Como se defenderem da GhostNet

Amigos,

Nesta semana surgiu uma noticia publicada no DN que me deixou algo preocupado. Será que alguém na minha rede tem um destes sacanitas instalados? Como posso eu fazer para proteger os meus conteúdos e os da minha família?

Estive a investigar e julgo que o Kasper AV e outros AV’s  frees não detectam estes trojans. Peço desculpa se assim não for.

Assim sendo, andei a procura das ip ranges dos servidores que suportam a ghostnet e cheguei a seguinte lista das empresas / telecoms chinesas que estão identificadas como envolvidas:

59.49.128.0/17
59.50.0.0/16
61.186.0.0/18
112.66.0.0/15
119.41.0.0/16
121.58.0.0/17
124.225.0.0/16
202.100.192.0/18
218.77.128.0/17
220.174.0.0/16
59.49.220.0/22
59.50.116.0/22
59.50.144.0/21
59.50.160.0/20
61.186.16.0/22
121.58.30.0/24
121.58.55.0/24
124.225.84.0/22
124.225.156.0/22
124.225.178.0/23
202.100.239.1
202.100.239.2/31
202.100.239.4/30
202.100.239.8/29
202.100.239.16/28
202.100.239.32/27
202.100.239.64
218.77.185.0/24
220.174.8.0/22
220.174.82.0/23
220.174.204.0/22
58.66.201.0/24
58.66.202.0/23
58.66.204.0/22
58.66.208.0/21
59.49.128.0/17
59.50.0.0/16
59.49.220.0/22
59.50.116.0/22
59.50.144.0/21
59.50.160.0/20
60.13.64.0/18
61.186.0.0/18
61.186.16.0/22
112.66.0.0/15
113.58.0.0/16
113.59.0.0/17
119.41.0.0/16
121.58.0.0/17
121.58.30.0/24
121.58.55.0/24
124.66.0.0/17
124.225.0.0/16
124.225.84.0/22
124.225.156.0/22
124.225.178.0/23
125.72.129.0/24
202.100.192.0/18
202.100.211.0/26
202.100.239.1
202.100.239.2/31
202.100.239.4/30
202.100.239.8/29
202.100.239.16/28
202.100.239.32/27
202.100.239.64
210.37.96.0/21
211.138.160.0/20
218.77.128.0/17
218.77.185.0/24
220.174.0.0/16
220.174.8.0/22
220.174.82.0/23
220.174.204.0/22
220.182.37.0/24
220.182.38.0/23
220.182.40.0/22
221.11.128.0/18
221.11.192.0/19
221.11.135.48/28
221.11.139.64/29
221.11.181.64/28
221.199.224.0/19

Com estas ranges é simples criar regras de firewall que bloqueem os acessos de e para os ditos enderecamentos.

Se for em iptables será algo assim:

Link

Se quiserem em Cisco será algo assim:

ACL ou IOS Firewall

Se for em Winblows procurem no vosso fabricante de firewall como adicionar directamente ranges a redes negadas.

Be safe!