[lacnog] Amenaza DDoS

Felipe Tribaldos felipe en tribaldos.com
Mar Dic 15 15:05:43 BRST 2015 

>
> Date: Mon, 14 Dec 2015 21:42:15 -0500
> From: Tomas Lynch <tomas.lynch en gmail.com>
> To: Latin America and Caribbean Region Network Operators Group
>         <lacnog en lacnic.net>
> Cc: "lacnog en lacnog.org" <lacnog en lacnog.org>
> Subject: Re: [lacnog] Amenaza DDoS
> Message-ID:
>         <CAGEujU-F-NwMg-VGQVoF-K9q=
> 5qK_J00vi09OFGV_btVBnWvfg en mail.gmail.com>
> Content-Type: text/plain; charset=UTF-8
>
> 2015-12-14 15:37 GMT-05:00 Christian O'Flaherty <
> christian.oflaherty en gmail.com>:
> >
> > Estimados,
> >
> > Alguno ha recibido una amenaza (extorsión) de ataque DDoS en las
> > últimas semanas?
> >
>
> ¿Se reciben por correo, teléfono? ¿Son en español, inglés? ¿A quiénes
> llaman? ¿Han atacado luego de amenazar? Si cuando era admin de red
> hubiera recibido esta amenaza, hubiera colgado sin prestarle atención,
> si hoy lo fuera estaría más atento. Estaría bueno que estemos todos
> atentos.
>
> Abro un nuevo thread dentro de este, ¿qué se usa hoy para mitigar
> estos ataques? Sería bueno también que la gente que está protegida nos
> cuente.
>
> Tomás
>
> > Pueden responderme offline si prefieren.
> >
> > Christian
> > _______________________________________________
> > LACNOG mailing list
> > LACNOG en lacnic.net
> > https://mail.lacnic.net/mailman/listinfo/lacnog
> > Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog



Recibo la lista en formato Digest asi que se me dificulta un poco escribir
en este thread con muchos mensajes. Disculpa si sale mal el formato.

Felipe Tribaldos de CloudFlare aqui.

Si hemos visto bastantes casos de cyberextorsion recientemente. El grupo
mas conocido es DD4BC (DDOS 4 Bit Coin).  Empezaron atacando al sector de
Bitcoin a finales del año pasado, luego pasaron a instituciones financieras
(pagos, bancos menores, etc), y ahora mas generalizado (ecommerce, etc.).
Mas recientemente hay otros grupos como Armada Collective.  El modus
operandi es igual envian correo y piden un pago a un wallet de Bitcoin. A
veces mandan un ataque corto 15-30 minutos antes de mandar la amenaza. Por
ahora siempre ha sido en ingles como segundo idioma (ie. con errores de
gramatica.).

Hemos visto esto ataques globalmente Asia, Europa, Norte America y en menor
grado America Latina. Si nos interesa entender si hay incremento de
incidencias de America Latina. Tambien si hay localizacion de las amenazas
(Español, Portugues). Por ahora ha sido todo en ingles.

¿ Como Protegerse ?
Los metodos principales son los siguientes: 1) Equipo y SW on-premise, 2)
Equipo y servicios de un telco/isp 3) Servicios distribuidos (ie en la
nube).
CloudFlare donde trabajo se especializa en #3

¿Cuale(s) el metodo mas adecuado ?
No hay respuesta exacta.. Algunos clientes eligen uno de los 3 metodos,
mientras otro clientes despliegan mas de uno o todo junto.

¿Que pasa si pago la extorsion ?
En los caso de cyberlocker se habia visto algo de etica en los actores
malicioso de dar buen "servicio" a los clientes que pagaban.  Es decir
pagabas y te daban el codigo para desbloquear los archivos y te dejaban
tranquilo. En el caso de DDOS y dependiendo de que tan publico sean los
ataques es muy probable que los clientes vuelvan a ser atacados.  Lectura
reciente sobre esto:
https://protonmaildotcom.wordpress.com/2015/11/05/protonmail-statement-about-the-ddos-attack/
En fin no se recomienda pagar nunca.. Igual se entiende si alguien lo hace
para proteger su negocio.

¿ Que se puede hacer para reducir el riesgo ?
Bueno un metodo es de reducir la superficie de ataque. Mientras que tiene
merito de operar tu propio servidor DNS autoritario, servidor de correo,
web, FTP, etc. Cada servicio expuesto a la internet es un target/alvo para
ataques. Hoy en dia es muy facil tercerizar muchas funciones (DNS,
mail-gmail-microsoft, cloud-AWS-google-digital-ocean). Esto es una decision
que cada quien debe tomar debido a su situacion y hay razones pro y con.
Recomendacion es racionalizar cuales servicios son criticos y se consideran
core-business de la entidad, los que no tratar de tercerizar lo mas posible.

Para los ISP's/Telcos este video es viejo (de 2013) per tiene buenas
recomendaciones de Matthew Prince Fundador de CloudFlare.
https://youtu.be/w04ZAXftQ_Y?t=32m50s


saludos;
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://mail.lacnic.net/pipermail/lacnog/attachments/20151215/9f1e4e06/attachment.html>

Más información sobre la lista de distribución LACNOG