[GTER] IPTV-PIRATA como origem de DoS

Fabio Soneca sonecafone at gmail.com
Fri Jun 28 14:34:52 -03 2019


Difícil explicar pro cliente que comprou a caixinha, plugou na internet e
ve sua tv "por assinatura" diariamente. Se enxer muito o saco capaz de que,
se tiver opção,  trocar de ISP haha. É complicado falar que o cliente usa
um equipamento ilegal, é uma afirmação forte.

Acredito que tenha que reclamar com o fabricante, assim como o amigo fez
anteriormente. Com a IoT cada vez mais presente estes problemas irao
aumentar. Cabe aos desenvolvedores protegerem seus produtos.

Em sex, 28 de jun de 2019 13:24, Fernando Frediani <fhfrediani at gmail.com>
escreveu:

> Olá Gondim e todos.
>
> Usando um pouco da quota de ingenuidade, acredito que para lidar com
> esse problema não vai existir uma única forma ou maneira definitiva.
> Antes de chegar a esse possível bloqueio temporário de uma conexão que
> comprovadamente gera problemas para o ISP e principalmente para redes de
> terceiros, cabe também um trabalho de educação do provedor para com os
> clientes.
>
> Por exemplo: uma parcela, talvez menor, dos clientes que compram esses
> equipamentos possivelmente não tem noção do tamanho da ilegalidade que
> estão cometendo e menos ainda que estão servindo como fonte para ataques
> de outras redes. Então um texto bem escrito distribuído e explicando de
> maneira clara e respeitosa com o cliente que a) esses equipamentos são
> ilegais sim b) que eles tem sido os responsáveis por muitos dos
> problemas de lentidão que o usuário reclama e acredita ser culpa do
> provedor c) convidando o usuário a não utilizar por algum tempo para
> comprovar ele mesmo (quem sabe isso o convença a parar de usar essa
> porcaria) d) avisando ele que se isso causar problemas maiores para o
> provedor ou para um terceiro a conexão do usuário poderá ser suspensa
> como medida preventiva e) alertando o usuário que além disso tudo ele
> estará sempre sujeito as penalidades previstas em lei relacionadas à
> pirataria de TV por assinatura (sim este último é mais difícil de
> comunicar mas se bem comunicado faz a pessoa pensar duas vezes em
> continuar utilizando).
>
> Claro que a efetividade de uma ação como essa não vai ser perto do
> ideal, mas me inclino a pensar que ajuda a convencer uma parcela dessas
> pessoas a deixar de usá-los sem ter que passar pelo stress de suspender
> uma conexão ou até mesmo o cancelamento de um contrato em último caso.
>
> E além de tudo isso vale sempre o que está sendo discutido aqui que é
> fazer algum trabalho de investigação próprio tentando descobrir
> endereços de C&C na tentativa de reduzir o tamanho do problema naqueles
> casos onde as pessoas continuem utilizando os equipamentos.
>
> Abraços
> Fernando Frediani
>
> On 28/06/2019 09:41, Marcelo Gondim wrote:
> > Nuno,
> >
> > Queria muito fazer isso, mas lhe faço a seguinte pergunta: você é dono
> > de algum ISP? Aqui nós identificamos, notificamos e bloqueamos
> > assinantes com esse tipo de problema. O problema é a proporção que
> > isso está tomando. Uma coisa é você fazer isso com 4 assinantes. Não
> > resolveu? Cancela, está em nosso contrato isso. Agora quando você tem
> > 200, 300, 400 clientes infectados. Você acha realmente que uma empresa
> > vai cancelar 400 contratos?
> >
> > Não concordo com bloqueios aos sites atacados porque isso não resolve
> > o problema. Hoje é a NFO, amanhã será o Zezinho da esquina. Ou a gente
> > resolve isso na origem do problema (agressor) ou na fonte (caixinha
> > IPTV do assinante). O melhor ao meu ver é que os equipamentos estejam
