[GTER] Fwd: Balanço do SERPRO sobre ataques

JULIO ARRUDA jarruda-gter at jarruda.com
Thu Jun 30 14:41:26 -03 2011


Ataques com banda inferior ao link, spoofed, pode ser bloqueados com algoritmos de autenticacao de sessao, de varios tipos.
Ataques com banda superior ao link, spoofed ou nao, geralmente requerem interacao com o upstream, seja manual (molecular, manda o moleque la ligar para o upstream), seja automatica (cloud signaling).

On Jun 30, 2011, at 7:00 AM, Alberto Freire wrote:

> Certa vez houve um ataque a minha rede com spoofing na origem, fiquei com a rede praticamente off, gerei todo tipo de regra para bloquear o ataque, mas não houve resultado. Após quase 4 horas depois do início do ataque, finalmente consegui conversar com um especialista em segurança da Embratel que gerou as regras de bloqueio na porta do roteador na operadora.
> 
> Mas fiquei no prejuízo... no total foram 6 horas "fora do ar"!
> 
> 
> Em 29-06-2011 21:17, Marcos Pitanga escreveu:
>> Como dizia o  tio no curso de segurança da informação. Ataque de DOS/DDOS
>> deve-se bloquear o mais perto da origem possível.
>> 
>> O problema é colocar estas regras temporárias rapidamente. Até porque,
>> podemos atacar fazendo spoofing da origem. ;-)
>> 
>> []'s
>> 
>> Pitanga
>> Em 29 de junho de 2011 19:32, Alexandre J. Correa - Onda Internet<
>> alexandre at onda.psi.br>  escreveu:
>> 
>>> mesmo bloqueando.. o pacote vai chegar no circuito de destino, consumindo
>>> recursos.
>>> 
>>> vi uma palestra em uma GTER/GTS do Jean, sobre alguma integração (nao
>>> recordo agora qual o nome do projeto), mas parecia interessante... não sei
>>> também te falar se pode ou deve ser aplicado nestes casos.. (acredito que
>>> seja).
>>> 
>>> 
>>> 
>>> Em 29/06/2011 18:42, André Felício escreveu:
>>> 
>>>  sério!?
>>>> É bem simples, se tem "trocentas" conexões originando de 1 único IP
>>>> (DoS) basta bloquear este IP. Se quiser automatizar a detecção e
>>>> reação um IDS resolve.
>>>> 
>>>> Em 29 de junho de 2011 18:27, Antonio Carlos Pina
>>>> <antoniocarlospina at gmail.com>   escreveu:
>>>> 
>>>>> Bloquear DoS é fácil ?
>>>>> Ensine às pessoas aqui por favor !
>>>>> Em 29 de junho de 2011 17:12, André Felício<andre at felicio.com.br>
>>>>>  escreveu:
>>>>> 
>>>>>  Mazoni cada vez se supera mais. IPv6!??
>>>>>> Em uma das entrevistas Mazoni disse que "houve um ataque distribuído
>>>>>> de negação de serviço vindo de apenas 1 IP" (DoS). Para tudo! se é de
>>>>>> 1 IP não é distribuído (DDoS) e pelo amor de Deus, bloquear DoS é
>>>>>> fácil.
>>>>>> 
>>>>>> 
>>>>>> Em 29 de junho de 2011 16:24, Humberto Galiza
>>>>>> <humbertogaliza at gmail.com>   escreveu:
>>>>>> 
>>>>>>> Sobrou até para a implantação do IPv6...
>>>>>>> 
>>>>>>> Galiza
>>>>>>> Computer B.Sc. (UFBA)
>>>>>>> 
>>>>>>> 
>>>>>>> 
>>>>>>> 
>>>>>>> ---------- Mensagem encaminhada ----------
>>>>>>> De: Maurício Vieira<mauricio.vieira at gmail.**com<mauricio.vieira at gmail.com>
>>>>>>> Data: 29 de junho de 2011 13:48
>>>>>>> Assunto: Balanço do SERPRO sobre ataques
