fevereiro 28, 2017

[Segurança] O que passou pela rede da RSA Conference

O pessoal que gerenciou o SOC da RSA Conference, uma atividade conjunta da RSA e da CISCO, lançou alguns posts em blog e um vídeo curtinho contando como foi esta experiência. O tráfego de rede, durante o evento, estava na faixa de 500 a 700Mbps.


Durante o evento, eles tiveram oportunidade de ver alguns tipos de tráfico interessantes passando pela rede do evento, tais como:
  • Senhas passando em aberto;
  • Computadores dos participantes tentando se conectar com servidores ou equipamentos de suas empresas originais (o chamado "calling home"), mesmo estando em uma rede pública (como mensagens SNMP e fazendo broadcast de informações sobre os próprios computadores);
  • Cerca de 30% dos e-mails que passaram pela rede estavam em aberto;
  • Havia tráfego de Tor2Web;
  • Viram tráfego de aplicativos mobile, aonde a autenticação estava criptografada, mas o tráfego pós-autenticação estava em aberto. Isso aconteceu, por exemplo, com pessoas conectando em webcams em suas casas, imagens do Tinder, etc;
  • A propósito, eles viram muito acesso a aplicativos de relacionamento durante o evento;
  • Do ponto de vista de malware, eles viram várias coisas vindas da China, Rússia e Koréia do Norte, tráfego de máquinas infectadas tentando falar com mundo externo, acesso a servidores de Comando e Controle, etc.
Não custa lembrar que qualquer rede pública é um ambiente hostil para se conectar, e por isso, merece muito cuidado. No caso de um evento de segurança, estamos falando em cuidado redobrado, pois o público do evento é um alvo muito mais atrativo e visado.

Para saber um pouquinho mais sobre essa experiência no SOC da RSA Conference 2017, dê uma olhada nesses artigos:


Nenhum comentário:

Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.