eletrônicas que operam a uma freqüência extremamente alta, localizado entre microondas e infra-vermelho, que provavelmente será usada nas redes 6G com previsão de lançamento daqui a 10 anos . O espectro de terahertz está bem acima das freqüências que estão sendo usadas para o 5G. Além maior velocidade (até 400 gigabits por segundo), o 6G deve oferecer ainda mais confiabilidade e redução de latência que o 5G.

As frequências minúsculas de terahertz levaram muitos a acreditar que elas seriam muito pequenas para interceptar – que um receptor Man-in-the-Middle colocado para interceptação do tráfego bloquearia toda a transmissão e seria detectado imediatamente. O que as pesquisas mostram agora é que essa era uma suposição errada.

“Nós mostramos que a escuta não detectada no reino dos terahertz é mais fácil do que a maioria das pessoas imaginou”, diz Daniel Mittleman, professor da Brown University’s School of Engineering. Colocando objetos (como um pedaço de metal) na borda do feixe, ele diz que foi capaz de espalhar partes do feixe e, assim, interceptar alguns dos dados.

“O método deixa um pedacinho de sinal para um invasor trabalhar sem lançar uma sombra detectável no receptor”, dizem os pesquisadores.

5G ainda não é tão seguro quanto esperado

“Veículos autônomos, dispositivos de Internet das Coisas e sistemas de controle industrial” estão prestes a se beneficiar de redes 5G, diz Dr. Saša Radomirovic, professor sênior de computação na Escola de Ciências e Engenharia da Universidade de Dundee. A tecnologia 5G prometeu ser mais rápida e segura do que as redes anteriores, mas descobrimos que ela ainda não é tão segura assim.

Radomirovic diz que a ferramenta automatizada de verificação de protocolos de segurança do seu grupo acadêmico, chamada Tamarin, mostra que os objetivos críticos de segurança não estão sendo endereçados pelo protocolo 5G-AKA, do 3GPP.

“Descobrimos que algumas metas críticas de segurança não estão sendo cumpridas” , afirma o grupo, em um resumo de seu relatório inicialmente publicado em junho e atualizado em outubro deste ano.

Os invasores podem estabelecer canais seguros usando chaves de segurança 5G previamente emitidas, dizem os pesquisadores no relatório (PDF). Agora eles estão trabalhando com a 3GPP para corrigir os problemas encontrados.

Grande parte da discussão em torno do 5G globalmente está focada agora na segurança. Com o 5G, a segurança não é um complemento, mas integrada desde o início como parte do processo de padronização. É por isso que o 5G é a geração de rede mais segura de todos os tempos.

No entanto, o padrão 5G não é a resposta completa para uma rede 5G segura. Como o 5G se torna uma infraestrutura crítica, o que realmente determinará a segurança de uma rede será a tecnologia de segurança e os procedimentos operacionais que são colocados sobre os recursos padronizados.

Quando se trata de perguntas sobre software embutido no núcleo das redes 5G, a maioria dos provedores de software de rede realiza testes de software durante a fase de desenvolvimento. Isso tem a vantagem de fornecer feedback instantâneo e possibilita corrigir problemas imediatamente como parte do desenvolvimento normal.

O teste de pós-desenvolvimento é, às vezes, apresentado como um meio de garantir a segurança das redes de telecomunicações ao vivo. Mas a comunidade ainda vê isso como uma ferramenta insuficiente, já que o teste de laboratório reflete apenas uma representação limitada de uma rede, em um determinado momento em uma configuração de teste específica.

Ele também corre o risco de desacelerar a inovação e atrasar o tempo de lançamento, incluindo novas atualizações de segurança, ao mesmo tempo em que gera custos extras em todo o sistema, à medida que o desenvolvimento moderno de software se baseia em implantações contínuas de novos lançamentos e funcionalidades.

Em particular, casos críticos de uso de 5G, como direção e fabricação autônomas, potencialmente exigirão um escopo ampliado de testes, retardando ainda mais o desenvolvimento de novos casos de negócios industriais.

Fonte: CIO.