[GTER] IPTV-PIRATA como origem de DoS

Roberto Alcântara roberto at eletronica.org
Fri Jun 28 14:01:00 -03 2019 

Não uso e não aconselho ninguém a usar. Dito isso:

maneira clara e respeitosa com o cliente que a) esses equipamentos são

> ilegais sim


Qual a infração penal? Possui jurisprudencia?  Até onde eu sei o "roubo de
tv a cabo" permanece com entendimento divergente entre STJ e SFT, pois são
equiparadas ao furto de energia e daí é uma novela. Como não tem contrato
com operadora para ser infringido civilmente aqui, na situação jurídica é
só uma confusão. Não sei se dá pra afirmar que o IPTV de canais pagos é
crime:  o equipamento em si certamente não, assim como certamente não o seu
uso para assistir canais públicos de IPTV.


> b) que eles tem sido os responsáveis por muitos dos
> problemas de lentidão que o usuário reclama e acredita ser culpa do
> provedor


Dificil de generalizar dessa forma... Podem ter muitos outros problemas que
são do provedor e causam lentidão, precisa investigar individualmente p/
esse tipo de afirmação.


> c) convidando o usuário a não utilizar por algum tempo para
> comprovar ele mesmo (quem sabe isso o convença a parar de usar essa
> porcaria)


Isso seria uma boa ideia - se o item (b) for verdadeiro no caso dele,
espera-se uma melhoria caso estejamos trabalhando nos limites da banda
contratada. Se o (b) não for o caso ou não estiver no limite da banda,
provavelmente ele não percebe e aí perde credibilidade.



> d) avisando ele que se isso causar problemas maiores para o
> provedor ou para um terceiro a conexão do usuário poderá ser suspensa
> como medida preventiva


Se tem previsão contratual, nada contra informar. Mas não consigo ver como
usar a banda contratada (a despeito de ser toda ela, eventualmente) possa
ser alegado, pelo provedor, como "dano" que justifique medida de desconexão
do usuário.  Para um terceiro é mais difícil ainda...  Precisa ver o
contrato direitinho.


> e) alertando o usuário que além disso tudo ele
> estará sempre sujeito as penalidades previstas em lei relacionadas à
> pirataria de TV por assinatura (sim este último é mais difícil de
> comunicar mas se bem comunicado faz a pessoa pensar duas vezes em
> continuar utilizando).
>

Vide item (a).

Acho que o mais efetivo nesse tipo de coisa é apelar para os riscos de
segurança da rede interna do usuário.  Se ele começa a se preocupar se os
acessos que ele faz de outros dispositivos podem ser comprometidos por
ataques na rede local (e aqui podemos listar uma série que vão desde arp
spoofing até comprometimento de dns e pishing), que os acessos aos bancos,
redes sociais, cameras de segurança etc. etc podem ficar vulneráveis, é
mais fácil ele resolver parar de usar (ainda acho difícil).  Alegar que vai
prejudicar outrem, sem objetividade, acho que faz muito pouca difereça para
o brasileiro médio.

Já bloquear os C&C da rede é uma medida interessante - mas que não tem fim,
é gato e rato.  Precisa pesar bem o custo x benefício disso na operação.

