Cleanpipe para Contorno do Tráfego
A partir dessa ocorrência, a equipe localizada no SOC, Security Operation Center da TIM em Santo André, no ABC paulista, fez uma forte e importante intervenção, com a finalidade de contornar todo o tráfego nefasto, em uma ação conhecida como cleanpipe. Essa ação foi realizada para evitar danos ao sistema e principalmente, ao cliente. Vale ressaltar que o novo serviço disponibilizado, monitora qualquer alteração suspeita e, quando alguma ação dessa natureza é detectada, o tráfego indesejado é automaticamente desviado para uma estação de segurança, sem que o servidor do cliente seja afetado.
Administração de mais de 4.000 Ataques por Mês
Atualmente, a operadora TIM já administra, em média, 4.500 ataques mensais. Na ocasião do ataque que originou o estudo do negócio, o site do banco chegou a ficar inativo mais de 20 vezes; entretanto, desde a implantação do serviço pela TIM, não houve mais nenhum incidente. De acordo com declarações feitas pela Cert.BR, Centro de Estudo, Resposta e Tratamento de incidentes de segurança no Brasil, no ano de 2012 o país sofreu mais de 46 mil ataques de negação de serviço, sendo 64% originados aqui mesmo, seguido pelos Estados Unidos com um percentual de 11% e China com 6%. Na opinião de Alex Salgado, Diretor da Unidade de Negócios Corporativos, os ataques DDoS são uma grande ameaça à disponibilidade de serviços das empresas, bastando ter um IP para estar vulnerável às investidas.
Conforme relatou o executivo, "realizar o trabalho de monitoramento por meio de uma operadora, é a melhor forma de se proteger, uma vez que existem muitas ferramentas que permitem remover o tráfego sujo para análise e limpeza, sem que haja qualquer interrupção nos serviços da empresa e aos que são prestados aos seus clientes, evitando prejuízo financeiro ou indisponibilidade de banda." explica o executivo.
Serviço de Monitoramento Conta com Tecnologia Própria
Importante lembrar a todos, que o monitoramento desses ataques é feito por um centro de segurança da operadora, o SOC, que opera 24 horas por dia, sete dias por semana, em todos os dias do ano. A equipe de monitoramento é formada por funcionários da TIM, com tecnologia própria, e há participação do fornecedor Arbor para venda e suporte ao produto. No SOC, são analisados todos os riscos e há um monitoramento de tentativas de ataque contra a própria TIM e seus clientes corporativos 2G, 3G, 4G, de banda larga e fixa.
O Security Operation Center da TIM é integrado ao Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (Cert.br), mantido pelo NIC.br, do Comitê Gestor da Internet do Brasil e foi o primeiro de uma operadora móvel a fazer parte desta rede de defesa.
Constância e Nível de Seriedade dos Ataques DDoS
Os ataques distribuídos de negação de serviço (DDoS), como é do conhecimento de grande parte das pessoas que tem ligação com a área de segurança, podem paralisar suas operações on-line, independentemente de ter como alvo seus servidores da Internet, os servidores de DNS ou os servidores de aplicativos. Mesmo que os ataques DDoS já existam há décadas, a dimensão, a frequência e a sofisticação dos mesmos estão aumentando cada vez mais rápido do que a capacidade da maioria das empresas tem em absorvê-los.
Devido às mudanças rápidas e extraordinárias nesses ataques, as táticas tradicionais de mitigação contra DDoS, como provisionamento adicional de largura de banda, firewalls, dispositivos de sistemas de prevenção de invasões e a confiança em ISPs, não são mais suficientes para proteger as redes, os aplicativos e serviços de uma empresa. Além disso, em um mundo em constante crescimento, cada vez mais interconectado e complexo, pode ser bastante difícil para as empresas antecipar o próximo ataque ou atividade maliciosa.
