[GTER] IPTV-PIRATA como origem de DoS

Fernando Frediani fhfrediani at gmail.com
Fri Jun 28 12:25:54 -03 2019


Olá Gondim e todos.

Usando um pouco da quota de ingenuidade, acredito que para lidar com 
esse problema não vai existir uma única forma ou maneira definitiva.
Antes de chegar a esse possível bloqueio temporário de uma conexão que 
comprovadamente gera problemas para o ISP e principalmente para redes de 
terceiros, cabe também um trabalho de educação do provedor para com os 
clientes.

Por exemplo: uma parcela, talvez menor, dos clientes que compram esses 
equipamentos possivelmente não tem noção do tamanho da ilegalidade que 
estão cometendo e menos ainda que estão servindo como fonte para ataques 
de outras redes. Então um texto bem escrito distribuído e explicando de 
maneira clara e respeitosa com o cliente que a) esses equipamentos são 
ilegais sim b) que eles tem sido os responsáveis por muitos dos 
problemas de lentidão que o usuário reclama e acredita ser culpa do 
provedor c) convidando o usuário a não utilizar por algum tempo para 
comprovar ele mesmo (quem sabe isso o convença a parar de usar essa 
porcaria) d) avisando ele que se isso causar problemas maiores para o 
provedor ou para um terceiro a conexão do usuário poderá ser suspensa 
como medida preventiva e) alertando o usuário que além disso tudo ele 
estará sempre sujeito as penalidades previstas em lei relacionadas à 
pirataria de TV por assinatura (sim este último é mais difícil de 
comunicar mas se bem comunicado faz a pessoa pensar duas vezes em 
continuar utilizando).

Claro que a efetividade de uma ação como essa não vai ser perto do 
ideal, mas me inclino a pensar que ajuda a convencer uma parcela dessas 
pessoas a deixar de usá-los sem ter que passar pelo stress de suspender 
uma conexão ou até mesmo o cancelamento de um contrato em último caso.

E além de tudo isso vale sempre o que está sendo discutido aqui que é 
fazer algum trabalho de investigação próprio tentando descobrir 
endereços de C&C na tentativa de reduzir o tamanho do problema naqueles 
casos onde as pessoas continuem utilizando os equipamentos.

