10 replies to this topic

[Revenge]

Quote

Caro cliente,

Durante todo o dia de hoje,a rede da Visual-Fusion (Porto e Lisboa) foi sujeita a um ataque (ainda a decorrer). Este é um ataque realizado por profissionais, de uma magnitude bastante elevada. Foi suscitado por uma botnet de milhares de máquinas infectadas. Estas máquinas atacaram de formas diversas, de forma a explorar vulnerabilidades na rede que nos serve. Mesmo após a tentativa de resolução do problema inicial, o ataque adaptou-se a esta resolução, e mudou o seu padrão, dificultando progressivamente a sua evasão.

Haviamos, há alguns meses atrás, adquirido um equipamento de firewall que se destinava a proteger a nossa rede deste tipo de ataques. É um equipamento de uma marca conceituada (Juniper), de gama alta (ISG), adequado ao crescimento da nossa rede.

Sendo necessário fazer testes em produção antes de o utilizar para proteger a nossa rede de webservers do Porto, colocamo-lo em Lisboa, no ponto de entrada da nossa rede, a proteger um conjunto de 50 máquinas de serviços que movem grandes larguras de banda e número de pacotes (streaming, jogos, etc...). Apenas posteriormente, pelo final deste ano, tencionávamos colocar este equipamento a proteger também as máquinas de alojamento web (situadas no Porto).

Posto isto e tendo ocorrido um ataque deste género, vimos-nos obrigados a delinear um plano junto com o nosso provedor de rede, para rotear todo o tráfego do Porto através dessa firewall. Esta tarefa revelou-se bastante complexa, devido à persistência do ataque e problemas técnicos relacionados com a alteração de rota. Por volta das 21:30 de hoje, a firewall iniciou a intercepção do ataque, estando neste momento a rede do Porto protegida contra estes ataques.

De salientar que, a razão pela qual ainda não haviamos colocado a firewall a proteger a rede do Porto, se devia ao facto de necessitarmos fazer testes e configurações para que a alteração de rota decorresse de uma forma bastante suave e quase imperceptível para o cliente. Tal não foi possível, pelo que tivemos de agir desta forma.

Lamentamos imenso o sucedido e temos plena consciência da gravidade da situação. Consideramos que um downtime de várias horas, num total de 12 horas de lentidão / inacessibilidade (sobre horário laboral) é bastante grave, no entanto, de tudo fizemos para conseguir resolver este problema da forma mais célere que nos foi possível. Lamentamos sobretudo, que a aquisição do nosso equipamento não tenha sido feita anteriormente, estando provavelmente já hoje em funcionamento.

Iremos ainda proceder a algumas configurações, que, no entanto, não deverão provocar interrupções significativas (segundos apenas). Não temos certo que o problema se encontre resolvido, mas estamos a tentar cobrir todas as possibilidades de padrões de ataque que a botnet atacante possa eventualmente adoptar, findo a eficiência do actual.

Caso necessite de algum esclarecimento adicional por favor contacte-nos para que o possamos elucidar. Poderá ainda ter alguma dificuldade em chegar ao seu site. Tal deve-se aos servidores de DNS ficarem inacessíveis durante um largo período de tempo, fazendo desaparecer algumas zonas de DNS da Internet.

As nossas mais sinceras desculpas por esta situação,

Com os melhores cumprimentos,

Visual-Fusion - Técnica

[Spak]

Curiosamente ontem à noite consegui aceder ao FNF por banda larga móvel TMN e não pela ZON nem PT.

[jr_cardoso]

O problema já se vinha a notar faz 2 dias, ontem aconteceu o que aconteceu, as coisas já se encontram de novo a funcionar se bem que por vezes se nota alguma lentidão. Esperamos que a Invision resolva o problema o mais depressa possível.

[Revenge]

jr_cardoso, on 30 September 2010 - 11:40 , said:

O problema já se vinha a notar faz 2 dias, ontem aconteceu o que aconteceu, as coisas já se encontram de novo a funcionar se bem que por vezes se nota alguma lentidão. Esperamos que a Invision resolva o problema o mais depressa possível.

