[caiu] DDos em massa partindo de IPS nacionais

Wildson Macedo wildson.macedo em gmail.com
Dom Jul 29 00:28:29 -03 2018 

Pessoal,

Tava lendo os emails, olha só.

*a)* No meu entender, os ataques de bruteforce já não fazem muito sentido.
Serviços com FTP e SSH não devem em hipoteses alguma está operando nas
portas default, quem deixa FTP e SSH nas portas
default está pagando para ver.

Esses ataques são facilmente tratados alterando as portas para outro numero.

*b)* Ataque a WebSite acredito que também são fáceis tratar, os firewall's
atuais possuem recursos de limitar a quantidade de acessos simultaneos de
um determinado IP/Range.

É possível determinar a quantidade de requisições por segundo que podem ser
aceitas, há várias formas de limitar os abusos de requisições.

Além do mais, é desaconselhavel disponibilizar acesso ao servidor web sem
um proxy reverso.
No proxy reverso é possível adicionar vários mecanismos de segurança e
fazer com que o backend tome "menos porrada".

Tem que ver como estah disponilizados esses serviços. As vezes o ataque
ocorre porque alguém rodou algum script (ex: nmap) num range grande IPs e
detectou que o seu tem várias vulnerabilidades detectadas.

Ao meu ver, no geral, os ataque mais perigosos são os ataque sutis!!! SQL
Injection, XSS, etc.
Dai a necessidade de um IPS (Sistema de Prevenção de Intruso) e o WAF.


Em 28 de julho de 2018 23:24, Provedor Bogus <provedorbogus em gmail.com>
escreveu:

> Thiago,
>
> Não lamente. Na verdade você está concordando comigo. Explico.
>
> O bloqueio de qualquer porta (sim, todas as 65535) constitui discriminação
> de tráfego e é uma violação direta e flagrante do Marco Civil. Aprendemos
> isso perdendo um processo e pagando R$ 9.600 a um cliente cuja mensalidade
> é R$ 60. A partir de então, todas as portas de todos os nossos serviços
> (residenciais ou corporativos) não tem qualquer tipo de bloqueio.
>
> Sobre bloquear a porta 25 é um caso excepcional que não sei se, de fato,
> vai contra o Marco Civil, uma vez que nele fica explícito que somente o
> Estado pode determinar esta ação. Embora o CGI.br diga para bloquear,
> desconheço se há uma portaria embasando essa orientação. Se algum colega
> puder esclarecer, agradeço.
>
> Aproveitando sua epígrafe para frisar o que eu disse no meu e-mail
> anterior.
>
> Em 27 de julho de 2018 19:46, THIAGO AYUB <thiago.ayub em upx.com> escreveu:
>
> > Art. 5*o*  Os requisitos técnicos indispensáveis à prestação adequada de
> > serviços e aplicações devem ser observados pelo responsável de atividades
> > de transmissão, de comutação ou de roteamento, no âmbito de sua
> respectiva
> > rede, e têm como objetivo manter sua estabilidade, segurança,
> integridade e
> > funcionalidade.
> >
>
> Perceba o que o Artigo é enfático ao falar das atribuições **no âmbito da
> sua respectiva rede**  afim de manter sua (novamente, sua própria rede, não
> a Internet) estabilidade, segurança, integridade e funcionalidade.
> Isso é exatamente o que eu disse na mensagem anterior.
> O ISP pode intervir somente quando seu cliente estiver prejudicando a rede
> do próprio ISP, por exemplo, causando negação de serviço (nome em português
> para DDoS).
>
> Uma operadora não tem poder para auditar o tráfego e assim julgar o que é
> legítimo ou malicioso para a Internet, bloqueando de acordo com suas
> convicções.
> Da mesma forma, não posso bloquear o tráfego de alguém sem um mandado
> judicial ou portaria ministerial. Um e-mail de outro administrador de
> sistemas reclamando não tem força de Lei e não é aceito como justificativa
> em um tribunal.
>
> Só pra deixar claro, estou falando de Lei e não de como eu acho que deveria
> ser. A minha opinião é inteiramente diferente do que eu sou obrigado a
> (deixar de) fazer.
> _______________________________________________
> caiu mailing list
> caiu em eng.registro.br
> https://eng.registro.br/mailman/listinfo/caiu
>
>
> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>
> https://eng.registro.br/mailman/options/caiu
>

Mais detalhes sobre a lista de discussão caiu