>>>>>>> Para: Eventos da galera do bem<galera-do-bem@**googlegroups.com<galera-do-bem at googlegroups.com>
>>>>>>> 
>>>>>>> 
>>>>>>>  http://www.serpro.gov.br/**noticiasSERPRO/2011/junho/**
>>>>>> serpro-faz-balanco-de-medidas-**de-seguranca-em-resposta-a-**
>>>>>> ataques-virtuais<http://www.serpro.gov.br/noticiasSERPRO/2011/junho/serpro-faz-balanco-de-medidas-de-seguranca-em-resposta-a-ataques-virtuais>
>>>>>> 
>>>>>>> Serpro faz balanço de medidas de segurança em resposta a ataques
>>>>>>> virtuais
>>>>>>> 
>>>>>>> Empresa reitera que ataques a sítios hospedados em sua rede não foram
>>>>>>> invasivos, havendo apenas congestionamento de rede. Evidências virtuais
>>>>>>> registradas durante os ataques foram encaminhadas aos órgãos
>>>>>>> 
>>>>>> governamentais
>>>>>> 
>>>>>>> de investigação.
>>>>>>> 
>>>>>>> O Serviço Federal de Processamento de Dados (Serpro) informa que
>>>>>>> detectou
>>>>>>> cerca de 25 ataques, do dia 22 a 26 de junho de 2011, a vários sítios
>>>>>>> hospedados na estrutura de rede da empresa e todos eles foram contidos.
>>>>>>> 
>>>>>> Os
>>>>>> 
>>>>>>> sítios administrados pelo Serpro não sofreram qualquer tipo de invasão.
>>>>>>> 
>>>>>>> Dos sítios citados em notícias relacionadas aos ataques, apenas são
>>>>>>> administrados pelo Serpro: www.presidencia.gov.br, www.brasil.gov.br e
>>>>>>> www.receita.fazenda.gov.br. Os outros sítios web de ministérios e
>>>>>>> demais
>>>>>>> órgãos de governo mencionados não estão sob a responsabilidade da
>>>>>>> 
>>>>>> empresa.
>>>>>> 
>>>>>>> As ações foram realizadas por meio de negação de serviço (DdoS - Denial
>>>>>>> 
>>>>>> of
>>>>>> 
>>>>>>> Service), não havendo vazamento de dados sigilosos. As informações
>>>>>>> divulgadas como originadas dos ataques são públicas e podem ser obtidas
>>>>>>> 
>>>>>> em
>>>>>> 
>>>>>>> consultas a sítios de governo.
>>>>>>> 
>>>>>>> Durante os ataques, o Serpro coletou logs de dados, que são registros
>>>>>>> de
>>>>>>> atividades nos sistemas, tratados como evidências das ações contra os
>>>>>>> sítios. Esses logs foram encaminhados para a Polícia Federal e para a
>>>>>>> Agência Brasileira de Inteligência (Abin).
>>>>>>> 
>>>>>>> IPv6
>>>>>>> Alinhado à tendência mundial de substituição do Protocolo Internet
>>>>>>> versão
>>>>>>> 
>>>>>> 4
>>>>>> 
>>>>>>> (IPv4) para a versão 6 (IPv6), o Serpro gradualmente mudará o protocolo
>>>>>>> 
>>>>>> de
>>>>>> 
>>>>>>> endereços de internet dos serviços administrados. Segundo o
>>>>>>> diretor-presidente da empresa, Marcos Mazoni, a mudança será acelerada
>>>>>>> 
>>>>>> por
>>>>>> 
>>>>>>> causa dos ataques e permitirá maior precisão na identificação de
>>>>>>> máquinas
>>>>>>> usadas nessas ações.
>>>>>>> 
>>>>>>> Histórico dos ataques
>>>>>>> A primeira ocorrência foi detectada às 0h30 do dia 22 de junho,
>>>>>>> 
>>>>>> proveniente
>>>>>> 
>>>>>>> de mais de 1000 origens diferentes, com aproximadamente 300 mil
>>>>>>> 
>>>>>> simulações
>>>>>> 
>>>>>>> de acessos por segundo. Entre 0h30 e 3h, foram dois bilhões de acessos