abs
 - Roberto


> Abraços
> Fernando Frediani
>
> On 28/06/2019 09:41, Marcelo Gondim wrote:
> > Nuno,
> >
> > Queria muito fazer isso, mas lhe faço a seguinte pergunta: você é dono
> > de algum ISP? Aqui nós identificamos, notificamos e bloqueamos
> > assinantes com esse tipo de problema. O problema é a proporção que
> > isso está tomando. Uma coisa é você fazer isso com 4 assinantes. Não
> > resolveu? Cancela, está em nosso contrato isso. Agora quando você tem
> > 200, 300, 400 clientes infectados. Você acha realmente que uma empresa
> > vai cancelar 400 contratos?
> >
> > Não concordo com bloqueios aos sites atacados porque isso não resolve
> > o problema. Hoje é a NFO, amanhã será o Zezinho da esquina. Ou a gente
> > resolve isso na origem do problema (agressor) ou na fonte (caixinha
> > IPTV do assinante). O melhor ao meu ver é que os equipamentos estejam
> > atualizados e não vulneráveis. Hoje a gente está falando dessas
> > caixas, amanhã pode ser outra coisa. IoT está aí pra ficar.
> >
> > Infelizmente 400 clientes infectados não é uma coisa que eu
> > simplesmente vá deixar de lado. Não posso perder os assinantes e
> > também não posso deixar que sejam fontes de ataques.
> >
> > Em 27/06/2019 20:55, Nuno Vieira escreveu:
> >> Completamente de acordo.
> >>
> >> Com essas teorias q estão prai a falar, por exemplo, se fosse na
> >> união europeia era processo ao ISP na boa por violação do RGPD / GPDR.
> >>
> >> A unica coisa que devem fazer é tendo meios de detetar o DDoS
> >> notificar o cliente e dar lhe nn horas para sanar o problema,
> >> juntando evidências do ataque (ex report do cert). Caso nao resolva,
> >> um shut na porta e pronto. Ataque mitigado na fonte.
> >>
> >> Parece me que o problema aqui é pessoas com excesso de tempo :) para
> >> “inventar”.
> >>
> >> Nuno Vieira
> >>
> >> No dia 27/06/2019, às 23:53, Alexandre Guimaraes
> >> <alexandre.fguimaraes at gmail.com> escreveu:
> >>
> >>> Esperae!!! Para!!!
> >>>
> >>> Qual a banda que vc vendeu? 100Mbps Up/Down?
> >>>
> >>> Então garanta a banda entregue e pronto. Se ele usa IPTV, CFTV,
> >>> PlayStation, Netflix, Torrent.... isso não interessa.
> >>>
> >>> A única coisa que vc precisa apontar quando vier uma reclamação do
> >>> CERT ou da justiça, eh informar o cliente e pronto.
> >>>
> >>> E pelo que sei, tem IPTV oficial sim, aonde os canais trabalham em
> >>> serviço privado.
> >>>
> >>> O problema que estou vendo aqui, é não ter a capacidade para atender
> >>> às demandas crescentes... sejam de ataques, bots, heavy users e
> >>> Netflix e afins....
> >>>
> >>> Alexandre
> >>>
> >>>> On 27 Jun 2019, at 19:12, Ederson Amboni <ederson at bsd.com.br> wrote:
> >>>>
> >>>> Tbm notei o ataque nesse mesmo horário
> >>>>
> >>>> Em qui, 27 de jun de 2019 19:06, Jonni Pianezzer
> >>>> <jhonnyp at deltaativa.com.br>
> >>>> escreveu:
> >>>>
> >>>>> agora as 15:30 varios clientes comecaram a bombardear de ataque
> >>>>> novamente. upload de 10 a 12 mb.
> >>>>>
> >>>>> Marcelo, voce disse que o antivirus pegou, mas ele consegue remover?
> >>>>>
> >>>>>
> >>>>> Em 27/06/2019 15:21, Marcelo Gondim escreveu:
> >>>>>> Olá pessoal,
> >>>>>>
> >>>>>> Estamos pegando diversos trojans nessas caixas hTV com o antivírus
> >>>>>> ESET. Aqui [1] uma imagem pra vocês verem. Numa mesma caixa 9
> >>>>>> trojans!
> >>>>>>
> >>>>>> [1] https://uploaddeimagens.com.br/imagens/htv-jpg
> >>>>>>
> >>>>>> Em 27/06/2019 11:52, Marcelo Gondim escreveu:
> >>>>>>> Em 27/06/2019 08:45, Jonni Pianezzer escreveu:
> >>>>>>>
> >>>>>>>> Vamos La, como precisamos testar isso nao teve outro jeito.
> >>>>>>>> Sim eu odeio esses Aparelhos igual a todos aqui da lista
> >>>>>>>>
> >>>>>>>> Coloquei um HTV5 atras de uma Mikrotik para analisar.
> >>>>>>>> HTV5 novo, mesmo assim resetei ele de fabrica,
> >>>>>>>> somente 2 programa instalei, um chamado braziltv que é onde vem os
> >>>>>>>> canais, e outro chamado Cine que é tipo filmes lancamentos.
> >>>>>>>> Nenhum programa de VPN nem conteudo adulto nada.
