<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
</head>
<body bgcolor="#ffffff" text="#000000">
São Paulo, 20 de outubro de 2011<br>
<h4>CERT.br registra queda de 21% nas notificações de incidentes de
segurança</h4>
<p><em>Ataques a servidores Web mantém a tendência de aumento desde
2010; abusos de serviços VoIP figuram entre os dez mais reportados</em></p>
<p>O Centro de Estudos, Resposta e Tratamento de Incidentes de
Segurança no Brasil (CERT.br), um dos serviços disponibilizados pelo
Núcleo de Informação e Coordenação do Ponto BR (NIC.br), divulgou os
dados referentes ao terceiro trimestre de 2011 sobre notificações de
incidentes de segurança na Internet.</p>
<p>O número total de notificações de incidentes no terceiro trimestre
de 2011 foi um pouco superior a 100 mil, o que corresponde a uma queda
de 21% em relação ao trimestre anterior, mas a um aumento de 152% em
relação ao mesmo trimestre de 2010. A queda das notificações está
relacionada a uma diminuição das notificações da categoria <em>Outros</em>.</p>
<p><strong>Tentativas de fraude</strong><br>
As notificações relacionadas a tentativas de fraudes apresentaram um
aumento de 3% em relação ao segundo trimestre e um aumento de 35% em
relação ao mesmo período de 2010.</p>
<p>Ocorreu um aumento de 16% no número de notificações de páginas
falsas de bancos e de sítios de comércio eletrônico (<em>phishing
clássico</em>) em relação ao trimestre anterior. No entanto, essa
categoria sofreu um aumento de 45% em relação ao terceiro trimestre de
2010. O número de notificações de <em>phishing </em>clássico
representam 53% das notificações de tentativas de fraude referentes ao
terceiro trimestre e ultrapassaram, em números absolutos, as
notificações sobre <em>Cavalos de Tróia</em>, que representaram 43%
das notificações.</p>
<p>As notificações sobre <em>Cavalos de Tróia</em>, que são
expedientes utilizados para furtar informações e credenciais,
representam 43% das notificações de tentativas de fraude. Essa
categoria teve uma queda de 9% em relação ao trimestre anterior, mas
sofreu um aumento de 18% em relação ao terceiro trimestre de 2010.</p>
<p><strong>Ataques a servidores Web</strong><br>
As notificações sobre ataques a servidores Web cresceram 85% em relação
ao trimestre anterior e mais que dobraram em relação ao mesmo período
de 2010. Apesar dessa tendência de crescimento existir desde 2007,
está havendo aceleração desde o primeiro trimestre de 2011.</p>
<p>“Na maioria das vezes, as vulnerabilidades em aplicações Web são
exploradas por atacantes que usam os sítios para hospedar páginas
falsas de instituições financeiras, ferramentas utilizadas em ataques a
outros servidores Web, <em>Cavalos de Tróia e scripts maliciosos</em>”,
relata Cristine Hoepers, analista de segurança do CERT.br. “<em>Os
scripts maliciosos</em> são inseridos para infectar o computador de
quem acessa o sítio, caso o navegador não esteja atualizado e na sua
última versão, são os chamados ‘<em>downloads </em>involuntários’ ou ‘<em>drive-by
downloads’</em>", completa.</p>
<p><strong>Varreduras e propagação de códigos maliciosos</strong><br>
As notificações de varreduras aumentaram 53% em relação ao segundo
trimestre de 2011 e 30% em relação ao mesmo período de 2010. Varreduras
SMTP (25/TCP) continuam em destaque, atingindo 57% do total das
notificações. A maior parte das reclamações continua se referindo a
computadores em redes brasileiras, conectados via banda larga, que
tentaram identificar relays abertos fora do Brasil, com intuito de
enviar spams abusando desses <em>relays</em>.</p>
<p>Os serviços que podem sofrer ataques de força bruta continuam entre
os mais visados. Nos últimos três meses, além do SSH (22/TCP), que
correspondeu a pouco mais de 12% das notificações, o outro serviço mais
visado foi o RDP (3389/TCP), com quase 12%. Esse crescimento de
varreduras por RDP coincidiu com a descoberta, nesse trimestre, de
algumas vulnerabilidades nesse serviço e com o aparecimento de
ferramentas que automatizaram ataques de força bruta.</p>
<p>Também é importante destacar que as varreduras pelo serviço SIP
(5060/UDP), apesar de ainda representarem cerca de 1%, passaram a
figurar dentre as 10 mais reportadas. Esse serviço é utilizado para
estabelecer chamadas telefônicas via protocolo IP (VoIP).</p>
<p>Varreduras por SIP, apesar de ainda pouco reportadas ao CERT.br, tem
figurado desde 2009 dentre os serviços mais atacados, conforme
registrado pelo Projeto Honeypots Distribuídos, mantido pelo CERT.br (<a
href="http://honeytarg.cert.br/honeypots">http://honeytarg.cert.br/honeypots</a>).
