Empresas devem repensar estratégias de combate a ataques DDoS

Esta semana, um ciberataque alegadamente de uma empresa de hosting holandesa, a Cyberbunker, criou fluxos de dados na ordem dos 300 Gbps, ao longo da infraestrutura da Internet – revelaram o New York Times e a BBC. O ataque do tipo DDoS é considerado o maior de todos os tempos e ocorre desde 19 de março, provocando lentidão em diversos serviços na Internet, como o Netflix. A título de comparação, os taques DDoS lançados contra bancos dos EUA no ano passado, que tantam chamaram a atenção da mídia, por vezes adicionaram até 70 Gbps de tráfego “lixo” nas redes dessas empresas.

Na origem da ocorrência está uma disputa entre a Cyberbunker e um grupo de combate ao spam, o Spamhaus, organização sem fins lucrativos que gere uma lista negra de entidades emissoras de spam, prestando serviço para vários gigantes da Internet, incluindo o Google. O motivo? O Spamhaus registrou a Cyberbunker em sua lista negra. A empresa, bastante liberal em seus  contratos _  só não aloja sites de pornografia e infantil ou de inspiração terrorista _ respondeu usando botnets para direcionar fluxos de dados superiores às capacidades da infraestrutura da Internet em certos países.

O ataque será difícil de repelir sem estagnar a Internet, pois inundou o Domain Name System (DNS) com tráfego vindo de servidores de inúmeras partes do mundo.

Em declarações para o New York Times, um ativista da Internet, Sven Olaf Kamphuis, revelou que o ataque era uma retaliação pelo abuso de influência atribuído à Spamhaus – assumindo falar em nome dos atacantes. Estes alegam que ninguém legitimou a organização para monitorar a Internet.

Dizem que a Cyberbunker hospedava o site do Pirate Bay, em 2009, efunciona em antigo bunker da NATO.

Que lições podemos tirar?
Atques de DNS Amplification (ou Reflexão DNS) continuam a ser possíveis mesmo depois de anos de advertências de especialistas de segurança. Seu poder é uma prova de como é difícil obter as organizações a fazer mudanças simples que podem impedir ameaças, mesmo reconhecidas.

O Gartner tem estudado novos métodos de ataques usados por cibercriminosos para atingir serviços financeiros e setores de e-commerce, e prevê que eles serão amplamente disseminados durante esse ano.

“Em 2012 vimos um novo nível de sofisticação em ataques organizados contra empresas em todo o mundo, e eles vão crescer em termos de sofisticação e eficácia em 2013”, disse analista do Gartner, Avivah Litan. “Uma nova classe de ataques DDoS e de manobras de engenharia social foram lançadas contra bancos norte-americanos no segundo semestre de 2012, e isso vai continuar neste ano, a medida que atividades criminosas organizadas se aproveitam das fraquezas de pessoas, processos e sistemas”, completou.

Segundo a consultoria, um quarto dos ataques distribuídos de negação de serviço (DDoS) em 2013 será baseado em aplicativos. Crackers enviarão comandos direcionados a aplicações para atingir a unidade de processamento central (CPU) e a memória – tornando a aplicação indisponível.

Motivos de atenção
Ataques de negação de serviço, também conhecidos pela sigla DDoS, parecem estar se transformando de apenas incômodos em sofisticados, altamente direcionados e extremamente agressivos sistemas de derrubada de redes inteiras. O Gartner identificou algumas das principais tendências criminosas de 2013 e as potenciais garantias e soluções para empresas sob risco de ataque.

Essas tendências foram apresentadas em uma conferência em Londres este mês. A companhia afirma, por exemplo, que ataques DDoS a banda larga estão se tornando regra e continuarão “a causar estragos” em organizações despreparadas, em 2013.

Até a recente onda de ataques, a maioria dos DDoS em nível de rede consumia apenas 5 Gbps de largura de banda, disse a Gartner – mas os níveis mais recentes tornaram impossível para os clientes dos bancos e outros acessar seus sites.

“Para combater este risco, as organizações precisam rever suas configurações de rede e rearquitetá-las para minimizar o dano que pode ser causado”, disse Litan. “As empresas que têm uma presença crítica na web e não podem pagar pelas interrupções relativamente prolongadas no serviço online devem empregar uma abordagem em camadas que combine múltiplas defesas do DOS.”

Além disso, centros de atendimento ao cliente e software de prevenção da fraude devem ser implantados para ajudar a pegar os fraudadores que cometem crimes por meio de engenharia social, ou usam identidades roubadas. A empresa diz que os clientes também devem ser educados sobre as melhores práticas de segurança para ajudá-los.