Abraços
Fernando Frediani

On 28/06/2019 09:41, Marcelo Gondim wrote:
> Nuno,
>
> Queria muito fazer isso, mas lhe faço a seguinte pergunta: você é dono 
> de algum ISP? Aqui nós identificamos, notificamos e bloqueamos 
> assinantes com esse tipo de problema. O problema é a proporção que 
> isso está tomando. Uma coisa é você fazer isso com 4 assinantes. Não 
> resolveu? Cancela, está em nosso contrato isso. Agora quando você tem 
> 200, 300, 400 clientes infectados. Você acha realmente que uma empresa 
> vai cancelar 400 contratos?
>
> Não concordo com bloqueios aos sites atacados porque isso não resolve 
> o problema. Hoje é a NFO, amanhã será o Zezinho da esquina. Ou a gente 
> resolve isso na origem do problema (agressor) ou na fonte (caixinha 
> IPTV do assinante). O melhor ao meu ver é que os equipamentos estejam 
> atualizados e não vulneráveis. Hoje a gente está falando dessas 
> caixas, amanhã pode ser outra coisa. IoT está aí pra ficar.
>
> Infelizmente 400 clientes infectados não é uma coisa que eu 
> simplesmente vá deixar de lado. Não posso perder os assinantes e 
> também não posso deixar que sejam fontes de ataques.
>
> Em 27/06/2019 20:55, Nuno Vieira escreveu:
>> Completamente de acordo.
>>
>> Com essas teorias q estão prai a falar, por exemplo, se fosse na 
>> união europeia era processo ao ISP na boa por violação do RGPD / GPDR.
>>
>> A unica coisa que devem fazer é tendo meios de detetar o DDoS 
>> notificar o cliente e dar lhe nn horas para sanar o problema, 
>> juntando evidências do ataque (ex report do cert). Caso nao resolva, 
>> um shut na porta e pronto. Ataque mitigado na fonte.
>>
>> Parece me que o problema aqui é pessoas com excesso de tempo :) para 
>> “inventar”.
>>
>> Nuno Vieira
>>
>> No dia 27/06/2019, às 23:53, Alexandre Guimaraes 
>> <alexandre.fguimaraes at gmail.com> escreveu:
>>
>>> Esperae!!! Para!!!
>>>
>>> Qual a banda que vc vendeu? 100Mbps Up/Down?
>>>
>>> Então garanta a banda entregue e pronto. Se ele usa IPTV, CFTV, 
>>> PlayStation, Netflix, Torrent.... isso não interessa.
>>>
>>> A única coisa que vc precisa apontar quando vier uma reclamação do 
>>> CERT ou da justiça, eh informar o cliente e pronto.
>>>
>>> E pelo que sei, tem IPTV oficial sim, aonde os canais trabalham em 
>>> serviço privado.
>>>
>>> O problema que estou vendo aqui, é não ter a capacidade para atender 
>>> às demandas crescentes... sejam de ataques, bots, heavy users e 
>>> Netflix e afins....
>>>
>>> Alexandre
>>>
>>>> On 27 Jun 2019, at 19:12, Ederson Amboni <ederson at bsd.com.br> wrote:
>>>>
>>>> Tbm notei o ataque nesse mesmo horário
>>>>
>>>> Em qui, 27 de jun de 2019 19:06, Jonni Pianezzer 
>>>> <jhonnyp at deltaativa.com.br>
>>>> escreveu:
>>>>
>>>>> agora as 15:30 varios clientes comecaram a bombardear de ataque
>>>>> novamente. upload de 10 a 12 mb.
>>>>>
>>>>> Marcelo, voce disse que o antivirus pegou, mas ele consegue remover?
>>>>>
>>>>>
>>>>> Em 27/06/2019 15:21, Marcelo Gondim escreveu:
>>>>>> Olá pessoal,
>>>>>>
>>>>>> Estamos pegando diversos trojans nessas caixas hTV com o antivírus
>>>>>> ESET. Aqui [1] uma imagem pra vocês verem. Numa mesma caixa 9 
>>>>>> trojans!
>>>>>>
>>>>>> [1] https://uploaddeimagens.com.br/imagens/htv-jpg
>>>>>>
>>>>>> Em 27/06/2019 11:52, Marcelo Gondim escreveu:
>>>>>>> Em 27/06/2019 08:45, Jonni Pianezzer escreveu:
>>>>>>>
>>>>>>>> Vamos La, como precisamos testar isso nao teve outro jeito.
>>>>>>>> Sim eu odeio esses Aparelhos igual a todos aqui da lista
>>>>>>>>
>>>>>>>> Coloquei um HTV5 atras de uma Mikrotik para analisar.
>>>>>>>> HTV5 novo, mesmo assim resetei ele de fabrica,
>>>>>>>> somente 2 programa instalei, um chamado braziltv que é onde vem os
>>>>>>>> canais, e outro chamado Cine que é tipo filmes lancamentos.
>>>>>>>> Nenhum programa de VPN nem conteudo adulto nada.
>>>>>>>> e mesmo assim o HTV ja iniciou mandando altos upload hehe,
