[ Update - 2011/06/22 13:50 ]
Em nota, o SERPRO indica que a hipótese II abaixo é a mais próxima da realidade:
"O Serpro (Serviço de Processamento de Dados) detectou nesta madrugada, entre 0h30 e 3h, uma tentativa de ataque de robôs eletrônicos aos sites Presidência da República; Portal Brasil e Receita Federal. O sistema de segurança do Serpro, onde estes portais estão hospedados, bloqueou todas as ação dos hackers, o que levou ao congestionamento das redes, deixando os sites indisponíveis durante cerca de uma hora"
No momento ainda há instabilidade e lentidão no acesso aos sites http://www.brasil.gov.br e http://www.presidencia.gov.br
O site da Petrobras foi também atacado mas ficou indisponível por poucos minutos no dia de hoje.
[ Update - 2011/06/22 02:22]
Mais uma vez sites da Presidência da República são alvos ataques de Negação de Serviço. Desta vez o grupo @LulzSecBrazil assumiu a responsabilidade pelo ataque, nestes tweets:
LulzSecBrazil: @AnonymousGenie @YourAnonNews TANGO DOWN brasil.gov.br & presidencia.gov.br LulzSecBrazilOs sites http://www.brasil.gov.br e http://www.presidencia.gov.br estavam mesmo indisponíveis durante esta madrugada, e curiosamente os demais sites na mesma classe-C (161.148.172/24) estão respondendo normalmente (ex: http://161.148.172.185/). A partir disto, imagino algumas hipóteses - por ordem de probabilidade:
I) Como ambos sites rodam Apache - segundo a NetCraft - podem estar sob ataque de DoS do tipo Slowloris (abertura e manutenção da conexão através de envios sequenciais de cabeçalhos HTTP por longos períodos até inviabilizar novas conexões ao serviço) - neste caso mitigações são possíveis com o modsecurity, por exemplo.
II) um ataque tradicional de DDoS (Loic/Botnet) ocorreu e algum filtro de ACL em roteador ou regra de firewall pode ter sido criado a alguns hops destes dois IPs até que perguntas sejam respondidas (ver abaixo) e uma solução mais definitiva seja encontrada.
III) o ataque direcionado aos servidores - que não estão conseguindo responder ás conexões - não afetaram o restante da infra-estrutura (roteadores, firewalls, balanceadores, demais webservers up, etc..)
Além da tráfego de rede dos uplinks, obviamente deve-se analisar o efeito do ataque no alvo afetado, a partir dos registros de roteadores, servidores web e firewalls disponíveis.
Entre as perguntas a responder neste momento - por quem tem acesso aos dados para uma Resposta a Incidentes adequada: (lista rápida a ser editada com auxílio dos comentários dos Senhores):
1) que dispositivo(s) falhou(aram), afinal?
2) que serviços foram afetados?
3) Se trata de DoS ou DDoS?
4.1) Qual foi o troughput (Gpbs) e número de pacotes por segundo (PPS) durante ataque?
4.2) No pico? Em média durante a indisponibilidade?
5.1) Há spoofing de IP?
5.2) Configurações de ingress filtering da sua infraestrutura e em seus uplinks estão adequadas?
6.1) Caso quem falhou, resista - os próximos da cadeia falhariam? (ex: roteador->firewall->balanceador de carga->servidor web)
6.2) Quais configurações anti-ddos podem ser feitas nestes dispositivos?
7) Serão necessários novos dispositivos ou serviços especializados em mitigação de DDoS? (Arbor, VeriSign, Narus, etc..)
8) Vale a pena mover sua home page para outra estrutura menos vulnerável a negação de serviço? (até mesmo na nuvem: Akamai ou Amazon Elastic Computing Cloud)
Como resultado da análise destes pontos, pode-se chegar a respostas mais apropriadas. Normalmente a mitigação deste tipo de ataque se inicia em uma análise que envolve a equipe de Redes e de Resposta a Incidente dos alvos, além dos times de segurança de backbone dos uplinks - no caso em pauta, a Oi (AS 8167 e AS 7723) e a Telefônica (AS 10429).
