[GTER] Fwd: Balanço do SERPRO sobre ataques
Marcos Pitanga
marcos.pitanga at gmail.com
Thu Jun 30 14:22:39 -03 2011
Pois é Alberto, tem que se feito mais próximo da origem para não exaurir sua
banda.
As vezes esse processo é complicado devido ao tramite burocrático que tem
que ser feito para que isso aconteça.
[]'s
Marcos Pitanga
Em 30 de junho de 2011 08:00, Alberto Freire
<albertofreire at yahoo.com.br>escreveu:
> Certa vez houve um ataque a minha rede com spoofing na origem, fiquei com a
> rede praticamente off, gerei todo tipo de regra para bloquear o ataque, mas
> não houve resultado. Após quase 4 horas depois do início do ataque,
> finalmente consegui conversar com um especialista em segurança da Embratel
> que gerou as regras de bloqueio na porta do roteador na operadora.
>
> Mas fiquei no prejuízo... no total foram 6 horas "fora do ar"!
>
>
> Em 29-06-2011 21:17, Marcos Pitanga escreveu:
>
>> Como dizia o tio no curso de segurança da informação. Ataque de DOS/DDOS
>> deve-se bloquear o mais perto da origem possível.
>>
>> O problema é colocar estas regras temporárias rapidamente. Até porque,
>> podemos atacar fazendo spoofing da origem. ;-)
>>
>> []'s
>>
>> Pitanga
>> Em 29 de junho de 2011 19:32, Alexandre J. Correa - Onda Internet<
>> alexandre at onda.psi.br> escreveu:
>>
>> mesmo bloqueando.. o pacote vai chegar no circuito de destino, consumindo
>>> recursos.
>>>
>>> vi uma palestra em uma GTER/GTS do Jean, sobre alguma integração (nao
>>> recordo agora qual o nome do projeto), mas parecia interessante... não
>>> sei
>>> também te falar se pode ou deve ser aplicado nestes casos.. (acredito que
>>> seja).
>>>
>>>
>>>
>>> Em 29/06/2011 18:42, André Felício escreveu:
>>>
>>> sério!?
>>>
>>>> É bem simples, se tem "trocentas" conexões originando de 1 único IP
>>>> (DoS) basta bloquear este IP. Se quiser automatizar a detecção e
>>>> reação um IDS resolve.
>>>>
>>>> Em 29 de junho de 2011 18:27, Antonio Carlos Pina
>>>> <antoniocarlospina at gmail.com> escreveu:
>>>>
>>>> Bloquear DoS é fácil ?
>>>>> Ensine às pessoas aqui por favor !
>>>>> Em 29 de junho de 2011 17:12, André Felício<andre at felicio.com.br>
>>>>> escreveu:
>>>>>
>>>>> Mazoni cada vez se supera mais. IPv6!??
>>>>>
>>>>>> Em uma das entrevistas Mazoni disse que "houve um ataque distribuído
>>>>>> de negação de serviço vindo de apenas 1 IP" (DoS). Para tudo! se é de
>>>>>> 1 IP não é distribuído (DDoS) e pelo amor de Deus, bloquear DoS é
>>>>>> fácil.
>>>>>>
>>>>>>
>>>>>> Em 29 de junho de 2011 16:24, Humberto Galiza
>>>>>> <humbertogaliza at gmail.com> escreveu:
>>>>>>
>>>>>> Sobrou até para a implantação do IPv6...
>>>>>>>
>>>>>>> Galiza
>>>>>>> Computer B.Sc. (UFBA)
>>>>>>>
>>>>>>>
>>>>>>>
>>>>>>>
>>>>>>> ---------- Mensagem encaminhada ----------
>>>>>>> De: Maurício Vieira<mauricio.vieira at gmail.****com<
>>>>>>> mauricio.vieira at gmail.com**>
>>>>>>>
>>>>>>> Data: 29 de junho de 2011 13:48
>>>>>>> Assunto: Balanço do SERPRO sobre ataques
>>>>>>> Para: Eventos da galera do bem<galera-do-bem@**googlegrou**ps.com<http://googlegroups.com>
>>>>>>> <galera-do-bem@**googlegroups.com <galera-do-bem at googlegroups.com>>
>>>>>>>
>>>>>>>
>>>>>>>
>>>>>>> http://www.serpro.gov.br/****noticiasSERPRO/2011/junho/**<http://www.serpro.gov.br/**noticiasSERPRO/2011/junho/**>
>>>>>>>
>>>>>> serpro-faz-balanco-de-medidas-****de-seguranca-em-resposta-a-****
>>>>>> ataques-virtuais<http://www.**serpro.gov.br/noticiasSERPRO/**
>>>>>> 2011/junho/serpro-faz-balanco-**de-medidas-de-seguranca-em-**
>>>>>> resposta-a-ataques-virtuais<http://www.serpro.gov.br/noticiasSERPRO/2011/junho/serpro-faz-balanco-de-medidas-de-seguranca-em-resposta-a-ataques-virtuais>
>>>>>> >
>>>>>>
>>>>>>
>>>>>> Serpro faz balanço de medidas de segurança em resposta a ataques
>>>>>>> virtuais
>>>>>>>
>>>>>>> Empresa reitera que ataques a sítios hospedados em sua rede não foram
>>>>>>> invasivos, havendo apenas congestionamento de rede. Evidências
>>>>>>> virtuais
>>>>>>> registradas durante os ataques foram encaminhadas aos órgãos
>>>>>>>
>>>>>>> governamentais
>>>>>>
>>>>>> de investigação.
