Beruflich Dokumente
Kultur Dokumente
05 de dezembro de 2016
So Paulo, SP
IoT no cenrio atual de
ataques DDoS
Miriam von Zuben
miriam@cert.br
Cenrio atual
Ataques DDoS Estatsticas CERT.br
Notificaes sobre computadores participando em ataques de DoS
1999 -- 2015
Ano
2015 25360
2011 272
309
2010 198272
2005 96 277
2004 104
96
2003 50 104
2002 5062
2001 26 62
2000 26 159
1999 21 159
2015
Notificao de ataques DDoS 89% menor que 2014
Scans por SSDP (1900/UDP)
fator de amplificao de 30.8 vezes
2012: posio 107
2015: posio 18
crescimento de scans de Telnet (23/TCP)
scans visando equipamentos de rede alocados s residncias de
usurios finais, tais como modems ADSL e cabo, roteadores Wi-Fi, etc
Notificaes ao CERT.br:
Scans por 23/TCP 2013 a jun/2016
Varreduras por 23/TCP
70
Porcentagem das Noticaes de Scan
60
Porcentagem das noticaes de scan por ms
50
40
30
20
10
0
01/2013 01/2014 01/2015 01/2016 06/2016
Perodo: 01/2013 a 06/2016
Dados atualizados dos sensores do CERT.br:
Endereos IP nicos infectados com Mirai
IPs Infectados com Mirai - todas as variantes: Total Mundial e Brasil
1.5M
Total Mundial
Brasil
1.3M
1.1M
IPs nicos ativos por dia
900k
700k
500k
300k
100k
15/09
20/09
22/09
30/09
21/10
27/11
01/12
Perodo: 15/09/2016 a 01/12/2016
Propagao do malware
Inicial: via Telnet (23/TCP e 2323/TCP)
explorando senhas fracas ou padro
Variantes: via protocolos vulnerveis (7547/TCP e 5555/TCP)
TR-069: CPE WAN Management Protocol (CWMP)
TR-069 NewNTPServer vulnerability
TR-064: LAN-Side DSL CPE Configuration
acessvel via WAN sem autenticao
Qual o limite?
1.351 cmeras de vdeo ataque 300 Gbps (sem amplificao) *
1.4M de equipamentos com Mirai X (sem amplificao)
1.4M de equipamentos com Mirai Y (com amplificao)
* http://www.lacnic.net/web/eventos/lacnic25-agenda-lacsec#viernes
Desafios para
Melhorar o Cenrio
Nos Fabricantes, Velhos Problemas (1/2)
Falta de Autenticao
para conectar e receber comandos
para fazer atualizaes
05 de dezembro de 2016