Depois da identificação da(s) origem(ns) reais, o ideal é que se consiga configurar um "Black Hole" para o tráfego indesejado: Entre outras ações, isto normalmente envolve configurações para roteamento nulos (null0) e redirecionamento de origens do ataque identificadas com uRPF.
Outras ações estão sendo executadas pelo grupo LulzSecBrazil, inclusive o defacement de páginas (até agora, nenhuma do governo - mas a atenção deve estar redobrada já que os interessados em se juntar ao grupo estão sendo recrutados em toda a parte).
Pulando do técnico para o Jurídico: do ponto de vista da responsabilização dos atacantes - retomo material já apresentamos aqui em post conjunto com o Dr. Emerson Wendt:
"Pode haver configuração de crime de dano, previsto no art. 163 do Código Penal Brasileiro:
Dano
Art. 163 - Destruir, inutilizar ou deteriorar coisa alheia:
Art. 163 - Destruir, inutilizar ou deteriorar coisa alheia:
Pena - detenção, de um a seis meses, ou multa.
Dano qualificado
Parágrafo único - Se o crime é cometido:
I - com violência à pessoa ou grave ameaça;
II - com emprego de substância inflamável ou explosiva, se o fato não constitui crime mais grave;
III - contra o patrimônio da União, Estado, Município, empresa concessionária de serviços públicos ou sociedade de economia mista;
IV - por motivo egoístico ou com prejuízo considerável para a vítima: Pena - - detenção, de seis meses a três anos, e multa, além da pena correspondente à violência.
Veja a nova redação do Artigo 163, prevista no Projeto de Lei 84/99 - que deve - finalmente?! - ser votado este ano:
Ademais, o PL 84/99 prevê outro artigo interessante, no qual pode ser enquadrado o caso em questão:Art. 163. Destruir, inutilizar ou deteriorar coisa alheia ou dado eletrônico alheio:
“Inserção ou difusão de código malicioso”Art. 163-A. Inserir ou difundir código malicioso em dispositivo de comunicação, rede de computadores, ou sistema informatizado.Pena – reclusão, de 1 (um) a 3 (três) anos, e multa.Inserção ou difusão de código malicioso seguido de dano§ 1º Produzir intencionalmente ou vender código malicioso destinado ao uso em dispositivo de comunicação, rede de computadores ou sistema informatizado.Pena – reclusão de 1 (um) a 3 (três) anos, e multa§ 2º Se do crime resulta destruição, inutilização, deterioração, alteração, dificultação do funcionamento, ou funcionamento desautorizado pelo legítimo titular, de dispositivo de comunicação, de rede de computadores, ou de sistema informatizado:Pena – reclusão, de 2 (dois) a 4 (quatro) anos, e multa.§ 3º Se o agente se vale de nome falso ou da utilização de identidade de terceiros para a prática do crime, a pena é aumentada de sexta parte
Enquanto isto, no exterior, a recente prisão de um rapaz de 19 anos na Inglaterra por envolvimento com o grupo gera discussão se ele era apenas admin de um canal de IRC ou tinha uma importância maior.. A polícia ainda tenta descobrir..) Além disto, é crescente a divulgação de dados dos participantes do grupo (por eles mesmos: http://pastebin.com/MBEsm5XQ e por inimigos: http://lulzsecexposed.blogspot.com).
E você, o que você acha do movimento #AntiSec? Acha que há exageros? Ou não? Acha que o grupo vai ficar mais forte e numeroso? Novas prisões ocorrerão lá fora e aqui no Brasil? E sobre os ataques do LulzSec? Dê a sua opinião! Comente!
