[Segurança] O que passou pela rede da RSA Conference

O pessoal que gerenciou o SOC da RSA Conference, uma atividade conjunta da RSA e da CISCO, lançou alguns posts em blog e um vídeo curtinho contando como foi esta experiência. O tráfego de rede, durante o evento, estava na faixa de 500 a 700Mbps.

Durante o evento, eles tiveram oportunidade de ver alguns tipos de tráfico interessantes passando pela rede do evento, tais como:

• Senhas passando em aberto;
• Computadores dos participantes tentando se conectar com servidores ou equipamentos de suas empresas originais (o chamado "calling home"), mesmo estando em uma rede pública (como mensagens SNMP e fazendo broadcast de informações sobre os próprios computadores);
• Cerca de 30% dos e-mails que passaram pela rede estavam em aberto;
• Havia tráfego de Tor2Web;
• Viram tráfego de aplicativos mobile, aonde a autenticação estava criptografada, mas o tráfego pós-autenticação estava em aberto. Isso aconteceu, por exemplo, com pessoas conectando em webcams em suas casas, imagens do Tinder, etc;
• A propósito, eles viram muito acesso a aplicativos de relacionamento durante o evento;
• Do ponto de vista de malware, eles viram várias coisas vindas da China, Rússia e Koréia do Norte, tráfego de máquinas infectadas tentando falar com mundo externo, acesso a servidores de Comando e Controle, etc.

Não custa lembrar que qualquer rede pública é um ambiente hostil para se conectar, e por isso, merece muito cuidado. No caso de um evento de segurança, estamos falando em cuidado redobrado, pois o público do evento é um alvo muito mais atrativo e visado.

Para saber um pouquinho mais sobre essa experiência no SOC da RSA Conference 2017, dê uma olhada nesses artigos:

• A View From the #RSAC SOC
• A View From the #RSAC SOC – Part 2