>>>>>>>
>>>>>>> O Serviço Federal de Processamento de Dados (Serpro) informa que
>>>>>>> detectou
>>>>>>> cerca de 25 ataques, do dia 22 a 26 de junho de 2011, a vários sítios
>>>>>>> hospedados na estrutura de rede da empresa e todos eles foram
>>>>>>> contidos.
>>>>>>>
>>>>>>> Os
>>>>>>
>>>>>> sítios administrados pelo Serpro não sofreram qualquer tipo de
>>>>>>> invasão.
>>>>>>>
>>>>>>> Dos sítios citados em notícias relacionadas aos ataques, apenas são
>>>>>>> administrados pelo Serpro: www.presidencia.gov.br, www.brasil.gov.bre
>>>>>>> www.receita.fazenda.gov.br. Os outros sítios web de ministérios e
>>>>>>> demais
>>>>>>> órgãos de governo mencionados não estão sob a responsabilidade da
>>>>>>>
>>>>>>> empresa.
>>>>>>
>>>>>> As ações foram realizadas por meio de negação de serviço (DdoS -
>>>>>>> Denial
>>>>>>>
>>>>>>> of
>>>>>>
>>>>>> Service), não havendo vazamento de dados sigilosos. As informações
>>>>>>> divulgadas como originadas dos ataques são públicas e podem ser
>>>>>>> obtidas
>>>>>>>
>>>>>>> em
>>>>>>
>>>>>> consultas a sítios de governo.
>>>>>>>
>>>>>>> Durante os ataques, o Serpro coletou logs de dados, que são registros
>>>>>>> de
>>>>>>> atividades nos sistemas, tratados como evidências das ações contra os
>>>>>>> sítios. Esses logs foram encaminhados para a Polícia Federal e para a
>>>>>>> Agência Brasileira de Inteligência (Abin).
>>>>>>>
>>>>>>> IPv6
>>>>>>> Alinhado à tendência mundial de substituição do Protocolo Internet
>>>>>>> versão
>>>>>>>
>>>>>>> 4
>>>>>>
>>>>>> (IPv4) para a versão 6 (IPv6), o Serpro gradualmente mudará o
>>>>>>> protocolo
>>>>>>>
>>>>>>> de
>>>>>>
>>>>>> endereços de internet dos serviços administrados. Segundo o
>>>>>>> diretor-presidente da empresa, Marcos Mazoni, a mudança será
>>>>>>> acelerada
>>>>>>>
>>>>>>> por
>>>>>>
>>>>>> causa dos ataques e permitirá maior precisão na identificação de
>>>>>>> máquinas
>>>>>>> usadas nessas ações.
>>>>>>>
>>>>>>> Histórico dos ataques
>>>>>>> A primeira ocorrência foi detectada às 0h30 do dia 22 de junho,
>>>>>>>
>>>>>>> proveniente
>>>>>>
>>>>>> de mais de 1000 origens diferentes, com aproximadamente 300 mil
>>>>>>>
>>>>>>> simulações
>>>>>>
>>>>>> de acessos por segundo. Entre 0h30 e 3h, foram dois bilhões de
>>>>>>> acessos
>>>>>>>
>>>>>>> que
>>>>>>
>>>>>> afetaram os sítios www.presidencia.gov.br e www.brasil.gov.br. Os
>>>>>>> sítios
>>>>>>>
>>>>>>> web
>>>>>>
>>>>>> ficaram indisponíveis por cerca de 40 minutos e apresentaram lentidão
>>>>>>> no
>>>>>>> breve período posterior.
