[GTER] IPTV-PIRATA como origem de DoS

Nuno Vieira nuno at hashpower.pt
Fri Jun 28 12:10:46 -03 2019


Boas Marcelo,

Sim, sou. Alguns membros desta lista conhecem me bastante bem.

Eu já tinha percebido esse vosso dilema com a quebra de receita, pois é de facto a unica justificação para o que estão a fazer, porem nem tudo na vida é dinheiro.

Creio que devem estar tambem plenamente conscientes de que filtrarem o trafego para a NFO nao vai resolver nada, pois essa apenas é hoje o destino dos ataques, e pode mudar a qualquer momento. (dito por outras palavras, soluciona o problema, mas nao resolve...)

O mais simples é educar e notificar o cliente, ou seja, fazer um documento bonitinho para ele perceber não só que está identificado como uma fonte de problemas, bem como a fazer uso ilegal de algo e a prejudicar terceiros, nomeadamente os targets que são atacados e a rede do isp que lhe fornece a conectividade.

Já tendo lidado com casos destes nos ultimos 20 anos, alguns hospedados em datacenter (imagina servidores com 1Gbps de banda a cagar pacotes), e clientes empresariais com fibra devo lhe afirmar que a solução passa mesmo pelo shut da porta e ponto final.  O procedimento que aplicamos sempre foi depois de detetar um ataque de um cliente para a internet, notifica-lo do facto, e dar lhe um prazo razoavel para o sanar.  Nao havendo resolução dependendo do caso as medidas passavam ou por limitar o acesso ou por desligar, resultando muitas das vezes em resolucao do problema ou noutras em cancelamento do contrato.  Isto articulado com as entidades competentes garante-vos total legitimidade para o fazerem. Provavelmente se não tem essas clausulas previstas nos vossos contratos de prestacao de serviços, está na hora de as colocarem.

Em qualquer dos casos era algo que nao queriamos mesmo na rede, agora cabe lhe a si querer fazer o correto que mandam as best practices, no que toca a mitigacao de ataques o mais proximo possivel da origem, ou de fazer o papel de bombeiro, a apagar o fogo de cada vez que ele flagra.

Outra questão importante é o do RGPD/GPDR, que no Brasil ainda é uma anedota, mas se olharem para outros exemplos podem aprender imenso.

Saudações Portugas,

Nuno Vieira

----- Original Message -----
From: "Marcelo Gondim" <gondim at linuxinfo.com.br>
To: gter at eng.registro.br
Sent: Friday, 28 June, 2019 13:41:52
Subject: Re: [GTER] IPTV-PIRATA como origem de DoS

Nuno,

Queria muito fazer isso, mas lhe faço a seguinte pergunta: você é dono 
de algum ISP? Aqui nós identificamos, notificamos e bloqueamos 
assinantes com esse tipo de problema. O problema é a proporção que isso 
está tomando. Uma coisa é você fazer isso com 4 assinantes. Não 
resolveu? Cancela, está em nosso contrato isso. Agora quando você tem 
200, 300, 400 clientes infectados. Você acha realmente que uma empresa 
vai cancelar 400 contratos?

Não concordo com bloqueios aos sites atacados porque isso não resolve o 
problema. Hoje é a NFO, amanhã será o Zezinho da esquina. Ou a gente 
resolve isso na origem do problema (agressor) ou na fonte (caixinha IPTV 
do assinante). O melhor ao meu ver é que os equipamentos estejam 
atualizados e não vulneráveis. Hoje a gente está falando dessas caixas, 
amanhã pode ser outra coisa. IoT está aí pra ficar.

Infelizmente 400 clientes infectados não é uma coisa que eu simplesmente 
vá deixar de lado. Não posso perder os assinantes e também não posso 
deixar que sejam fontes de ataques.

