<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">Date: Mon, 14 Dec 2015 21:42:15 -0500<br>
From: Tomas Lynch <<a href="mailto:tomas.lynch@gmail.com">tomas.lynch@gmail.com</a>><br>
To: Latin America and Caribbean Region Network Operators Group<br>
        <<a href="mailto:lacnog@lacnic.net">lacnog@lacnic.net</a>><br>
Cc: "<a href="mailto:lacnog@lacnog.org">lacnog@lacnog.org</a>" <<a href="mailto:lacnog@lacnog.org">lacnog@lacnog.org</a>><br>
Subject: Re: [lacnog] Amenaza DDoS<br>
Message-ID:<br>
        <CAGEujU-F-NwMg-VGQVoF-K9q=<a href="mailto:5qK_J00vi09OFGV_btVBnWvfg@mail.gmail.com">5qK_J00vi09OFGV_btVBnWvfg@mail.gmail.com</a>><br>
Content-Type: text/plain; charset=UTF-8<br>
<br>
2015-12-14 15:37 GMT-05:00 Christian O'Flaherty <<a href="mailto:christian.oflaherty@gmail.com">christian.oflaherty@gmail.com</a>>:<br>
><br>
> Estimados,<br>
><br>
> Alguno ha recibido una amenaza (extorsión) de ataque DDoS en las<br>
> últimas semanas?<br>
><br>
<br>
¿Se reciben por correo, teléfono? ¿Son en español, inglés? ¿A quiénes<br>
llaman? ¿Han atacado luego de amenazar? Si cuando era admin de red<br>
hubiera recibido esta amenaza, hubiera colgado sin prestarle atención,<br>
si hoy lo fuera estaría más atento. Estaría bueno que estemos todos<br>
atentos.<br>
<br>
Abro un nuevo thread dentro de este, ¿qué se usa hoy para mitigar<br>
estos ataques? Sería bueno también que la gente que está protegida nos<br>
cuente.<br>
<br>
Tomás<br>
<br>
> Pueden responderme offline si prefieren.<br>
><br>
> Christian<br>
> _______________________________________________<br>
> LACNOG mailing list<br>
> <a href="mailto:LACNOG@lacnic.net">LACNOG@lacnic.net</a><br>
> <a href="https://mail.lacnic.net/mailman/listinfo/lacnog" rel="noreferrer" target="_blank">https://mail.lacnic.net/mailman/listinfo/lacnog</a><br>
> Cancelar suscripcion: <a href="https://mail.lacnic.net/mailman/options/lacnog" rel="noreferrer" target="_blank">https://mail.lacnic.net/mailman/options/lacnog</a></blockquote><div><br></div><div><br></div><div>Recibo la lista en formato Digest asi que se me dificulta un poco escribir en este thread con muchos mensajes. Disculpa si sale mal el formato.</div><div><br></div><div>Felipe Tribaldos de CloudFlare aqui. </div><div><br></div><div>Si hemos visto bastantes casos de cyberextorsion recientemente. El grupo mas conocido es DD4BC (DDOS 4 Bit Coin).  Empezaron atacando al sector de Bitcoin a finales del año pasado, luego pasaron a instituciones financieras (pagos, bancos menores, etc), y ahora mas generalizado (ecommerce, etc.). Mas recientemente hay otros grupos como Armada Collective.  El modus operandi es igual envian correo y piden un pago a un wallet de Bitcoin. A veces mandan un ataque corto 15-30 minutos antes de mandar la amenaza. Por ahora siempre ha sido en ingles como segundo idioma (ie. con errores de gramatica.).</div><div><br></div><div>Hemos visto esto ataques globalmente Asia, Europa, Norte America y en menor grado America Latina. Si nos interesa entender si hay incremento de incidencias de America Latina. Tambien si hay localizacion de las amenazas (Español, Portugues). Por ahora ha sido todo en ingles.</div><div><br></div><div>¿ Como Protegerse ?</div><div>Los metodos principales son los siguientes: 1) Equipo y SW on-premise, 2) Equipo y servicios de un telco/isp 3) Servicios distribuidos (ie en la nube).</div><div>CloudFlare donde trabajo se especializa en #3</div><div><br></div><div>¿Cuale(s) el metodo mas adecuado ? </div><div>No hay respuesta exacta.. Algunos clientes eligen uno de los 3 metodos, mientras otro clientes despliegan mas de uno o todo junto.</div><div><br></div><div>¿Que pasa si pago la extorsion ? </div><div>En los caso de cyberlocker se habia visto algo de etica en los actores malicioso de dar buen "servicio" a los clientes que pagaban.  Es decir pagabas y te daban el codigo para desbloquear los archivos y te dejaban tranquilo. En el caso de DDOS y dependiendo de que tan publico sean los ataques es muy probable que los clientes vuelvan a ser atacados.  Lectura reciente sobre esto: <a href="https://protonmaildotcom.wordpress.com/2015/11/05/protonmail-statement-about-the-ddos-attack/">https://protonmaildotcom.wordpress.com/2015/11/05/protonmail-statement-about-the-ddos-attack/</a></div><div>En fin no se recomienda pagar nunca.. Igual se entiende si alguien lo hace para proteger su negocio.</div><div><br></div><div>¿ Que se puede hacer para reducir el riesgo ? </div><div>Bueno un metodo es de reducir la superficie de ataque. Mientras que tiene merito de operar tu propio servidor DNS autoritario, servidor de correo, web, FTP, etc. Cada servicio expuesto a la internet es un target/alvo para ataques. Hoy en dia es muy facil tercerizar muchas funciones (DNS, mail-gmail-microsoft, cloud-AWS-google-digital-ocean). Esto es una decision que cada quien debe tomar debido a su situacion y hay razones pro y con.  Recomendacion es racionalizar cuales servicios son criticos y se consideran core-business de la entidad, los que no tratar de tercerizar lo mas posible.</div><div><br></div><div>Para los ISP's/Telcos este video es viejo (de 2013) per tiene buenas recomendaciones de Matthew Prince Fundador de CloudFlare. <a href="https://youtu.be/w04ZAXftQ_Y?t=32m50s">https://youtu.be/w04ZAXftQ_Y?t=32m50s</a></div><div><br></div><div><br></div><div>saludos;<br></div><div><br></div><div><br></div><div><br></div><div><br></div><div><br></div><div><br></div><div><br></div><div><br></div></div></div></div>