>>>>>>> 
>>>>>> que
>>>>>> 
>>>>>>> afetaram os sítios www.presidencia.gov.br e www.brasil.gov.br. Os
>>>>>>> sítios
>>>>>>> 
>>>>>> web
>>>>>> 
>>>>>>> ficaram indisponíveis por cerca de 40 minutos e apresentaram lentidão
>>>>>>> no
>>>>>>> breve período posterior.
>>>>>>> 
>>>>>>> Ainda no dia 22, o portal www.receita.fazenda.gov.br sofreu tentativa
>>>>>>> de
>>>>>>> negação de serviço, com início às 12h30 e duração aproximada de 30
>>>>>>> 
>>>>>> minutos.
>>>>>> 
>>>>>>> O ataque foi contido pela área de segurança do Serpro, não ocorrendo
>>>>>>> indisponibilidade do serviço.
>>>>>>> 
>>>>>>> Contribuição com a rede governo
>>>>>>> O Serpro é administrador da Infovia, rede óptica que é utilizada como
>>>>>>> 
>>>>>> canal
>>>>>> 
>>>>>>> de comunicação de dados pelos Ministérios. Por meio deste canal, a
>>>>>>> 
>>>>>> empresa
>>>>>> 
>>>>>>> tem auxiliado os órgãos usuários da via, ainda que não possuam contrato
>>>>>>> 
>>>>>> de
>>>>>> 
>>>>>>> prestação de serviços de TI com o Serpro, a conter outros ataques a
>>>>>>> sites
>>>>>>> 
>>>>>> de
>>>>>> 
>>>>>>> terminação "gov.br".
>>>>>>> 
>>>>>>> Infovia
>>>>>>> A Infovia Brasília é uma infraestrutura de rede ótica metropolitana de
>>>>>>> comunicações construída para fornecer aos órgãos do governo federal,
>>>>>>> situados na capital do país, um conjunto de serviços e funcionalidades
>>>>>>> em
>>>>>>> ambiente seguro, de alta performance e de alta disponibilidade,
>>>>>>> proporcionando uma significativa redução dos custos de comunicação de
>>>>>>> 
>>>>>> dados.
>>>>>> 
>>>>>>> Comunicação Social do Serpro - Brasília, 28 de junho de 2011
>>>>>>> 
>>>>>>> Enviado do meu Iphone, Ipad, Android e Blackberry
>>>>>>> 
>>>>>>> --
>>>>>>> Omne ignotum pro magnifico
>>>>>>> 
>>>>>>> Mauricio B. C. Vieira
>>>>>>> http://mauriciovieira.net
>>>>>>> --
>>>>>>> gter list    https://eng.registro.br/**mailman/listinfo/gter<https://eng.registro.br/mailman/listinfo/gter>
>>>>>>> 
>>>>>>> 
>>>>>> --
>>>>>> At.te,
>>>>>> 
>>>>>> André Felício
>>>>>> http://www.felicio.com.br
>>>>>> --
>>>>>> gter list    https://eng.registro.br/**mailman/listinfo/gter<https://eng.registro.br/mailman/listinfo/gter>
>>>>>> 
>>>>>>  --
>>>>> gter list    https://eng.registro.br/**mailman/listinfo/gter<https://eng.registro.br/mailman/listinfo/gter>
>>>>> 
>>>>> 
>>>> 
>>> --
>>> Sds.
>>> 
>>> Alexandre Jeronimo Correa
>>> Sócio-Administrador
>>> 
>>> Onda Internet
>>> www.onda.net.br
>>> 
>>> IPV6 Ready !
>>> 
>>> 
>>> --
>>> gter list    https://eng.registro.br/**mailman/listinfo/gter<https://eng.registro.br/mailman/listinfo/gter>
>>> 
>> --
>> gter list    https://eng.registro.br/mailman/listinfo/gter
>> 
> 
> -- 
> Alberto Freire de Melo
> Administrador de TI
> HTnet Online - Soluções de acesso à internet!
> e-mail: albertofreire @ yahoo.com.br
> msn: suportht at hotmail.com
> skype: suportht
> fones: (87)8838-3936 / 3873-2048 ramal 222
> 
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter




More information about the gter mailing list