Visual-Fusion

[jr_cardoso]

Desculpa lá o erro, lol

[Revenge]

jr_cardoso, on 30 September 2010 - 11:44 , said:

Desculpa lá o erro, lol

Não podemos culpar sempre a Invision pelos Bugs da Board  

[vasco gonçalves]

ah então está explicado os problemas que tive ontem aqui no trabalho estava muito lento e em casa à noite nem sequer consegui aceder.

[Bloo]

só notei ontem...

[Revenge]

Pessoal, desde ontem à noite que não estava a conseguir aceder ao FNF. Com o Kanguru já conseguia, o que significa que o problema deve estar nos DNS da Clix.
Coloquei no meu router o servidor de DNS da Google e já consigo aceder.

Alguém daqui da Clix? Assim fico já a saber se o problema é global ou não.

[_Mighty_]

Eu sou Clix e hoje só consegui aceder há 5 minutos.
Ontem já não me lembro, mas penso que à noite também já não conseguia.

[Ilusi0n]

Quote

Caro cliente,

No seguimento do ataque informático iniciado na quarta-feira que tinha como alvo a Visual-Fusion, segue-se o ponto de situação:

- Na quarta-feira, fizemos a alteração de rota da rede que serve o Porto de forma a filtrarmos na nossa firewall de Lisboa todo o tráfego. Durante este dia, o acesso aos sites foi bastante intermitente e até mesmo inexistente, até por volta das 22:00, altura em que a firewall foi iniciada.

- Durante a madrugada de quarta-feira para quinta-feira, a firewall foi configurada, tendo no entanto o ataque cessado temporariamente, até às 10:00 de quinta-feira, de forma a dificultar a configuração desta e a permitir-nos relaxar um pouco a segurança, numa altura em que os estragos causados à nossa empresa não seriam tão significativos.

- Na quinta-feira o ataque iniciou-se uma vez mais, tendo durado, na sua amplitude máxima, até ao final da tarde de sexta-feira. Durante a quinta-feira, já havíamos conseguido estabilizar a rede, mas o ataque estava agora orientado aos nossos quatro servidores de DNS. Esta situação obrigou-nos na quinta-feira de manhã a mover estes servidores para redes distintas, de forma a distribuir um pouco o ataque e reduzir a intensidade com que atingiu a nossa rede principal. Esta alteração, que obrigou a uma nova propagação dos IP´s dos DNS´s terá causado em vários site e em alguns computadores dificuldades nos acessos via domínio.

- Na sexta-feira, ainda com o ataque a decorrer, estavam já a terminar as propagações dos domínios que ainda restavam, pelo que no final da manhã e tarde deste dia os poucos sites que ainda não estavam devidamente propagados já se deveriam encontrar funcionais.

Não sabemos quem terá ordenado este ataque nem porque razões o faria. Nunca a nossa empresa teve uma atitude politicamente incorrecta com empresas concorrentes, tendo mesmo, já por várias vezes, auxiliado concorrentes em situações críticas.

Os milhares de IP´s que nos atacaram não nos conseguem trazer qualquer indicação sobre o atacante visto pertencerem a máquinas infectadas, de empresas ou pessoas comuns que nenhuma relação têm com ataques informáticos. Pelo tipo de ataque, temos em ideia que terá visado interromper os nossos serviços de alojamento, visto dirigir-se especificamente aos servidores de DNS da Visual-Fusion e com especial intensidade e foco nos sites da própria Visual-Fusion. A hora de início do ataque, demonstra que pretendia visar o período laboral de Portugal, altura em que os danos seriam superiores.

Embora agora terminado, continuamos alerta para esta situação, pois pensamos que poderá iniciar-se novamente. Estamos ainda a tentar prever alguns pontos que possam ser atacados e a constituir uma defesa contra esses tipos de ataque. Tendo em conta a magnitude do ataque, tornou-se necessária uma vigilância constante à nossa rede, de forma a evitar que interrupções como as existentes se voltem a suceder.

Apelamos à compreensão dos nossos clientes para esta situação, visto termos feito tudo o que nos estava ao alcance para nos defendermos deste ataque.

Com os melhores cumprimentos,

Visual-Fusion - Técnica

Também tenho um site na Visual Fusion e recebi esse mail há pouco.