> > atualizados e não vulneráveis. Hoje a gente está falando dessas
> > caixas, amanhã pode ser outra coisa. IoT está aí pra ficar.
> >
> > Infelizmente 400 clientes infectados não é uma coisa que eu
> > simplesmente vá deixar de lado. Não posso perder os assinantes e
> > também não posso deixar que sejam fontes de ataques.
> >
> > Em 27/06/2019 20:55, Nuno Vieira escreveu:
> >> Completamente de acordo.
> >>
> >> Com essas teorias q estão prai a falar, por exemplo, se fosse na
> >> união europeia era processo ao ISP na boa por violação do RGPD / GPDR.
> >>
> >> A unica coisa que devem fazer é tendo meios de detetar o DDoS
> >> notificar o cliente e dar lhe nn horas para sanar o problema,
> >> juntando evidências do ataque (ex report do cert). Caso nao resolva,
> >> um shut na porta e pronto. Ataque mitigado na fonte.
> >>
> >> Parece me que o problema aqui é pessoas com excesso de tempo :) para
> >> “inventar”.
> >>
> >> Nuno Vieira
> >>
> >> No dia 27/06/2019, às 23:53, Alexandre Guimaraes
> >> <alexandre.fguimaraes at gmail.com> escreveu:
> >>
> >>> Esperae!!! Para!!!
> >>>
> >>> Qual a banda que vc vendeu? 100Mbps Up/Down?
> >>>
> >>> Então garanta a banda entregue e pronto. Se ele usa IPTV, CFTV,
> >>> PlayStation, Netflix, Torrent.... isso não interessa.
> >>>
> >>> A única coisa que vc precisa apontar quando vier uma reclamação do
> >>> CERT ou da justiça, eh informar o cliente e pronto.
> >>>
> >>> E pelo que sei, tem IPTV oficial sim, aonde os canais trabalham em
> >>> serviço privado.
> >>>
> >>> O problema que estou vendo aqui, é não ter a capacidade para atender
> >>> às demandas crescentes... sejam de ataques, bots, heavy users e
> >>> Netflix e afins....
> >>>
> >>> Alexandre
> >>>
> >>>> On 27 Jun 2019, at 19:12, Ederson Amboni <ederson at bsd.com.br> wrote:
> >>>>
> >>>> Tbm notei o ataque nesse mesmo horário
> >>>>
> >>>> Em qui, 27 de jun de 2019 19:06, Jonni Pianezzer
> >>>> <jhonnyp at deltaativa.com.br>
> >>>> escreveu:
> >>>>
> >>>>> agora as 15:30 varios clientes comecaram a bombardear de ataque
> >>>>> novamente. upload de 10 a 12 mb.
> >>>>>
> >>>>> Marcelo, voce disse que o antivirus pegou, mas ele consegue remover?
> >>>>>
> >>>>>
> >>>>> Em 27/06/2019 15:21, Marcelo Gondim escreveu:
> >>>>>> Olá pessoal,
> >>>>>>
> >>>>>> Estamos pegando diversos trojans nessas caixas hTV com o antivírus
> >>>>>> ESET. Aqui [1] uma imagem pra vocês verem. Numa mesma caixa 9
> >>>>>> trojans!
> >>>>>>
> >>>>>> [1] https://uploaddeimagens.com.br/imagens/htv-jpg
> >>>>>>
> >>>>>> Em 27/06/2019 11:52, Marcelo Gondim escreveu:
> >>>>>>> Em 27/06/2019 08:45, Jonni Pianezzer escreveu:
> >>>>>>>
> >>>>>>>> Vamos La, como precisamos testar isso nao teve outro jeito.
> >>>>>>>> Sim eu odeio esses Aparelhos igual a todos aqui da lista
> >>>>>>>>
> >>>>>>>> Coloquei um HTV5 atras de uma Mikrotik para analisar.
> >>>>>>>> HTV5 novo, mesmo assim resetei ele de fabrica,
> >>>>>>>> somente 2 programa instalei, um chamado braziltv que é onde vem os
> >>>>>>>> canais, e outro chamado Cine que é tipo filmes lancamentos.
> >>>>>>>> Nenhum programa de VPN nem conteudo adulto nada.
> >>>>>>>> e mesmo assim o HTV ja iniciou mandando altos upload hehe,
> >>>>>>>> Ficou ontem das 18:00(foi a hora que liguei ele) ate hoje as
> >>>>>>>> 04:23.
> >>>>>>>> sim deixei ele ligado, mas observacao, ele esta ligado mas nao
> >>>>>>>> estava rodando nenhum canal, somente na tele inicial do aparelho,
> >>>>>>>> entao seja la o que for so de ele estar ligado sem estar aberto
> >>>>>>>> nada
> >>>>>>>> ja é suficiente para ser usado para atacar outros.