Posts Relacionados:
- As Ações Anti-Anti-Wikileaks (DDoS) e a legislação penal brasileira
- Anti-Anti-Wikileaks e seus efeitos
- O Anchises fez um bom apanhado sobre a "Operação AntiSec" e links para outros blogs sobre o assunto, neste post.
[ Post Original - 2011/01/03 ]
- Terra - Após posse, sites da Presidência e do governo sofrem ataques
- Folha - Após posse de Dilma, site da Presidência sofre ataque e fica fora do ar
- Info Abril - Ataques deixam site da Presidência fora do ar
- UOL - Grupo assume autoria de ataque ao site da presidencia
- The Washington Post - Hackers attack Brazilian government's website
Uma conta do twitter (@fatalerrorcrew) que é utilizada por um grupo de defacement - ou desfiguração de sites - (lista de ataques no zone-h) brasileiro está assumindo a responsabilidade pelo ataque e infelizmente suas ações recebem apoio de alguns usuários do serviço online.
[ Update 2010/01/05 - o UOL divulgou um entrevista com os crackers responsáveis pelos ataques - Grupo que atacou site da presidência nega motivação política e não teme punição ]
Como o SERPRO e o DSIC/CTIR possuem excelentes recursos e analistas, independente da motivação (publicidade, política, etc.) os autores certamente serão identificados e pode configurar-se - minimamente - crime de dano, conforme Artigo 163 do Código Penal brasileiro (como já publicamos aqui no caso dos ataques de DDOS "Anti-Anti-Wikileaks" em post conjunto com o Dr. Emerson Wendt):
Os detalhes técnicos do ataque ainda não foram publicados, mas pode-se imaginar quatro possíveis vetores:
Inscreva-se no RSS Feed e receba atualizações automáticas
Como o SERPRO e o DSIC/CTIR possuem excelentes recursos e analistas, independente da motivação (publicidade, política, etc.) os autores certamente serão identificados e pode configurar-se - minimamente - crime de dano, conforme Artigo 163 do Código Penal brasileiro (como já publicamos aqui no caso dos ataques de DDOS "Anti-Anti-Wikileaks" em post conjunto com o Dr. Emerson Wendt):
Veja a nova redação do Artigo 163, prevista no Projeto de Lei 84/99 - que deve - finalmente - ser votado este ano:Dano
Art. 163 - Destruir, inutilizar ou deteriorar coisa alheia:Pena - detenção, de um a seis meses, ou multa.Dano qualificadoParágrafo único - Se o crime é cometido:I - com violência à pessoa ou grave ameaça;II - com emprego de substância inflamável ou explosiva, se o fato não constitui crime mais grave;III - contra o patrimônio da União, Estado, Município, empresa concessionária de serviços públicos ou sociedade de economia mista;IV - por motivo egoístico ou com prejuízo considerável para a vítima:Pena - detenção, de seis meses a três anos, e multa, além da pena correspondente à violência.
Ademais, o PL 84/99 prevê outro artigo interessante, no qual pode ser enquadrado o caso em questão:Art. 163. Destruir, inutilizar ou deteriorar coisa alheia ou dado eletrônico alheio:
“Inserção ou difusão de código malicioso”Art. 163-A. Inserir ou difundir código malicioso em dispositivo de comunicação, rede de computadores, ou sistema informatizado.Pena – reclusão, de 1 (um) a 3 (três) anos, e multa.Inserção ou difusão de código malicioso seguido de dano§ 1º Produzir intencionalmente ou vender código malicioso destinado ao uso em dispositivo de comunicação, rede de computadores ou sistema informatizado.Pena – reclusão de 1 (um) a 3 (três) anos, e multa§ 2º Se do crime resulta destruição, inutilização, deterioração, alteração, dificultação do funcionamento, ou funcionamento desautorizado pelo legítimo titular, de dispositivo de comunicação, de rede de computadores, ou de sistema informatizado:Pena – reclusão, de 2 (dois) a 4 (quatro) anos, e multa.§ 3º Se o agente se vale de nome falso ou da utilização de identidade de terceiros para a prática do crime, a pena é aumentada de sexta parte.