Disseminação de Malware, Computadores Infectados, Formação de Botnets e Servidores de Comando e Controle
No início das investidas, os organizadores de ataques DDoS tentavam "escravizar" computadores que agiam como servidores na grande rede. Porém, com o aumento constante na velocidade de acesso à Web por causa das conexões de banda larga, passou a existir interesse pelos computadores dos usuários domésticos, já que estes representam um número extremamente grande de máquinas e, muitas vezes, podem ser "escravizados" de forma muito mais fácil. Para atingir a enorme quantidade de computadores conectados à Internet, várias espécies de malware (ou seja, vírus, trojans, dentre outras pragas), foram e são criados com a finalidade de disseminar pequenos programas para ataques dese tipo.
Dessa maneira, quando um vírus poderoso como esse contamina um computador, tal máquina fica disponível para fazer parte de um ataque DDoS, sendo que o usuário, dificilmente, fica sabendo que sua máquina está sendo utilizada para essas finalidades. Como a quantidade de computadores que participa do ataque é muito grande, é uma tarefa bastante difícil descobrir, exatamente, qual é a máquina que encabeça o ataque. Além de tudo isso, uma forma de ataque bastante comum utiliza botnets, que é uma espécie de rede formada por computadores infectados. Essa rede pode ser controlada remotamente pelo atacante, e assim, os computadores que a compõem passam a trabalhar de forma "escravizada".
A partir dessa modalidade de ataque, é comum o uso de computadores domésticos, já que estes são maioria e, muitas vezes, não são protegidos como deveriam. Assim, é muito mais fácil infectá-los com um malware que possui instruções para fazer com que a máquina participe de um ataque DDoS. Quando o computador passa a fazer parte de uma botnet, esta máquina pode ser chamado de "zumbi".
Depois que ocorre a contaminação, os "zumbis" podem entrar em contato com máquinas "mestres", que por sua vez, recebem orientações sobre quando, em qual site/computador, tipo de ataque, entre outras informações a partir de um computador "atacante" ou "líder". Um computador "mestre" pode ter sob sua responsabilidade, até milhares de computadores. Sendo assim, é válido observar que, nestes casos, as tarefas de ataque DoS são distribuídas a uma quantidade absurda de máquinas "escravizadas", fazendo jus ao nome Distributed Denial of Service (Negação de Serviço Distribuído).
Ao serem infectados, os computadores passam a executar as ordens que recebem, como enviar, de forma exaustiva, pacotes de dados a um determinado servidor até que este não consiga mais responder a tantas requisições. Para tornar o ataque ainda mais eficiente, várias técnicas podem ser utilizadas. Em uma delas, o IP de origem dos pacotes utilizados é modificado para uma sequência falsa, dificultando a descoberta da origem da ação.
Detecção, Identificação e Combate aos Ataques DDoS
Os servidores apresentam estrutura e recursos diferentes, por isso, não existe uma fórmula mágica que funcione em todas as implementações, e que consiga evitar ou combater ataques de negação de serviço. Cada caso é tratado de forma diferente, sem contar que, em boa parte das vezes, é muito difícil identificar o problema. Entretanto, é possível contar com alguuns recursos altamente relevantes para combatê-lo, embora nenhuma delas garanta uma totalidade referente à proteção.
Filtros de Identificação, Bloqueio de Pacotes e Sistemas de Detecção de Intrusão
Em face disso, é possível utilizar filtros que identificam e bloqueiam pacotes com endereços IP falsos - anti-spoofing. Outro recurso que pode ser utilizado, consiste em tirar o máximo proveito de ferramentas que ajudam a identificar os ataques, inclusive IDS (Intrusion Detection System - Sistema de Identificação de Intrusão), e assim, tomar alguma decisão com base nas informações obtidas, como aumentar a capacidade de processamento ou limitar a largura de banda de acordo com o tipo de pacote de dados. Dependendo da aplicação, pode-se ainda utilizar recursos que tenham a capacidade de identificar uma solicitação legítima e atender exclusivamente a ela.
Saiba Mais:
[1] IPNews http://www.ipnews.com.br/telefoniaip...nca&Itemid=566