Artigos  |  Palestras  |  Documentos Recomendações Recomendação para Evitar Invasões Comitê Gestor da Internet/Brasil Grupo de Trabalho em Segurança de Redes (GT-S) NIC Br Security Office Apesar de amplamente divulgadas em listas de discussão especializadas ao longo de 1998 uma série de vulnerabilidades continuam sendo exploradas O objetivo desta Recomendação é alertar os contatos técnicos e administrativos dos domínios brasileiros e solicitar que os mesmos atualizem, corrijam ou reconfigurem seus equipamentos visando evitar continuidade desses métodos de invasão e abuso. 1. Vulnerabilidades mais Utilizadas em Ataques na Rede Brasileira Recentemente 2. Ataques SMURF utilizando Redes Brasileiras 3. Utilização de Servidores SMTP como Relays de SPAM(UCE)/MAILBOMB 1. Vulnerabilidades mais Utilizadas em Ataques na Rede Brasileira Recentemente Estas vulnerabilidades estão sendo exploradas diariamente e de forma intensa na Internet/BR aproveitando a desatualização existente em várias instalações brasileiras. É importante frisar que apesar de amplamente divulgadas em 1998 muitas redes brasileiras não atualizaram seus softwares tornando-se o alvo preferido de invasores do Brasil e exterior. 1.a. Vulnerabilidade do servidor POP3 da Qualcom Conforme veiculado em listas de discussão e posteriormente através do CERT-Advisory CA-98.08 de 14 de julho de 1998, todas as versões do servidor qpopper da Qualcom anteriores a 2.5 sao vulneráveis a um ataque externo que fornece acesso privilegiado (root) ao invasor. Para saber se os seus servidores POP3 são vulneráveis realize o seguinte teste: telnet popserver.seudomínio.com.br 110 Trying 123.123.123.123 Connected to pcserver.seudomíno.com.br +OK QPOP (version 2.4) at popserver.seudomínio.com.br starting se a versão apresentada pelo seu servidor for 2.4 ou anterior ele é vulnerável e você deve fazer o upgrade imediatamente. As versões corrigidas podem ser obtidas em ftp://ftp.qualcomm.com/Eudora/servers/unix/popper (conteúdo não disponível) (ou através da sua distribuição Unix, quando for o caso) 1.b. Vulnerabilidade do servidor IMAP da Universidade de Washington Conforme veiculado em listas de discussão e posteriormente através do CERT-Advisory CA-98.09 de 20 de julho de 1998 todas as versões do servidor IMAP4rev1 versão anterior a 10.234 e anteriores são vulneráveis a um ataque externo que fornece acesso privilegiado ao invasor. Para saber se os seus servidores sao vulneráveis a este ataque realize o seguinte teste: % telnet imapserver.seudomínio.com.br 143 Trying 123.123.123.123... Connected to imapserver.seudomínio.com.br. Escape character is '^]'. * OK imapserver.seudomínio.com.br IMAP4rev1 v10.190 server ready. Se a versão (no exemplo v10.190) for anterior v10.234 o seu server é vulnerável e você deve fazer upgrade imediatamente. As versões corrigidas podem ser obtidas em: ftp://ftp.cac.washington.edu/mail/imap.tar.Z (ou através da sua distribuição Unix, quando for o caso) 1.c. Vulnerabilidade do servidor DNS (BIND) Conforme veiculado em listas de discussão e posteriormente através do CERT-Advisory CA-98.05 de abril de 1998 todas as versões servidor DNS (BIND) anteriores a 8.1.2 e 4.9.7 possuem vulnerabilidades que permitem a um agressor interromper a operação do servico e/ou obter acesso privilegiado (root). Se a versão do seu servidor DNS é anterior a estas versões realize imediatamente uma atualização. As versões corrigidas podem ser obtidas em: http://www.isc.org/new-bind.html (ou através da sua distribuição Unix, quando for o caso) 2. Ataques SMURF utilizando Redes Brasileiras Ataques 'smurf' exploram erros de configuração em roteadores que permitem a passagem de pacotes ICMP ou UDP direcionados a endereços de broadcast transformando redes em "amplificadores"  destes. Um ataque 'smurf' utilizando um dado número de redes 'amplificadoras' consegue consumir grandes quantidades  de banda tanto destas redes quanto da rede da vítima tornando inviável o tráfego nas mesmas. Nos últimos seis meses as redes brasileiras cuja configuração de roteadores permite este ataque tem sido utilizadas com intensidade cada vez maior criando prejuízos tanto para as vítimas qto para as redes 'amplificadoras'. Para conferir se a sua rede é vulnerável ou não a ser utilizada como amplificador faça o teste utilizando http://netscan.org/ A configuração correta de host e roteador para bloquear este tipo de ataque e' extremamente dependendente de fabricante. A seguinte referencia deve ser consultada para correção da configuração da sua rede caso ela seja vulnerável: http://quad.quadrunner.com/~chuegen/smurf.cgi (conteúdo não disponível) 3. Utilização de Servidores SMTP como Relays de SPAM(UCE)/MAILBOMB Um número crescente de servidores SMTP da Internet/Br mal configurados tem sido utilizados por agressores e praticantes de UCE como relays de correio eletrônico. Como resultado disto vários blocos da rede brasileira têm sido filtrados no exterior com os conseqüentes prejuízos econômicos. Para saber se os seus servidores SMTP são vulneráveis ao uso como relay utilize: http://maps.vix.com/tsi/ar-test.html (conteúdo não disponível) Caso você seja vulnerável consulte a documentação disponível em http://maps.vix.com/tsi/(conteúdo não disponível) ou solicite auxílio ao grupo brasileiro enviando um e-mail para:SPAMBR-L@antispam.org.br Se você tiver problemas de segurança recorra ao nbso@nic.br ou http://www.nic.br