>>>>>>>> Ficou ontem das 18:00(foi a hora que liguei ele) ate hoje as 
>>>>>>>> 04:23.
>>>>>>>> sim deixei ele ligado, mas observacao, ele esta ligado mas nao
>>>>>>>> estava rodando nenhum canal, somente na tele inicial do aparelho,
>>>>>>>> entao seja la o que for so de ele estar ligado sem estar aberto 
>>>>>>>> nada
>>>>>>>> ja é suficiente para ser usado para atacar outros.
>>>>>>>> No mikrotik desse teste Bloquiei todo trafego UDP exceto porta 23
>>>>>>>> vindo do ip do HTV e mandei pra uma lista os ips destinos,
>>>>>>>> os canais continuam funcionando o trafego continua sendo gerado
>>>>>>>> claro, mas pelo menos nao sai mais pra fora da rede.
>>>>>>>> Só fiz isso para um teste, nao apliquei na rede ainda nada. mas é
>>>>>>>> minha contribuição.
>>>>>>>>
>>>>>>>> Faixa de ataques ontem aqui foi
>>>>>>>> 74.91.113.215
>>>>>>>> 74.91.117.185
>>>>>>>> 74.91.121.178
>>>>>>>> 74.91.123.202
>>>>>>>> 74.91.125.208
>>>>>>>> 74.91.113.81
>>>>>>> Aproveitando monitora esse dispositivo pra ver se está saindo 
>>>>>>> conexão
>>>>>>> pra 6667/tcp (IRC) e pra quais IPs ele se conectou. Pode sair 
>>>>>>> algo daí.
>>>>>>>>
>>>>>>>> Em 26/06/2019 15:48, Wagner Bento escreveu:
>>>>>>>>> Boa tarde galera.
>>>>>>>>>
>>>>>>>>> Aqui começou novamente,.
>>>>>>>>>
>>>>>>>>> Mesmo destino (NFO Servers).
>>>>>>>>> IP e porta destino sempre mudando.
>>>>>>>>>
>>>>>>>>>
>>>>>>>>> Em qua, 26 de jun de 2019 às 13:42, Wagner Bento
>>>>>>>>> <wagner at seanet.com.br>
>>>>>>>>> escreveu:
>>>>>>>>>
>>>>>>>>>>
>>>>>>>>>> No caso nessas últimas ocorrências, o destino aqui também foi 
>>>>>>>>>> esse AS
>>>>>>>>>> mesmo, porém das últimas vezes aqui, também ocorreu em 
>>>>>>>>>> direção a AWS.
>>>>>>>>>> Marcelo Gondim, pegou mais alguma coisa? Nessa box aí tinha 
>>>>>>>>>> alguma
>>>>>>>>>> VPN
>>>>>>>>>> instalada? Pelo o que vejo, algumas até já vem com alguma
>>>>>>>>>> instalada. Pode
>>>>>>>>>> estar aí o furo.
>>>>>>>>>>
>>>>>>>>>> Em qua, 26 de jun de 2019 às 12:28, Marcelo Gondim <
>>>>>>>>>> gondim at linuxinfo.com.br> escreveu:
>>>>>>>>>>
>>>>>>>>>>> Em 26/06/2019 08:54, JUliano Raymundo escreveu:
>>>>>>>>>>>
>>>>>>>>>>>> Bom dia Douglas, pelo contrário, acredito que muitos colegas
>>>>>>>>>>>> sofram com
>>>>>>>>>>>> isso. Já observei aqui na lista relatos onde o pessoal 
>>>>>>>>>>>> chegou até
>>>>>>>>>>> bloquear
>>>>>>>>>>>> /24 para mitigar o ataque coordenado de DDoS oriundo dessas
>>>>>>>>>>>> IPTV. Aqui
>>>>>>>>>>> no
>>>>>>>>>>>> provedor estamos tratando IP por IP, mas acredito que logo
>>>>>>>>>>>> teremos que
>>>>>>>>>>>> bloquear /24 também. Seguidamente o CERTBR encaminha 
>>>>>>>>>>>> notificações
>>>>>>>>>>>> informando que estamos originando tais ataques. O 
>>>>>>>>>>>> interessante é
>>>>>>>>>>>> que
>>>>>>>>>>> está
>>>>>>>>>>>> sendo sempre o mesmo destino. Parece ser uma usina nuclear nos
>>>>>>>>>>>> estados
>>>>>>>>>>>> unidos. Se algum colega tiver alguma lista de IPS nos quais
>>>>>>>>>>>> essas IPTV
>>>>>>>>>>> se
>>>>>>>>>>>> conectam e puder compartilhar aqui na lista, seria de 
>>>>>>>>>>>> grande valia.
>>>>>>>>>>> Com a gente aqui os ataques foram todos direcionados à NFO 
>>>>>>>>>>> AS14586.
>>>>>>>>>>> Embora tenham o nome de "Nuclearfallout Enterprises" [1] tudo
>>>>>>>>>>> indica que
>>>>>>>>>>> tem a ver com servidores de jogos.
>>>>>>>>>>> https://www.nfoservers.com/
>>>>>>>>>>> O IP atacado faz parte do bloco 74.91.113.0/24
>>>>>>>>>>>> Em qua, 26 de jun de 2019 às 05:38, Douglas Fischer <
>>>>>>>>>>>> fischerdouglas at gmail.com> escreveu:
>>>>>>>>>>>>
>>>>>>>>>>>>> Levanta a mão aí quem tem uma rede com mais de 1000 
>>>>>>>>>>>>> clientes e
>>>>>>>>>>>>> não está
>>>>>>>>>>>>> sofrendo com isso...
>>>>>>>>>>>>> -- 
>
>
> -- 
> gter list    https://eng.registro.br/mailman/listinfo/gter


More information about the gter mailing list