IX Frum 10

05 de dezembro de 2016
So Paulo, SP
IoT no cenrio atual de
ataques DDoS
Miriam von Zuben
miriam@cert.br
Cenrio atual
Ataques DDoS Estatsticas CERT.br
Notificaes sobre computadores participando em ataques de DoS
1999 -- 2015
Ano

2015 25360

2014 25360 223935

2013 1030 223935

2012 309 1030

2011 272
309

2010 198272

2009 198 896

2008 327 896

2007 327 954

2006 277 954

2005 96 277

2004 104
96

2003 50 104

2002 5062

2001 26 62

2000 26 159

1999 21 159

10 20 21 40 100 200 400 1k 2k 4k 10k 20k 40k 100k 200k 400k 1M

Notificaes
CERT.br -- by Highcharts.com
Estatsticas CERT.br
2014
Aumento de 217 vezes nas notificaes de ataques DDoS
Maior parte das notificaes foram ataques DRDoS a partir do Brasil
Servios UDP permitindo abuso:
SNMP, SSDP, DNS recursivo aberto, etc

2015
Notificao de ataques DDoS 89% menor que 2014
Scans por SSDP (1900/UDP)
fator de amplificao de 30.8 vezes
2012: posio 107
2015: posio 18
crescimento de scans de Telnet (23/TCP)
scans visando equipamentos de rede alocados s residncias de
usurios finais, tais como modems ADSL e cabo, roteadores Wi-Fi, etc
 Notificaes ao CERT.br:
Scans por 23/TCP 2013 a jun/2016
Varreduras por 23/TCP
70
Porcentagem das Noticaes de Scan

60
Porcentagem das noticaes de scan por ms

50

40

30

20

10

0
01/2013 01/2014 01/2015 01/2016 06/2016
Perodo: 01/2013 a 06/2016
 Dados atualizados dos sensores do CERT.br:
Endereos IP nicos infectados com Mirai
IPs Infectados com Mirai - todas as variantes: Total Mundial e Brasil
1.5M
Total Mundial
Brasil

1.3M

1.1M
IPs nicos ativos por dia

900k

700k

500k

300k

100k
15/09

20/09
22/09

30/09

21/10

27/11

01/12
Perodo: 15/09/2016 a 01/12/2016

01/08 20 - 22/09 28/09 30/09 21/10 07/11 27/11

Primeira Blog Brian Krebs - OVH - Vazamento DynDNS vulnerabilidade Deutsch Telecom
apario Mirai 620 Gbps 1Tbps cdigo fonte TR pblica 900.000 roteadores banda larga
Mirai
Caractersticas dos ataques recentes (1/2)

Foco em dispositivos com verses enxutas de Linux

para sistemas embarcados
arquiteturas ARM, MIPS, PowerPC, etc
Grande base vulnervel
sem gerncia remota
sem instalao de patches
autenticao fraca e backdoors do fabricante
configuraes padro de fbrica inseguras
senhas padro, do dia, para manuteno"
servios como Telnet habilitados
servios UDP permitindo abuso para amplificao
SNMP, SSDP, DNS recursivo aberto
Botnets de dispositivos IoT
CPEs, DVRs, CCTVs, NAS, roteadores domsticos, etc
Caractersticas dos ataques recentes (2/2)

Propagao do malware
Inicial: via Telnet (23/TCP e 2323/TCP)
explorando senhas fracas ou padro
Variantes: via protocolos vulnerveis (7547/TCP e 5555/TCP)
TR-069: CPE WAN Management Protocol (CWMP)
TR-069 NewNTPServer vulnerability
TR-064: LAN-Side DSL CPE Configuration
acessvel via WAN sem autenticao

Qual o limite?
1.351 cmeras de vdeo ataque 300 Gbps (sem amplificao) *
1.4M de equipamentos com Mirai X (sem amplificao)
1.4M de equipamentos com Mirai Y (com amplificao)

* http://www.lacnic.net/web/eventos/lacnic25-agenda-lacsec#viernes
 Desafios para
Melhorar o Cenrio
Nos Fabricantes, Velhos Problemas (1/2)

Preocupao zero com segurana

algum far a segurana depois...

Falta de Autenticao
para conectar e receber comandos
para fazer atualizaes

Empresas de diversos setores agora desenvolvem

software, mas no agem como tal
equipe de segurana de produto e PSIRT?
planejamento de atualizaes no ciclo de vida do produto?
segurana de engenharia de software?
Nos Fabricantes, Velhos Problemas (2/2)

Desafio adicional em IoT: Um chipset diversos fabricantes

Ex.: Dentre os fabricantes nacionais de cmeras, temos encontrando
somente chipsets Dahua e Xiongmai
Como atualizar? Recall consegue ser efetivo? (vide caso Xiongmai)

Lies Aprendidas com a Deutsch Telecom

contato pr-estabelecido com o fabricante do CPE
criao rpida de novo firmware com a correo da vulnerabilidade
planejamento para gerncia e update remotos
maior parte do parque precisa apenas que o CPE seja desligado e ligado
novamente para que inicie a busca por um novo firmware
Recomendaes para Usurios de
Equipamentos de Telecomunicaes (1/2)
Ser criterioso ao escolher o fornecedor
verificar se possui poltica de atualizao de firmware
verificar histrico de tratamento de vulnerabilidades
identificar qual o chipset
verificar histrico de tratamento de vulnerabilidades do fabricante do chipset
fazer testes antes de comprar
checar se possvel desabilitar servios desnecessrios e trocar
senhas

Antes de fazer a implantao, planejar

algum esquema de gerncia remota
como atualizar remotamente
Recomendaes para Usurios de
Equipamentos de Telecomunicaes (2/2)
Mesmo escolhendo criteriosamente o fornecedor,
assumir que os dispositivos viro com srios problemas
testar em ambiente controlado
assumir que ter um backdoor do fabricante

Desabilitar servios desnecessrios e mudar senhas

padro
nem sempre possvel, vide DVRs e o caso antigo do CPE da Arris
que no permitia desabilitar Telnet

Manter os equipamentos atualizados

Utilizar sempre que possvel uma rede de gerncia
Recomendaes para provedores de acesso
E se IoT comear a usar amplificao?
Estatsticas de notificaes enviadas pelo CERT.br
para detentores de IPs brasileiros permitindo amplificao
Ms Servio Endereos IP ASNs
DNS 79.441 2.401
julho e agosto
NTP 29.176 3.945
NTP 82.594 215
setembro e
SSDP 4.902 321
outubro
Chargen 316 70
novembro SNMP 560.965 1.865

Implementar boas prticas:

BCP38/BCP84
filtrar pacotes com endereos spoofados
http://bcp.nic.br/entenda-o-antispoofing/
Obrigada
www.cert.br
miriam@cert.br @certbr

05 de dezembro de 2016