>>>>>>>
>>>>>>> Ainda no dia 22, o portal www.receita.fazenda.gov.br sofreu
>>>>>>> tentativa
>>>>>>> de
>>>>>>> negação de serviço, com início às 12h30 e duração aproximada de 30
>>>>>>>
>>>>>>> minutos.
>>>>>>
>>>>>> O ataque foi contido pela área de segurança do Serpro, não ocorrendo
>>>>>>> indisponibilidade do serviço.
>>>>>>>
>>>>>>> Contribuição com a rede governo
>>>>>>> O Serpro é administrador da Infovia, rede óptica que é utilizada como
>>>>>>>
>>>>>>> canal
>>>>>>
>>>>>> de comunicação de dados pelos Ministérios. Por meio deste canal, a
>>>>>>>
>>>>>>> empresa
>>>>>>
>>>>>> tem auxiliado os órgãos usuários da via, ainda que não possuam
>>>>>>> contrato
>>>>>>>
>>>>>>> de
>>>>>>
>>>>>> prestação de serviços de TI com o Serpro, a conter outros ataques a
>>>>>>> sites
>>>>>>>
>>>>>>> de
>>>>>>
>>>>>> terminação "gov.br".
>>>>>>>
>>>>>>> Infovia
>>>>>>> A Infovia Brasília é uma infraestrutura de rede ótica metropolitana
>>>>>>> de
>>>>>>> comunicações construída para fornecer aos órgãos do governo federal,
>>>>>>> situados na capital do país, um conjunto de serviços e
>>>>>>> funcionalidades
>>>>>>> em
>>>>>>> ambiente seguro, de alta performance e de alta disponibilidade,
>>>>>>> proporcionando uma significativa redução dos custos de comunicação de
>>>>>>>
>>>>>>> dados.
>>>>>>
>>>>>> Comunicação Social do Serpro - Brasília, 28 de junho de 2011
>>>>>>>
>>>>>>> Enviado do meu Iphone, Ipad, Android e Blackberry
>>>>>>>
>>>>>>> --
>>>>>>> Omne ignotum pro magnifico
>>>>>>>
>>>>>>> Mauricio B. C. Vieira
>>>>>>> http://mauriciovieira.net
>>>>>>> --
>>>>>>> gter list https://eng.registro.br/****mailman/listinfo/gter<https://eng.registro.br/**mailman/listinfo/gter>
>>>>>>> <https://**eng.registro.br/mailman/**listinfo/gter<https://eng.registro.br/mailman/listinfo/gter>
>>>>>>> >
>>>>>>>
>>>>>>>
>>>>>>> --
>>>>>> At.te,
>>>>>>
>>>>>> André Felício
>>>>>> http://www.felicio.com.br
>>>>>> --
>>>>>> gter list https://eng.registro.br/****mailman/listinfo/gter<https://eng.registro.br/**mailman/listinfo/gter>
>>>>>> <https://**eng.registro.br/mailman/**listinfo/gter<https://eng.registro.br/mailman/listinfo/gter>
>>>>>> >
>>>>>>
>>>>>> --
>>>>>>
>>>>> gter list https://eng.registro.br/****mailman/listinfo/gter<https://eng.registro.br/**mailman/listinfo/gter>
>>>>> <https://**eng.registro.br/mailman/**listinfo/gter<https://eng.registro.br/mailman/listinfo/gter>
>>>>> >
>>>>>
>>>>>
>>>>>
>>>> --
>>> Sds.
>>>
>>> Alexandre Jeronimo Correa
>>> Sócio-Administrador
>>>
>>> Onda Internet
>>> www.onda.net.br
>>>
>>> IPV6 Ready !
>>>
>>>
>>> --
>>> gter list https://eng.registro.br/****mailman/listinfo/gter<https://eng.registro.br/**mailman/listinfo/gter>
>>> <https://**eng.registro.br/mailman/**listinfo/gter<https://eng.registro.br/mailman/listinfo/gter>
>>> >
>>>
>>> --
>> gter list https://eng.registro.br/**mailman/listinfo/gter<https://eng.registro.br/mailman/listinfo/gter>
>>
>>
> --
> Alberto Freire de Melo
> Administrador de TI
> HTnet Online - Soluções de acesso à internet!
> e-mail: albertofreire @ yahoo.com.br
> msn: suportht at hotmail.com
> skype: suportht
> fones: (87)8838-3936 / 3873-2048 ramal 222
>
>
> --
> gter list https://eng.registro.br/**mailman/listinfo/gter<https://eng.registro.br/mailman/listinfo/gter>
>
More information about the gter
mailing list