O objetivo das varreduras pelo serviço SIP é encontrar sistemas VoIP
ativos, tais como IP PBXs e gateways VoIP. “Após essa fase inicial, o
ataque em geral consiste em utilizar força bruta na descoberta de
senhas nos ramais desses sistemas e, finalmente, usar o sistema abusado
para originar ligações”, completa Cristine.</p>
<p>As notificações de atividades relacionadas à propagação de worms
totalizaram quase sete mil, cerca do dobro de notificações do segundo
trimestre de 2011 e do terceiro trimestre de 2010.</p>
<p><strong>Outros incidentes reportados </strong><br>
No terceiro trimestre de 2011, o CERT recebeu pouco mais de 44 mil
notificações que se enquadraram na categoria <em>Outros</em>,
correspondendo a um decréscimo de 50% em relação ao trimestre anterior.</p>
<p>A queda nesta categoria deve-se, principalmente, à diminuição no
número de notificações de máquinas em redes brasileiras tentando
acessar arquivos de configuração utilizados por códigos maliciosos.
Foram mais de 40 mil notificações com essa característica neste
trimestre, o que corresponde a menos da metade das notificações
recebidas no trimestre anterior (88 mil), um decréscimo de 51% entre
estes dois períodos.</p>
<p>A maior parte dos códigos maliciosos conta com mecanismos de
atualização de sua configuração ou de seu próprio código. Desde o
início do ano, um grupo europeu vem fazendo um esforço em notificar
todas as redes que possuem máquinas acessando arquivos de configuração
ou atualização, de forma a alertar quem esteja com sistemas
infectados. Esse tipo de notificação figura na categoria <em>Outros </em>por
não se enquadrar em nenhuma outra categoria pré-definida pelo CERT.br.</p>
<p><strong>Sobre o CERT.br</strong><br>
O CERT.br é o Centro de Estudos, Resposta e Tratamento de Incidentes de
Segurança no Brasil. Desde 1997, o grupo é responsável por tratar
incidentes de segurança envolvendo redes conectadas à Internet no
Brasil. O Centro também desenvolve atividades de análise de tendências,
treinamento e conscientização, com o objetivo de aumentar os níveis de
segurança e de capacidade de tratamento de incidentes no Brasil. Mais
informações em: <a href="http://www.cert.br">http://www.cert.br</a>. </p>
<p><strong>Sobre o Comitê Gestor da Internet no Brasil – CGI.br</strong><br>
O Comitê Gestor da Internet no Brasil coordena e integra todas as
iniciativas de serviços Internet no país, promovendo a qualidade
técnica, a inovação e a disseminação dos serviços ofertados. Mais
informações em <a href="http://www.cgi.br/">www.cgi.br</a>.</p>
<p><strong>Sobre o Núcleo de Informação e Coordenação do Ponto BR –
NIC.br</strong><br>
O NIC.br (<a href="http://www.nic.br/">www.nic.br</a>) é uma entidade
civil, sem fins lucrativos, que implementa as decisões e projetos do
Comitê Gestor da Internet no Brasil (CGI.br). São atividades
permanentes do NIC.br coordenar o registro de nomes de domínio —
Registro.br (<a href="http://www.registro.br/">www.registro.br</a>),
estudar, responder e tratar incidentes de segurança no Brasil – CERT.br
(<a href="http://www.cert.br/">www.cert.br</a>), estudar e pesquisar
tecnologias de redes e operações – CEPTRO.br (<a
href="http://www.ceptro.br/">www.ceptro.br</a>), produzir indicadores
sobre<strong> </strong>as tecnologias da informação e da comunicação —
CETIC.br<strong> </strong>(<a href="http://www.cetic.br/">www.cetic.br</a>)
e abrigar o escritório do W3C no Brasil (<a href="http://www.w3c.br/">www.w3c.br</a>).</p>
</body>
</html>