Mais uma vez sites da
Presidência da República são alvos ataques de Negação de Serviço. Desta vez o grupo
@LulzSecBrazil assumiu a responsabilidade pelo ataque,
nestes tweets:LulzSecBrazil: TANGO DOWN & LulzSecBrazil
Os sites
http://www.brasil.gov.br e
http://www.presidencia.gov.br estavam mesmo
indisponíveis durante esta madrugada, e curiosamente os demais sites na mesma classe-C (161.148.172/24) estão respondendo normalmente (ex:
http://161.148.172.185/). A partir disto, imagino algumas
hipóteses - por ordem de probabilidade:
I) Como ambos sites
rodam Apache -
segundo a NetCraft - podem estar sob ataque de
DoS do tipo
Slowloris (abertura e manutenção da conexão através de envios sequenciais de cabeçalhos HTTP por longos períodos até inviabilizar novas conexões ao serviço) - neste caso mitigações são possíveis com o
modsecurity, por exemplo.
II) um ataque tradicional de DDoS (
Loic/Botnet) ocorreu e algum filtro de ACL em roteador ou regra de firewall pode ter sido criado a alguns
hops destes dois IPs até que perguntas sejam respondidas (ver abaixo) e uma solução mais definitiva seja encontrada.
III) o ataque direcionado aos servidores - que não estão conseguindo responder ás conexões - não afetaram o restante da infra-estrutura (roteadores, firewalls, balanceadores, demais webservers up, etc..)
Além da tráfego de rede dos
uplinks, obviamente deve-se analisar o efeito do ataque no alvo afetado, a partir dos registros de roteadores, servidores web e
firewalls disponíveis.
Entre as perguntas a responder neste momento - por quem tem acesso aos dados para uma Resposta a Incidentes adequada:
(lista rápida a ser editada com auxílio dos comentários dos Senhores):
1) que dispositivo(s) falhou(aram), afinal?
2) que serviços foram afetados?
3) Se trata de
DoS ou
DDoS?
4.1) Qual foi o troughput (Gpbs) e número de pacotes por segundo (PPS) durante ataque?
4.2) No pico? Em média durante a indisponibilidade?
5.1) Há
spoofing de IP?
5.2) Configurações de
ingress filtering da sua infraestrutura e em seus uplinks estão adequadas?
6.1) Caso quem falhou, resista - os próximos da cadeia falhariam? (ex: roteador->firewall->balanceador de carga->servidor web)
6.2) Quais configurações anti-ddos podem ser feitas nestes dispositivos?
7) Serão necessários novos dispositivos ou serviços especializados em mitigação de DDoS? (Arbor, VeriSign, Narus, etc..)
8) Vale a pena mover sua home page para outra estrutura menos vulnerável a negação de serviço? (até mesmo na nuvem:
Akamai ou
Amazon Elastic Computing Cloud)
Como resultado da análise destes pontos, pode-se chegar a respostas mais apropriadas. Normalmente a mitigação deste tipo de ataque se inicia em uma análise que envolve a equipe de Redes e de Resposta a Incidente dos alvos, além dos times de segurança de
backbone dos
uplinks - no caso em pauta, a Oi (
AS 8167 e
AS 7723) e a Telefônica (
AS 10429).
Depois da identificação da(s) origem(ns) reais, o ideal é que se consiga configurar um "
Black Hole" para o tráfego indesejado: Entre outras ações, isto normalmente envolve configurações para roteamento nulos (
null0) e redirecionamento de origens do ataque identificadas com
uRPF.Outras ações estão sendo executadas pelo grupo
LulzSecBrazil, inclusive o
defacement de páginas (até agora, nenhuma do governo - mas a atenção deve estar redobrada já que os interessados em se juntar ao grupo estão sendo recrutados em toda a parte).
Pulando do técnico para o Jurídico:
do ponto de vista da responsabilização dos atacantes - retomo material já apresentamos
aqui em post conjunto com o Dr. Emerson Wendt:
"Pode haver configuração de crime de dano, previsto no art. 163 do Código Penal Brasileiro:
Dano
Art. 163 - Destruir, inutilizar ou deteriorar coisa alheia:
Pena - detenção, de um a seis meses, ou multa.
Dano qualificado
Parágrafo único - Se o crime é cometido:
I - com violência à pessoa ou grave ameaça;
II - com emprego de substância inflamável ou explosiva, se o fato não constitui crime mais grave;
III - contra o patrimônio da União, Estado, Município, empresa concessionária de serviços públicos ou sociedade de economia mista;
IV - por motivo egoístico ou com prejuízo considerável para a vítima: Pena - - detenção, de seis meses a três anos, e multa, além da pena correspondente à violência.
Veja a nova redação do Artigo 163, prevista no
Projeto de Lei 84/99 - que deve -
finalmente?! - ser votado este ano:
Art. 163. Destruir, inutilizar ou deteriorar coisa alheia ou dado eletrônico alheio:
Ademais, o PL 84/99 prevê outro artigo interessante, no qual pode ser enquadrado o caso em questão:
“Inserção ou difusão de código malicioso”
Art. 163-A. Inserir ou difundir código malicioso em dispositivo de comunicação, rede de computadores, ou sistema informatizado.
Pena – reclusão, de 1 (um) a 3 (três) anos, e multa.
Inserção ou difusão de código malicioso seguido de dano
§ 1º Produzir intencionalmente ou vender código malicioso destinado ao uso em dispositivo de comunicação, rede de computadores ou sistema informatizado.
Pena – reclusão de 1 (um) a 3 (três) anos, e multa
§ 2º Se do crime resulta destruição, inutilização, deterioração, alteração, dificultação do funcionamento, ou funcionamento desautorizado pelo legítimo titular, de dispositivo de comunicação, de rede de computadores, ou de sistema informatizado:
Pena – reclusão, de 2 (dois) a 4 (quatro) anos, e multa.
§ 3º Se o agente se vale de nome falso ou da utilização de identidade de terceiros para a prática do crime, a pena é aumentada de sexta parte
Enquanto isto, no exterior, a recente
prisão de um rapaz de 19 anos na Inglaterra por envolvimento com o grupo gera discussão se ele era apenas admin de um canal de IRC ou tinha uma importância maior..
A polícia ainda tenta descobrir..) Além disto, é crescente a
divulgação de dados dos participantes do grupo (por eles mesmos:
http://pastebin.com/MBEsm5XQ e por inimigos:
http://lulzsecexposed.blogspot.com).
E você, o que você acha do movimento #AntiSec? Acha que há exageros? Ou não? Acha que o grupo vai ficar mais forte e numeroso? Novas prisões ocorrerão lá fora e aqui no Brasil? E sobre os ataques do LulzSec?
Dê a sua opinião! Comente!Posts Relacionados:- O Anchises fez um bom apanhado sobre a "Operação AntiSec" e links para outros blogs sobre o assunto, neste post.