Em 27/06/2019 20:55, Nuno Vieira escreveu:
> Completamente de acordo.
>
> Com essas teorias q estão prai a falar, por exemplo, se fosse na união europeia era processo ao ISP na boa por violação do RGPD / GPDR.
>
> A unica coisa que devem fazer é tendo meios de detetar o DDoS notificar o cliente e dar lhe nn horas para sanar o problema, juntando evidências do ataque (ex report do cert). Caso nao resolva, um shut na porta e pronto. Ataque mitigado na fonte.
>
> Parece me que o problema aqui é pessoas com excesso de tempo :) para “inventar”.
>
> Nuno Vieira
>
> No dia 27/06/2019, às 23:53, Alexandre Guimaraes <alexandre.fguimaraes at gmail.com> escreveu:
>
>> Esperae!!! Para!!!
>>
>> Qual a banda que vc vendeu? 100Mbps Up/Down?
>>
>> Então garanta a banda entregue e pronto. Se ele usa IPTV, CFTV, PlayStation, Netflix, Torrent.... isso não interessa.
>>
>> A única coisa que vc precisa apontar quando vier uma reclamação do CERT ou da justiça, eh informar o cliente e pronto.
>>
>> E pelo que sei, tem IPTV oficial sim, aonde os canais trabalham em serviço privado.
>>
>> O problema que estou vendo aqui, é não ter a capacidade para atender às demandas crescentes... sejam de ataques, bots, heavy users e Netflix e afins....
>>
>> Alexandre
>>
>>> On 27 Jun 2019, at 19:12, Ederson Amboni <ederson at bsd.com.br> wrote:
>>>
>>> Tbm notei o ataque nesse mesmo horário
>>>
>>> Em qui, 27 de jun de 2019 19:06, Jonni Pianezzer <jhonnyp at deltaativa.com.br>
>>> escreveu:
>>>
>>>> agora as 15:30 varios clientes comecaram a bombardear de ataque
>>>> novamente. upload de 10 a 12 mb.
>>>>
>>>> Marcelo, voce disse que o antivirus pegou, mas ele consegue remover?
>>>>
>>>>
>>>> Em 27/06/2019 15:21, Marcelo Gondim escreveu:
>>>>> Olá pessoal,
>>>>>
>>>>> Estamos pegando diversos trojans nessas caixas hTV com o antivírus
>>>>> ESET. Aqui [1] uma imagem pra vocês verem. Numa mesma caixa 9 trojans!
>>>>>
>>>>> [1] https://uploaddeimagens.com.br/imagens/htv-jpg
>>>>>
>>>>> Em 27/06/2019 11:52, Marcelo Gondim escreveu:
>>>>>> Em 27/06/2019 08:45, Jonni Pianezzer escreveu:
>>>>>>
>>>>>>> Vamos La, como precisamos testar isso nao teve outro jeito.
>>>>>>> Sim eu odeio esses Aparelhos igual a todos aqui da lista
>>>>>>>
>>>>>>> Coloquei um HTV5 atras de uma Mikrotik para analisar.
>>>>>>> HTV5 novo, mesmo assim resetei ele de fabrica,
>>>>>>> somente 2 programa instalei, um chamado braziltv que é onde vem os
>>>>>>> canais, e outro chamado Cine que é tipo filmes lancamentos.
>>>>>>> Nenhum programa de VPN nem conteudo adulto nada.
>>>>>>> e mesmo assim o HTV ja iniciou mandando altos upload hehe,
>>>>>>> Ficou ontem das 18:00(foi a hora que liguei ele) ate hoje as 04:23.
>>>>>>> sim deixei ele ligado, mas observacao, ele esta ligado mas nao
>>>>>>> estava rodando nenhum canal, somente na tele inicial do aparelho,
>>>>>>> entao seja la o que for so de ele estar ligado sem estar aberto nada
>>>>>>> ja é suficiente para ser usado para atacar outros.
>>>>>>> No mikrotik desse teste Bloquiei todo trafego UDP exceto porta 23
>>>>>>> vindo do ip do HTV e mandei pra uma lista os ips destinos,
