Com o objetivo de promover a redução de tráfego malicioso na Internet no Brasil e melhorar a segurança de dispositivos de rede, o Comitê Gestor da Internet no Brasil (CGI.br), por meio do Núcleo de Informação e Coordenação do Ponto BR (NIC.br), lançou o programa “Para fazermos uma Internet mais segura”. A divulgação do projeto aconteceu durante o 11º IX (PTT) Fórum – Encontro dos Sistemas Autônomos da Internet no Brasil, evento que integra a VII Semana da Infraestrutura da Internet no Brasil e reúne engenheiros, administradores de redes, analistas de segurança, gestores de TI, estudantes, entre demais interessados em debates sobre a dinâmica de operação e funcionamento da Internet no País.
Voltada aos quase seis mil Sistemas Autônomos (AS) no Brasil, a iniciativa agrega vários atores da cadeia de serviço de Internet no País em torno dos desafios para uma Internet mais segura. O programa foi apresentado durante painel com a participação de Frederico Neves (NIC.br), Andrei Robachevsky (ISOC), Cristine Hoepers (CERT.br), Eduardo Parajo (Abranet) e Ildeu Borges (SindiTelebrasil).
Cenário brasileiro
Na apresentação introdutória, Cristine Hoepers, gerente do Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (CERT.br), detalhou o cenário de abuso dos sistemas autônomos brasileiros a partir das notificações de incidentes de segurança reportados e por ataques detectados na rede de honeypots distribuídos mantida pelo CERT.br, além de dados fornecidos por parceiros internacionais.
Em 2016, o CERT.br recebeu 60.432 notificações sobre computadores que participaram de ataques de negação de serviço (DoS), número 138% maior que em 2015. “Ataques com volume de 300 Gbps são o novo ‘normal’. Temos conhecimento de incidentes de até 1Tbps contra alguns alvos. Uso de botnets IoT e amplificação de tráfego são os tipos mais frequentes”, alertou Cristine, chamando atenção também para as notificações de varreduras (scan). “As varreduras de TELNET (23/TCP) parecem visar dispositivos IoT e equipamentos de rede alocados às residências de usuários finais, tais como modems ADSL e cabo, roteadores Wi-Fi, câmeras de monitoramento, entre outros”, listou.
Cristine também apresentou números sobre ASNs e IP únicos notificados pelo CERT.br em 2017, chamando atenção que um terço dos sistemas autônomos brasileiros estão permitindo amplificação de tráfego a partir de redes e dispositivos mal configurados.
“São ataques extremamente elaborados? Não. O que os atacantes estão fazendo, na maioria das vezes, é adivinhar login e senha, e também abusando de serviços UDP para amplificação em servidores mal configurados, modems e roteadores de banda larga”. Entre as recomendações destacadas por Cristine estão a utilização da verificação em duas etapas, a configuração dos modems e roteadores domésticos (principalmente para evitar serviços abertos e senhas padrão), assim como a detecção proativa de ataques que estejam saindo das redes dos sistemas autônomos. Outras recomendações estão listadas no portal de Boas Práticas para a Internet no Brasil: http://bcp.nic.br/.
Programa local
“Teremos mais de mil novos sistemas autônomos no Brasil em 2017, estamos crescendo mais de 20%. Esse tipo de conhecimento precisa ser compartilhado. É fundamental que todos se unam, estejam engajados e trabalhem juntos para chegarmos a uma conclusão do melhor caminho que devemos trilhar. O programa está começando agora, sabemos que o resultado será a longo prazo”, ressaltou Frederico Neves, Diretor de Serviços e de Tecnologia do NIC.br, que informou ainda que as contribuições de representantes de sistemas autônomos serão coletadas durante o encontro para elaboração de documento com as diretrizes do programa.
Ainda de acordo com Frederico, o NIC.br atuará para promover a segurança em diferentes áreas de atuação: desde o processo de alocação de endereços IPv4 e IPv6 e distribuição de números para Sistemas Autônomos (ASN); com cursos e treinamento dedicado às melhores práticas de roteamento; atividades operacionais no IX.br, entre elas o anúncio de filtros pelos participantes por meio de communities; parâmetros de segurança usados na medição do desempenho da conexão à Internet a partir do Simet Box; além das atividades do CERT.br que coleta estatísticas e fornece recomendações de segurança na rede.
Durante o painel, Eduardo Parajo, presidente da Associação Brasileira de Internet (Abranet), reforçou a importância da iniciativa e da união de todos. “Há uma percepção de que os ataques partem apenas de redes internacionais, mas temos que proteger mais a nossa rede dentro do Brasil. Existem questões técnicas que podem e devem ser implementadas para o benefício de todos”, pontuou. Ildeu Borges, diretor regulatório do Sindicato Nacional das Empresas de Telefonia e de Serviços Móvel Celular e Pessoal (SindiTelebrasil), reforçou que os dados apresentados por Cristine Hoepers são preocupantes. “Apesar de benéfica numa série de aspectos, a revolução da Internet das Coisas multiplica os riscos. Se esses dispositivos não estiverem configurados corretamente, vamos ver esses efeitos se multiplicarem exponencialmente. É necessário, portanto, que todos os atores estejam juntos e atuem de forma coordenada com ações efetivas para promover a segurança na rede”, afirmou.
Iniciativa global
Iniciativa que busca promover a segurança do sistema de roteamento global, “Mutually Agreed Norms for Routing Security (MANRS)” também foi apresentada no encontro. Andrei Robachevsky, gerente do programa de Tecnologia da Internet Society, lembrou que mais de 60 mil sistemas autônomos (AS) operam na Internet em âmbito global e usam BGP (Border Gateway Protocol) para trocar informações. “O BGP é baseado inteiramente em confiança, então o fornecimento de informações falsas ou incorretas, assim como a ausência de dados para validar a legitimidade das informações fornecidas podem criar incidentes de segurança”, explicou.
Sequestro de prefixo IP, vazamento de rotas, falsificação (spoofing) de endereços IP são alguns dos problemas apontados por Robachevsky. “Da perspectiva de roteamento, focar apenas na segurança da sua rede não implica necessariamente deixá-la mais segura. A redução de ataques à sua rede também está nas mãos dos outros”, sentenciou.
Diante desse cenário, o MANRS traz ações concretas que devem ser configuradas por administradores de redes. São elas: filtros dos prefixos anunciados por clientes; anti-spoofing (não permitir tráfego de IPs forjados saindo da sua rede); coordenação, ou seja, manter os dados atualizados em fontes de informações públicas, como Whois, para coordenação de incidentes; além da validação global, que implica o uso de bases públicas para divulgar suas políticas BGP. Os detalhes sobre o MANRS estão disponíveis no sítio: www.manrs.org/.