Ataques maiores preocupam

Pergunte a qualquer gerente de nível corporativo sobre sua experiência com relação a ataques DDoS e os resultados serão interessantes.  O 8° Relatório de Segurança de Infraestrutura Mundial da Arbor Networks ouviu pessoas que estão na mira dos globalizados ataques DDoS de última geração – grandes operadores de data centers, provedores de serviços de Internet (ISPs) que fornecem os cabos para esses centros, e as grandes multinacionais que consomem tais serviços.

Examine as 100 páginas dos resultados do estudo e não há surpresas. Igual ao ano passado, o principal motivo para ataques DDoS ainda é político/ideológico (33%), seguido por jogos online (31%) e niilismo/vandalismo (27%).

Mais da metade disse que eles estavam preocupados com o potencial de ataques DDoS para se transformar em Ameaças Avançadas Persistentes (Advanced Persistent Threats, ou apenas APTS) – código para espionagem industrial patrocinada pelo Estado contra a base econômica de outro país – com 22% tendo presenciado tais ataques em redes corporativas.

E, enquanto os grandes ataques DDoS ainda são um problema, está claro que mesmo que o tamanho da média de ataques tenha crescido a um volume acima de 1 Gbps, sozinho ele não é o tipo mais temido de investida.

Crackers agora são capazes de usar múltiplos vetores em ataques DDoS em redes, nos quais há uma mistura de volume, estado de exaustão e de camada de aplicação com o objetivo de formar um coquetel que pode ser extremamente difícil de enfrentar.

De acordo com a Arbor, as investidas mostraram as limitações de perímetro de firewalls, que sofrem por terem sido projetados em uma época anterior aos DDoS em sua forma atual. Um terceiro disse que firewalls “fracassaram” durante os ataques – um ponto que a Arbor ficará feliz em lembrar ao mundo, uma vez que seu negócio envolve a venda de substituições especializadas para este tipo de kit.

Uma conclusão é que o crescimento de ataques direcionados a setores específicos, como finanças, deve dar às empresas motivo para prestar atenção a quais clientes eles compartilham o espaço do data center. Escolha um data center popular com um setor alvo que é atacado e todos que utilizam aquele espaço serão afetados.

O sistema de monitoramento de Internet Atlas, da Arbor, mostra que, sem dúvida, os ataques DDoS estão ficando maiores, muito maiores.

O ataque médio em setembro de 2012 foi 1.67 Gbps (Gigabits por seg) de requisição contra um site, 72% acima do mesmo mês em 2011. O número de ataques de médio alcance (2 a 10 Gbps) também está 14,35% acima.

Além disso, os ataques muito grandes (10 Gbps ou mais) subiram até 90% este ano – o maior foi 100.84 Gbps.

O que fazer?
Este aumento tem implicações significativas não apenas para prestadores de serviços, mas especificamente as empresas que continuam a depender de firewalls/IPS para protegê-las de ataques DDoS.

Como esses dispositivos têm de manter informações de status em cada sessão, eles podem ser facilmente sobrecarregados com ataques a partir de botnets (redes de micros zumbis). Isso muitas vezes os torna os primeiros pontos de falha durante os DDoS. Quanto maior o ataque, mais provável que esses dispositivos falhem.

Por isso, quando se trata de DDoS, tamanho não é tudo. É por isso que implantar uma estratégia de defesa em camadas é uma prática recomendada para todas as empresas.

A defesa mais robusta é por meio da combinação de um serviço de gerenciamento baseada em nuvem que proteja a rede de ataques de maiores dimensões, em conjunto com uma solução DDoS instalado na local (on-premise).

Isto irá manter os serviços disponíveis e protegerá a infraestrutura de segurança existente, como o firewall e o IPS, através da detecção e mitigação ataques no perímetro da rede.

Empresas devem repensar estratégias de combate a ataques DDoS – Tecnologia – CIO.

Sou bacharel em Sistemas de Informação pela Estácio de Sá (Alagoas), especialista em Gestão Estratégica da Tecnologia da Informação pela Univ. Gama Filho (UGF) e pós-graduando em Gestão da Segurança da Informação pela Univ. do Sul de Santa Catarina (UNISUL). Certificações que possuo: EC-Council CEH, CompTIA (Security+, CySA+ e Pentest+), EXIN (EHF e ISO 27001), MCSO, MCRM, ITIL v3. Tenho interesse por todas as áreas da informática, mas em especial em Gestão e Governança de TI, Segurança da Informação e Ethical Hacking.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *