[GTER] Fwd: Balanço do SERPRO sobre ataques

Marcelo B. maxthetor at gmail.com
Wed Jun 29 23:45:34 -03 2011


Poise Joel, aparentemente uma declaracao errada ou antecipada do Marcos
Mazoni, mas como nao tenho a fonte com a data, nao da pra
confrontar com a noticia no site do serpro e seria errado dizer que e
mentira dele em uma lista publica, principalmente sem provas.

Mas o grande X da questao e como mitigar esse tipo de ataque, a mais facil
logicamente, e ligar para o upstrem/provedor e pedir o filtro, que por sua
vez faz o filtro local ou pede para o proximo upstream, no velho jogo de
empurra.
De qualquer forma isso vai funcionar ate um certo limite, arrisco a chutar
estruturas de 50/100MB, a partir dae tem que haver uma
estrutura melhor, distribuicao em varios data center, firewall, ids,
appliances de mitigacao, servicos terceirizados, whatever ...

Lembrando que o maior sempre ganha do menor, entao nenhuma protecao
de contenção na rede local ajudara em um ataque de 1G
no seu backbone de 500MB.

Marcos Pitanga, eu tambem sou adepto desse pensamento, o filtro quanto mais
proximo da origem mais efetivo, mas como voce
mesmo citou como ser rapido o suficiente?

Me desculpem a ideia utopica, mas eu sou a favor da criacao de um grupo de
seguranca com tecnicos das maiores operadoras
nacionais/internacionais, coordenado por um orgao transparente, ex: nic.br ,
ou nao, coordenado por uma delas mesmo, ou um servico
cobrado , nao importa. Acho que o importante e pessoas em areas tecnicas
importantes se comunicarem e poder todar decisões importantes.

A proxima moda do DDoS vem ae, e nao e mais maquinas hackeadas ou
botnets/zumbis involuntarias, sao as proprias pessoas apertando o botao,
voluntariamente, vide loic.