> >>>>>>>> No mikrotik desse teste Bloquiei todo trafego UDP exceto porta 23
> >>>>>>>> vindo do ip do HTV e mandei pra uma lista os ips destinos,
> >>>>>>>> os canais continuam funcionando o trafego continua sendo gerado
> >>>>>>>> claro, mas pelo menos nao sai mais pra fora da rede.
> >>>>>>>> Só fiz isso para um teste, nao apliquei na rede ainda nada. mas é
> >>>>>>>> minha contribuição.
> >>>>>>>>
> >>>>>>>> Faixa de ataques ontem aqui foi
> >>>>>>>> 74.91.113.215
> >>>>>>>> 74.91.117.185
> >>>>>>>> 74.91.121.178
> >>>>>>>> 74.91.123.202
> >>>>>>>> 74.91.125.208
> >>>>>>>> 74.91.113.81
> >>>>>>> Aproveitando monitora esse dispositivo pra ver se está saindo
> >>>>>>> conexão
> >>>>>>> pra 6667/tcp (IRC) e pra quais IPs ele se conectou. Pode sair
> >>>>>>> algo daí.
> >>>>>>>>
> >>>>>>>> Em 26/06/2019 15:48, Wagner Bento escreveu:
> >>>>>>>>> Boa tarde galera.
> >>>>>>>>>
> >>>>>>>>> Aqui começou novamente,.
> >>>>>>>>>
> >>>>>>>>> Mesmo destino (NFO Servers).
> >>>>>>>>> IP e porta destino sempre mudando.
> >>>>>>>>>
> >>>>>>>>>
> >>>>>>>>> Em qua, 26 de jun de 2019 às 13:42, Wagner Bento
> >>>>>>>>> <wagner at seanet.com.br>
> >>>>>>>>> escreveu:
> >>>>>>>>>
> >>>>>>>>>>
> >>>>>>>>>> No caso nessas últimas ocorrências, o destino aqui também foi
> >>>>>>>>>> esse AS
> >>>>>>>>>> mesmo, porém das últimas vezes aqui, também ocorreu em
> >>>>>>>>>> direção a AWS.
> >>>>>>>>>> Marcelo Gondim, pegou mais alguma coisa? Nessa box aí tinha
> >>>>>>>>>> alguma
> >>>>>>>>>> VPN
> >>>>>>>>>> instalada? Pelo o que vejo, algumas até já vem com alguma
> >>>>>>>>>> instalada. Pode
> >>>>>>>>>> estar aí o furo.
> >>>>>>>>>>
> >>>>>>>>>> Em qua, 26 de jun de 2019 às 12:28, Marcelo Gondim <
> >>>>>>>>>> gondim at linuxinfo.com.br> escreveu:
> >>>>>>>>>>
> >>>>>>>>>>> Em 26/06/2019 08:54, JUliano Raymundo escreveu:
> >>>>>>>>>>>
> >>>>>>>>>>>> Bom dia Douglas, pelo contrário, acredito que muitos colegas
> >>>>>>>>>>>> sofram com
> >>>>>>>>>>>> isso. Já observei aqui na lista relatos onde o pessoal
> >>>>>>>>>>>> chegou até
> >>>>>>>>>>> bloquear
> >>>>>>>>>>>> /24 para mitigar o ataque coordenado de DDoS oriundo dessas
> >>>>>>>>>>>> IPTV. Aqui
> >>>>>>>>>>> no
> >>>>>>>>>>>> provedor estamos tratando IP por IP, mas acredito que logo
> >>>>>>>>>>>> teremos que
> >>>>>>>>>>>> bloquear /24 também. Seguidamente o CERTBR encaminha
> >>>>>>>>>>>> notificações
> >>>>>>>>>>>> informando que estamos originando tais ataques. O
> >>>>>>>>>>>> interessante é
> >>>>>>>>>>>> que
> >>>>>>>>>>> está
> >>>>>>>>>>>> sendo sempre o mesmo destino. Parece ser uma usina nuclear nos
> >>>>>>>>>>>> estados
> >>>>>>>>>>>> unidos. Se algum colega tiver alguma lista de IPS nos quais
> >>>>>>>>>>>> essas IPTV
> >>>>>>>>>>> se
> >>>>>>>>>>>> conectam e puder compartilhar aqui na lista, seria de
> >>>>>>>>>>>> grande valia.
> >>>>>>>>>>> Com a gente aqui os ataques foram todos direcionados à NFO
> >>>>>>>>>>> AS14586.
> >>>>>>>>>>> Embora tenham o nome de "Nuclearfallout Enterprises" [1] tudo
> >>>>>>>>>>> indica que
> >>>>>>>>>>> tem a ver com servidores de jogos.
> >>>>>>>>>>> https://www.nfoservers.com/
> >>>>>>>>>>> O IP atacado faz parte do bloco 74.91.113.0/24
> >>>>>>>>>>>> Em qua, 26 de jun de 2019 às 05:38, Douglas Fischer <
> >>>>>>>>>>>> fischerdouglas at gmail.com> escreveu:
> >>>>>>>>>>>>
> >>>>>>>>>>>>> Levanta a mão aí quem tem uma rede com mais de 1000
> >>>>>>>>>>>>> clientes e
> >>>>>>>>>>>>> não está
> >>>>>>>>>>>>> sofrendo com isso...
> >>>>>>>>>>>>> --
> >
> >
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>


More information about the gter mailing list