O site da presidência usava desde o início do ano o Squid como proxy reverso no IP 161.148.24.14 (http://toolbar.netcraft.com/site_report?url=http://www.presidencia.gov.br) e desde o dia dos ataques passou a ter o seguinte banner HTTP (respondendo pelo IP: 161.148.172.40):
Apache/2.2.3 (Red Hat) Server at www.presidencia.gov.br Port 80
É possível que o Squid como proxy reverso tenha sido removido para diminuir os possíveis pontos de falha diante dos ataques.
- ataques "slow-dos" como o Slowloris para apache;
- utilização (ou sub-locação) de botnets;
- utilização de ferramentas como a LOIC;
- abuso de DNS Recursivos abertos;
- Para o Slowloris (1) - o módulo para apache "ModSecurity" recentemente fez uma atualização para se defender deste tipo de ataque.
- Para os ataques de botnets numerosas (2,3) (voluntárias como LOIC ou não), recomendo as soluções Anti-DDOS da Arbor NetWorks, como o PeakFlow SP
- Se o caso for de abuso de DNS Recursivos abertos, recomendo um paper do CERT.BR que tive o prazer de revisar em 2007: Recomendações para Evitar o Abuso de Servidores DNS Recursivos Abertos (pdf atualizado em 2009)
Vale a pena também conferir o seguinte material:
- Five Ways to defend against a DDOS attack (bandwidth, geoblocking, cloud, reverse proxy, choose neighbours)
- Tudo que você precisa saber sobre os ataques DDoS CAIS/RNP via @giseletruzzi (um pouco desatualizado..)
Uma lamentável reação a este incidentes são usuários do Twitter apoiando os ataques abertamente.
Providências poderão ser tomadas pela PGR, assim como no incidente de ameaças à presidente eleita feitas recentemente pelo Twitter.
Não podemos permitir que a Internet brasileira seja uma terra sem lei, e na minha opinião este tipo de acontecimento deve ser combatido com veemência pelas autoridades competentes.
Inscreva-se no RSS Feed e receba atualizações automáticas[ Update - 2011/01/04 ]
Mais um ataque de DDOS em sites do governo notificado pela mídia:
O site da prefeitura de SP (http://prefeitura.sp.gov.br) também está sendo afetado por um ataque de DDOS, e está inacessível neste momento (IP 189.20.216.167). Segundo a netcraft, seu banner é o seguinte:
Apache/2.2.9 (Debian) PHP/5.2.6-1+lenny9 with Suhosin-Patch proxy_html/3.0.0
Como forma eficiente de mitigação - por volta do meio dia - o site da prefeitura de Sp passou a redirecionar os acessos para "capital.sp.gov.br" como pode ser visto no código abaixo:
META http-equiv="refresh" content="0;URL=http://www.capital.sp.gov.br
Desta vez o grupo que assumiu a responsabilidade pela "ação de hacktivismo" foi o drwxr - que alega estar fazendo um protesto: "Pelo aumento abusivo do transporte público na cidade de São Paulo, estamos protestando - o site www.prefeitura.sp.gov.br encontra-se fora do ar" - segundo o atacante "ploks" entrevistado pelo Terra.
É digno de nota a cobertura dada a estes eventos pela mídia brasileira, inclusive com alguns exageros como o excessivo destaque e quase heroificação (como nos casos dos apoiadores de mídias sociais) dos atacantes em alguns casos.
Todas as observações legais e de possíveis vetores de ataque apresentadas no caso abaixo também se aplicam a este caso. Este tipo de "hacktivismo" é miope e criminoso por interferir com serviços prestados pelo estado à população pela internet.
vai da nada,para o fatal error,todos eles são de menores de 18 :D
ReplyDeleteSandro,
ReplyDeleteMuitos esquecem que, se necessário, todos podem ser identificados e a não detecção deste influiria muito mais do que simples deleção de logs nos servidores envolvidos.