Abracos
2011/6/29 Joel Schafer <joel.bsn at gmail.com>

> Não sei se não estou acompanhando certo, mas no informativo fala 1000
> origens diferentes....
>
> Histórico dos ataques
> A primeira ocorrência foi detectada às 0h30 do dia 22 de junho, proveniente
> de mais de 1000 origens diferentes, com aproximadamente 300 mil simulações
> de acessos por segundo
>
>
>
> 2011/6/29 Marcelo B. <maxthetor at gmail.com>
>
> > Andre, pode citar a fonte onde ele da essa entrevista?
> > Da pra perceber que quem escreveu nao entida bem, (DdoS - Denial of
> > Service)
> > ??? DDoS != DoS
> >
> > Pina, do jeito que foi citado realmente e facil, um IP, um bloqueio,
> > logicamente na borda/upstream.
> >
> > obs: so uma duvida, porque o serpro fala sitio ? seria a correcao
> > gramatical
> > de site? falei errado a vida inteira?
> >
> > 2011/6/29 Antonio Carlos Pina <antoniocarlospina at gmail.com>
> >
> > > Bloquear DoS é fácil ?
> > > Ensine às pessoas aqui por favor !
> > > Em 29 de junho de 2011 17:12, André Felício <andre at felicio.com.br>
> > > escreveu:
> > >
> > > > Mazoni cada vez se supera mais. IPv6!??
> > > >
> > > > Em uma das entrevistas Mazoni disse que "houve um ataque distribuído
> > > > de negação de serviço vindo de apenas 1 IP" (DoS). Para tudo! se é de
> > > > 1 IP não é distribuído (DDoS) e pelo amor de Deus, bloquear DoS é
> > > > fácil.
> > > >
> > > >
> > > > Em 29 de junho de 2011 16:24, Humberto Galiza
> > > > <humbertogaliza at gmail.com> escreveu:
> > > > > Sobrou até para a implantação do IPv6...
> > > > >
> > > > > Galiza
> > > > > Computer B.Sc. (UFBA)
> > > > >
> > > > >
> > > > >
> > > > >
> > > > > ---------- Mensagem encaminhada ----------
> > > > > De: Maurício Vieira <mauricio.vieira at gmail.com>
> > > > > Data: 29 de junho de 2011 13:48
> > > > > Assunto: Balanço do SERPRO sobre ataques
> > > > > Para: Eventos da galera do bem <galera-do-bem at googlegroups.com>
> > > > >
> > > > >
> > > > >
> > > >
> > >
> >
> http://www.serpro.gov.br/noticiasSERPRO/2011/junho/serpro-faz-balanco-de-medidas-de-seguranca-em-resposta-a-ataques-virtuais
> > > > >
> > > > > Serpro faz balanço de medidas de segurança em resposta a ataques
> > > virtuais
> > > > >
> > > > > Empresa reitera que ataques a sítios hospedados em sua rede não
> foram
> > > > > invasivos, havendo apenas congestionamento de rede. Evidências
> > virtuais
> > > > > registradas durante os ataques foram encaminhadas aos órgãos
> > > > governamentais
> > > > > de investigação.
> > > > >
> > > > > O Serviço Federal de Processamento de Dados (Serpro) informa que
> > > detectou
> > > > > cerca de 25 ataques, do dia 22 a 26 de junho de 2011, a vários
> sítios
> > > > > hospedados na estrutura de rede da empresa e todos eles foram
> > contidos.
> > > > Os
> > > > > sítios administrados pelo Serpro não sofreram qualquer tipo de
> > invasão.
> > > > >
> > > > > Dos sítios citados em notícias relacionadas aos ataques, apenas são
> > > > > administrados pelo Serpro: www.presidencia.gov.br,
> www.brasil.gov.bre
> > > > > www.receita.fazenda.gov.br. Os outros sítios web de ministérios e
> > > demais
> > > > > órgãos de governo mencionados não estão sob a responsabilidade da
> > > > empresa.
> > > > >
> > > > > As ações foram realizadas por meio de negação de serviço (DdoS -
> > Denial
> > > > of
> > > > > Service), não havendo vazamento de dados sigilosos. As informações
> > > > > divulgadas como originadas dos ataques são públicas e podem ser
> > obtidas
> > > > em
> > > > > consultas a sítios de governo.
> > > > >
> > > > > Durante os ataques, o Serpro coletou logs de dados, que são
> registros
> > > de
> > > > > atividades nos sistemas, tratados como evidências das ações contra
> os
> > > > > sítios. Esses logs foram encaminhados para a Polícia Federal e para
> a
> > > > > Agência Brasileira de Inteligência (Abin).
> > > > >
> > > > > IPv6
> > > > > Alinhado à tendência mundial de substituição do Protocolo Internet
> > > versão
> > > > 4
> > > > > (IPv4) para a versão 6 (IPv6), o Serpro gradualmente mudará o
> > protocolo
> > > > de
> > > > > endereços de internet dos serviços administrados. Segundo o
> > > > > diretor-presidente da empresa, Marcos Mazoni, a mudança será
> > acelerada
> > > > por
> > > > > causa dos ataques e permitirá maior precisão na identificação de
> > > máquinas
> > > > > usadas nessas ações.
> > > > >
> > > > > Histórico dos ataques
> > > > > A primeira ocorrência foi detectada às 0h30 do dia 22 de junho,
> > > > proveniente
> > > > > de mais de 1000 origens diferentes, com aproximadamente 300 mil
> > > > simulações
> > > > > de acessos por segundo. Entre 0h30 e 3h, foram dois bilhões de
> > acessos
> > > > que
> > > > > afetaram os sítios www.presidencia.gov.br e www.brasil.gov.br. Os
> > > sítios
> > > > web
> > > > > ficaram indisponíveis por cerca de 40 minutos e apresentaram
> lentidão
> > > no
> > > > > breve período posterior.
> > > > >
> > > > > Ainda no dia 22, o portal www.receita.fazenda.gov.br sofreu
> > tentativa
> > > de
> > > > > negação de serviço, com início às 12h30 e duração aproximada de 30
> > > > minutos.
> > > > > O ataque foi contido pela área de segurança do Serpro, não
> ocorrendo
> > > > > indisponibilidade do serviço.
> > > > >
> > > > > Contribuição com a rede governo
> > > > > O Serpro é administrador da Infovia, rede óptica que é utilizada
> como
> > > > canal
> > > > > de comunicação de dados pelos Ministérios. Por meio deste canal, a
> > > > empresa
> > > > > tem auxiliado os órgãos usuários da via, ainda que não possuam
> > contrato
> > > > de
> > > > > prestação de serviços de TI com o Serpro, a conter outros ataques a
> > > sites
> > > > de
> > > > > terminação "gov.br".
> > > > >
> > > > > Infovia
> > > > > A Infovia Brasília é uma infraestrutura de rede ótica metropolitana
> > de
> > > > > comunicações construída para fornecer aos órgãos do governo
> federal,
> > > > > situados na capital do país, um conjunto de serviços e
> > funcionalidades
> > > em
> > > > > ambiente seguro, de alta performance e de alta disponibilidade,
> > > > > proporcionando uma significativa redução dos custos de comunicação
> de
> > > > dados.
> > > > >
> > > > > Comunicação Social do Serpro - Brasília, 28 de junho de 2011
> > > > >
> > > > > Enviado do meu Iphone, Ipad, Android e Blackberry
> > > > >
> > > > > --
> > > > > Omne ignotum pro magnifico
> > > > >
> > > > > Mauricio B. C. Vieira
> > > > > http://mauriciovieira.net
> > > > > --
> > > > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > > > >
> > > >
> > > >
> > > >
> > > > --
> > > > At.te,
> > > >
> > > > André Felício
> > > > http://www.felicio.com.br
> > > > --
> > > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > > >
> > > --
> > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > >
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> >
>
>
>
> --
> *Att. Joel Schafer
> http://www.joelsc.com.br
> *
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>



More information about the gter mailing list