>>>>>>> os canais continuam funcionando o trafego continua sendo gerado
>>>>>>> claro, mas pelo menos nao sai mais pra fora da rede.
>>>>>>> Só fiz isso para um teste, nao apliquei na rede ainda nada. mas é
>>>>>>> minha contribuição.
>>>>>>>
>>>>>>> Faixa de ataques ontem aqui foi
>>>>>>> 74.91.113.215
>>>>>>> 74.91.117.185
>>>>>>> 74.91.121.178
>>>>>>> 74.91.123.202
>>>>>>> 74.91.125.208
>>>>>>> 74.91.113.81
>>>>>> Aproveitando monitora esse dispositivo pra ver se está saindo conexão
>>>>>> pra 6667/tcp (IRC) e pra quais IPs ele se conectou. Pode sair algo daí.
>>>>>>>
>>>>>>> Em 26/06/2019 15:48, Wagner Bento escreveu:
>>>>>>>> Boa tarde galera.
>>>>>>>>
>>>>>>>> Aqui começou novamente,.
>>>>>>>>
>>>>>>>> Mesmo destino (NFO Servers).
>>>>>>>> IP e porta destino sempre mudando.
>>>>>>>>
>>>>>>>>
>>>>>>>> Em qua, 26 de jun de 2019 às 13:42, Wagner Bento
>>>>>>>> <wagner at seanet.com.br>
>>>>>>>> escreveu:
>>>>>>>>
>>>>>>>>>
>>>>>>>>> No caso nessas últimas ocorrências, o destino aqui também foi esse AS
>>>>>>>>> mesmo, porém das últimas vezes aqui, também ocorreu em direção a AWS.
>>>>>>>>> Marcelo Gondim, pegou mais alguma coisa? Nessa box aí tinha alguma
>>>>>>>>> VPN
>>>>>>>>> instalada? Pelo o que vejo, algumas até já vem com alguma
>>>>>>>>> instalada. Pode
>>>>>>>>> estar aí o furo.
>>>>>>>>>
>>>>>>>>> Em qua, 26 de jun de 2019 às 12:28, Marcelo Gondim <
>>>>>>>>> gondim at linuxinfo.com.br> escreveu:
>>>>>>>>>
>>>>>>>>>> Em 26/06/2019 08:54, JUliano Raymundo escreveu:
>>>>>>>>>>
>>>>>>>>>>> Bom dia Douglas, pelo contrário, acredito que muitos colegas
>>>>>>>>>>> sofram com
>>>>>>>>>>> isso. Já observei aqui na lista relatos onde o pessoal chegou até
>>>>>>>>>> bloquear
>>>>>>>>>>> /24 para mitigar o ataque coordenado de DDoS oriundo dessas
>>>>>>>>>>> IPTV. Aqui
>>>>>>>>>> no
>>>>>>>>>>> provedor estamos tratando IP por IP, mas acredito que logo
>>>>>>>>>>> teremos que
>>>>>>>>>>> bloquear /24 também. Seguidamente o CERTBR encaminha notificações
>>>>>>>>>>> informando que estamos originando tais ataques. O interessante é
>>>>>>>>>>> que
>>>>>>>>>> está
>>>>>>>>>>> sendo sempre o mesmo destino. Parece ser uma usina nuclear nos
>>>>>>>>>>> estados
>>>>>>>>>>> unidos. Se algum colega tiver alguma lista de IPS nos quais
>>>>>>>>>>> essas IPTV
>>>>>>>>>> se
>>>>>>>>>>> conectam e puder compartilhar aqui na lista, seria de grande valia.
>>>>>>>>>> Com a gente aqui os ataques foram todos direcionados à NFO AS14586.
>>>>>>>>>> Embora tenham o nome de "Nuclearfallout Enterprises" [1] tudo
>>>>>>>>>> indica que
>>>>>>>>>> tem a ver com servidores de jogos.
>>>>>>>>>> https://www.nfoservers.com/
>>>>>>>>>> O IP atacado faz parte do bloco 74.91.113.0/24
>>>>>>>>>>> Em qua, 26 de jun de 2019 às 05:38, Douglas Fischer <
>>>>>>>>>>> fischerdouglas at gmail.com> escreveu:
>>>>>>>>>>>
>>>>>>>>>>>> Levanta a mão aí quem tem uma rede com mais de 1000 clientes e
>>>>>>>>>>>> não está
>>>>>>>>>>>> sofrendo com isso...
>>>>>>>>>>>> --


--
gter list    https://eng.registro.br/mailman/listinfo/gter


More information about the gter mailing list