Esquecem dos logs no twitter de acesso a conta ?
Basta empenho das forças. E pelo pouco que conheço e tenho trabalhado com equipe do CTIR, farão sim uma investigação sobre o caso.
Como sempre o blog com conteúdos interessantes e atuais, parabéns! Abrasss
Luiz Ricardo
Sandro,
ReplyDeleteÓtimo artigo, vale salientar que seu eu não me engano nos casos de menores infratores os pais ou responsáveis podem ser acionados judicialmente como co-responsáveis.
Concordo que o DSIC tem ótimo ferramental para identificar, e acredito que este poderia ser um caso daqueles para servir de exemplo.
Wow! Good job on covering this..
ReplyDeleteBR from U.K.
Andrew Moore
Concordo plenamente com o que foi dito. A internet não deve ser uma terra sem lei, assim como a politica, que hoje infelizmente é uma terra sem lei. Fazem o que querem e nada acontece!!!!
ReplyDeleteCreio que o exemplo tem que vir de cima!!!
Alguém se deu ao trabalho de discutir o tema um pouco invés de só fazer copy+paste de jornalzinho..
ReplyDeleteDDOS é um osso se vários bots são usados.. quem está preparado pra um ataque de 10, 100Gps?
Parabéns pelo blog, muito bom!
--GYB
Muito bom Sandro!
ReplyDeleteIsso sim é conteúdo original e muito proveitoso de ser lido, assim como todos os outros posts do Blog.
Abraço!
Show de bola!! Adoraria pegar um "de menor" desses e enquadrar, como fiz com os adodescentes do Twitcam!
ReplyDeleteAbraço e parabéns pelo post!!
EH UM ABSURDO, ESTES VANDALOS DEVERIAM SER PRESOS! EU PRECISEI ACESSAR O TELEFONE DO POSTO DE SAUDE E O SITE ESTAVA FORA DO AR!
ReplyDeleteJONAS
Oi Sandro, Parabéns pelo post excelente e oportuno, cobrindo estes recentes incidentes. Será que os hacktivistas brasileiros, que sempre usaram o defacement para protestar, vão começar a utilizar os ataques DDoS? Isso provavelmente é uma influência direta do sucesso dos ataques pró-Wikileaks realizados pelo grupo Anonymous.
ReplyDeleteAlém do mais, notei que o pessoal está utilizando a hashtag "" para protestar no Twitter contra o aumento das passagens de ônibus em SP.
um último comentário sobre o seu post: eu acredito que a proposta de pena para "Inserção ou difusão de código malicioso" somente se aplica nesses casos se os hacktivistas estiverem usando uma Botnet com micros infectados - isto não se aplicaria se fosse um protesto similar ao realizado pelo Anonymoous recentemente, onde as pessoas simpatizantes utilizassem uma ferramenta online para ataques DDoS como o LOIC.
OPs, falha minha: esqueci de colocar a hashtag "#KassabSafado" antes de submeter o meu comentário.
ReplyDeleteSandrão! Excelente post, como todos do blog! Parabéns pela excelente cobertura!
ReplyDeleteCom relação ao Slow DoS.
ReplyDeleteAs diretivas do ModSecurity que podem ajudar são:
SecReadStateLimit [num]
SecWriteStateLimit [num]
Para ataques com http header e body maliciosos respectivamente
abs
Breno
Ótimo post, muito esclarecedor, não só acerca dos fatos ocorridos mas também do modo de se pensar a resposta ao incidente!!
ReplyDeleteCom relação ao projeto de lei ainda tenho uma dúvida no
Art. 163-A. Inserir ou difundir código malicioso em dispositivo de comunicação, rede de computadores, ou sistema informatizado.
Supondo que eu tenha um pendrive e não saiba da existência de vírus nele, porém ao coloca-lo em um computador alheio venha a causar algum dano, o proprietário poderá responder a um processo criminal por isso?