[HACK] Respuesta ante ataques DoS y DDoS

[Frisbie]

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

- ----- Original Message ----- 
From: "Roman Medina" <roman at rs-labs.com>
To: "http://www.argo.es/~jcea/artic/hack-faq.htm" <hacking at argo.es>
Sent: Tuesday, September 23, 2003 3:28 PM

Amo a ve.... El tema es que en la mayoría de los casos lo que te podamos
decir aquí son opiniones que pueden tener que ver con la realidad jurídica o
no.... Es decir, estás preguntando en una lista de seguridad y no de
jurídico que creo que debería de ser el sitio idóneo donde debería de ir la
pregunta...

Un sitio ideal pa dejar la pregunta es el la lista de correo de delitos
informáticos...
http://www.delitosinformaticos.com/lista.shtml
Ahí abundan abogados y personal con conocimientos de jurisprudencia y además
interesados o especializados en seguridad, con lo cual las respuestas serán
mucho más fiables en el entorno judicial.

De todas formas ahí va mi humilde opinión...


> ¿Y si yo/ellos no han firmado nada? ¿Cómo de válidos son los SLAs que
>puedan aparecer en una pág. html de la web de la empresa?

Supongo que podrás utilizarlo como prueba judicial en caso de que se
denuncie y haya juicio.... Así que por si acaso, captura de pantalla de esos
SLAs

> ¿Y si el atacante ataca desde un pais donde los DoS no son delito? De
>todas formas, no me parece muy lógico que este tipo de comportamientos
>no se consideren delito.

Creo que eso cuenta en el país (o estado) donde se ataca, no desde donde se
ataca.... Así que si en USA es delito un DoS, si el ataque se hace a USA,
siempre será delito...

>>>Organizaciones [...] tipo CERT
>>
> Yo me imaginé que al menos se dignarían a contestar. Pero no, ni eso:
>te usan para sus stats y no dan las gracias (ni ayudan, claro).

Pos vaya mierda de CERT... Podrían por lo menos, elaborar un correo estándar
que diga algo de que te han incluido en sus estadísticas y que pa
denunciarlo (si quieres) puedes ponerte en contacto con tal y cual...

>ignoren. Pero una persona (que prefiere mantenerse anónima) me ha
>comentado que ese caso es perfectamente denunciable al
>RIPE/NIC/similares, es decir, se consideraría una neglicencia que en
>un caso extremo podría derivar en la suspensión de todo el netblock.
>Por tanto, puede que no sea mala idea utilizar este argumento: "o me
>haces caso, o voy al NIC directamente y me quejo de que has pasado de
>ayudarme". ¿Qué opinais? ¿A alguien le suenan normas similares que
>puedan favorecer o amparar a las pobres víctimas? ¿URLs más o menos
>exactas?

Pues yo nunca había oido nada de eso... Incluso hay sitios que no tienen
definida una dirección de abuse at xxxx
Para información sobre esto www.abuse.net

> Gracias a todos los que estais colaborando en este hilo. Y los que
>estais en la sombra, ¿a qué esperais para contestar?

Pos eso... esperamos tener tiempo pa contestar :p

Por cierto, os habeis parado a pensar que el 90% al menos de los ataques de
DoS o DDoS se hacen con la IP "spoofeada", e incluso si está bien hecho, la
IP origen va cambiando aleatoriamente (no es el primero que veo así), con lo
cual se hace extremadamente difícil detenerlo, y más difícil de
denunciarlo... E incluso puedes acabar denunciando a alguien al que le han
"spoofeado" la IP y no tiene ni puta idea de lo que ha pasado...

Para detenerlo, por ejemplo, el CheckPoint FW1 tiene un módulo anti-DoS
(creo recordar, pero estoy hablando de memoria) que de alguna manera
minimiza el impacto de este tipo de ataques

Saludos a todos....

-----BEGIN PGP SIGNATURE-----
Version: PGP 8.0

iQA/AwUBP3KrlvkwYeBBlj+VEQKdkQCgwk92rEdnqb9LN6hsg57tLsH4C8wAoKEQ
jErXiZpQuRnRVHYWDAJazkPb
=xc29
-----END PGP SIGNATURE-----