> >>>>>>>> e mesmo assim o HTV ja iniciou mandando altos upload hehe,
> >>>>>>>> Ficou ontem das 18:00(foi a hora que liguei ele) ate hoje as
> >>>>>>>> 04:23.
> >>>>>>>> sim deixei ele ligado, mas observacao, ele esta ligado mas nao
> >>>>>>>> estava rodando nenhum canal, somente na tele inicial do aparelho,
> >>>>>>>> entao seja la o que for so de ele estar ligado sem estar aberto
> >>>>>>>> nada
> >>>>>>>> ja é suficiente para ser usado para atacar outros.
> >>>>>>>> No mikrotik desse teste Bloquiei todo trafego UDP exceto porta 23
> >>>>>>>> vindo do ip do HTV e mandei pra uma lista os ips destinos,
> >>>>>>>> os canais continuam funcionando o trafego continua sendo gerado
> >>>>>>>> claro, mas pelo menos nao sai mais pra fora da rede.
> >>>>>>>> Só fiz isso para um teste, nao apliquei na rede ainda nada. mas é
> >>>>>>>> minha contribuição.
> >>>>>>>>
> >>>>>>>> Faixa de ataques ontem aqui foi
> >>>>>>>> 74.91.113.215
> >>>>>>>> 74.91.117.185
> >>>>>>>> 74.91.121.178
> >>>>>>>> 74.91.123.202
> >>>>>>>> 74.91.125.208
> >>>>>>>> 74.91.113.81
> >>>>>>> Aproveitando monitora esse dispositivo pra ver se está saindo
> >>>>>>> conexão
> >>>>>>> pra 6667/tcp (IRC) e pra quais IPs ele se conectou. Pode sair
> >>>>>>> algo daí.
> >>>>>>>>
> >>>>>>>> Em 26/06/2019 15:48, Wagner Bento escreveu:
> >>>>>>>>> Boa tarde galera.
> >>>>>>>>>
> >>>>>>>>> Aqui começou novamente,.
> >>>>>>>>>
> >>>>>>>>> Mesmo destino (NFO Servers).
> >>>>>>>>> IP e porta destino sempre mudando.
> >>>>>>>>>
> >>>>>>>>>
> >>>>>>>>> Em qua, 26 de jun de 2019 às 13:42, Wagner Bento
> >>>>>>>>> <wagner at seanet.com.br>
> >>>>>>>>> escreveu:
> >>>>>>>>>
> >>>>>>>>>>
> >>>>>>>>>> No caso nessas últimas ocorrências, o destino aqui também foi
> >>>>>>>>>> esse AS
> >>>>>>>>>> mesmo, porém das últimas vezes aqui, também ocorreu em
> >>>>>>>>>> direção a AWS.
> >>>>>>>>>> Marcelo Gondim, pegou mais alguma coisa? Nessa box aí tinha
> >>>>>>>>>> alguma
> >>>>>>>>>> VPN
> >>>>>>>>>> instalada? Pelo o que vejo, algumas até já vem com alguma
> >>>>>>>>>> instalada. Pode
> >>>>>>>>>> estar aí o furo.
> >>>>>>>>>>
> >>>>>>>>>> Em qua, 26 de jun de 2019 às 12:28, Marcelo Gondim <
> >>>>>>>>>> gondim at linuxinfo.com.br> escreveu:
> >>>>>>>>>>
> >>>>>>>>>>> Em 26/06/2019 08:54, JUliano Raymundo escreveu:
> >>>>>>>>>>>
> >>>>>>>>>>>> Bom dia Douglas, pelo contrário, acredito que muitos colegas
> >>>>>>>>>>>> sofram com
> >>>>>>>>>>>> isso. Já observei aqui na lista relatos onde o pessoal
> >>>>>>>>>>>> chegou até
> >>>>>>>>>>> bloquear
> >>>>>>>>>>>> /24 para mitigar o ataque coordenado de DDoS oriundo dessas
> >>>>>>>>>>>> IPTV. Aqui
> >>>>>>>>>>> no
> >>>>>>>>>>>> provedor estamos tratando IP por IP, mas acredito que logo
> >>>>>>>>>>>> teremos que
> >>>>>>>>>>>> bloquear /24 também. Seguidamente o CERTBR encaminha
> >>>>>>>>>>>> notificações
> >>>>>>>>>>>> informando que estamos originando tais ataques. O
> >>>>>>>>>>>> interessante é
> >>>>>>>>>>>> que
> >>>>>>>>>>> está
> >>>>>>>>>>>> sendo sempre o mesmo destino. Parece ser uma usina nuclear nos
> >>>>>>>>>>>> estados
> >>>>>>>>>>>> unidos. Se algum colega tiver alguma lista de IPS nos quais
> >>>>>>>>>>>> essas IPTV
> >>>>>>>>>>> se
> >>>>>>>>>>>> conectam e puder compartilhar aqui na lista, seria de
> >>>>>>>>>>>> grande valia.
> >>>>>>>>>>> Com a gente aqui os ataques foram todos direcionados à NFO
> >>>>>>>>>>> AS14586.
> >>>>>>>>>>> Embora tenham o nome de "Nuclearfallout Enterprises" [1] tudo
> >>>>>>>>>>> indica que
> >>>>>>>>>>> tem a ver com servidores de jogos.
> >>>>>>>>>>> https://www.nfoservers.com/
> >>>>>>>>>>> O IP atacado faz parte do bloco 74.91.113.0/24
> >>>>>>>>>>>> Em qua, 26 de jun de 2019 às 05:38, Douglas Fischer <
> >>>>>>>>>>>> fischerdouglas at gmail.com> escreveu:
> >>>>>>>>>>>>
> >>>>>>>>>>>>> Levanta a mão aí quem tem uma rede com mais de 1000
> >>>>>>>>>>>>> clientes e
> >>>>>>>>>>>>> não está
> >>>>>>>>>>>>> sofrendo com isso...
> >>>>>>>>>>>>> --
> >
> >
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>

More information about the gter mailing list