• Média do Volume dos Ataques DDoS Triplicou

    O volume médio de pacotes para a realização de ataques DDoS aumentou 340 por cento, para 4,36 milhões de pacotes por segundo (Mbps), e o volume médio aumentou em 245 por cento, para 12,1 Gbps no último trimestre de 2014, de acordo com a Black Lotus. Os aumentos registrados nas médias dos ataques sinalizam uma mudança de métodos utilizados pelos autoresdas investidas. Além disso, os cybercriminosos são favorecidos por ataques mais complexos, usando vários vetores e misturando camadas de aplicação, SYN e flood attacks UDP em uma atividade conjunta. O maior ataque do tipo DDoS observado durante o período do relatório foi de 41,1 Gbps, em 1º de outubro de 2014, o que atribuiu um crescimento significativo à ações dessa natureza.


    Isso devido ao uso de várias ações combinadas, consistindo em ataques de alta complexidade para que os criminosos pudessem, de fato, alcançar o seu intuito de paralisar serviços e realizar outras interrupções prejudiciais a seus alvos. Dessa forma, as organizações devem ter o cuidado de examinar outras partes de seus sistemas, para se proteger contra vazamentos de credenciais ou outras formas de violações de dados, porque os cyberatacantes muitas vezes utilizarão os ataques DDoS como uma distração ou mesmo com a intenção de realizar outra atividade nefasta. Vale salientar que as notificações de incidentes de rede triplicaram no ano passado, com especial destaque para ataques de negação de serviço, que atingiram mais de 220.000 casos, ou seja, foi o equivalente a 217 vezes maior do que o registrado um ano antes. No total, as notificações ao Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (CERT.br), somaram 1.047.031 casos só no ano de 2014.


    Necessidade de "Antispoofing" para Coibir Ataques do Tipo DDoS

    De acordo com Cristine Hoepers, gerente do CERT.br, este tipo de ataque só funciona porque as redes violadas não implementam uma técnica chamada "antispoofing". Diante disso, é importante que todos os provedores de conectividade e todas as empresas implementem esta técnica, para reduzir os impactos dos ataques. Outro ponto importante a ser ressaltado, é que a maior parte das notificações recebidas foi relativa a servidores mal configurados no Brasil, sendo abusados para amplificar ataques de negação de serviço, o que envolve computadores "zumbis". Além do mais, o ativismo digital, extorsão, vandalismo e relação com jogos on-line constituem as principais motivações por trás desse tipo de ataque. As notificações de tentativas de fraude constituem a maior parte (44%) dos relatos recebidos pelo CERT.br em 2014. Ao todo, foram 467.621, um número cinco vezes maior do que o registrado em 2013.


    Ocorrências de Phishing Clássico

    Os casos de páginas falsas de bancos e sites de comércio eletrônico (phishing clássico), cresceram em 80% e os casos de páginas falsas não relacionadas com fraudes financeiras, como as de serviços de webmail e redes sociais, tiveram um aumento de 73% só no ano de 2014. Além disso, os ataques a servidores Web aumentaram 54% em relação ao ano de 2013, totalizando 28.808 notificações recebidas. São casos em que os atacantes exploram vulnerabilidades em aplicações Web para, então, hospedar nesses sites páginas falsas de instituições financeiras, os mais diversos tipos de trojans, ferramentas utilizadas em ataques a outros servidores Web e scripts para envio de spam ou scam. Também é muito importante lembrar que ações simples podem minimizar os riscos e diminuir bastante a vulnerabilidade do computador do usuário, assim como ter um bom antivírus atualizado e instalado, manter programas e sistema operacional atualizados e instalar um firewall pessoal.

    Existe também a importância de evitar abrir sites e links recebidos, ou que estejam presentes em páginas duvidosas. As notificações de atividades relacionadas com a propagação de worms (estes são programas capazes de se propagar automaticamente pelas redes, enviando cópias de si mesmo de computador para computador) e bots (programas que dispõem de mecanismos de comunicação com o invasor que permitem que ele seja controlado remotamente) totalizaram 42.191 no ano de 2014, aumentando em mais de 50% em comparação com o ano de 2013. No mais, as atividades que possuem o intuito de identificar quais computadores estão ativos e quais serviços estão sendo disponibilizados por eles, conhecidos como varreduras, totalizaram 263.659 notificações em 2014, representando um aumento de 59% desses registros. As notificações de varreduras de SMTP (25/TCP), que em 2013 eram 35% do total, registraram uma certa diminuição e correspondem, em 2014, a 24% de todas as varreduras realizadas.


    Limites Excedidos

    Um ataque cracker pode acontecer das mais diversas maneiras e ter diferentes objetivos. O tipo de ataque mais comum é a invasão, que em geral tem como objetivo roubar dados sigilosos. De forma geral, o objetivo é atacar instituições financeiras para obter lucros ou interromper o funcionamento da página atacada (o que pode ser feito através da exclusão de arquivos). No caso de um ataque realizado pelo grupo Lulz Security Brazil, não foi exatamente uma invasão, mas sim um ataque distribuído por negação de serviço. Esse tipo de ataque não visa roubar dados (isso em um primeiro momento), porém tem como finalidade retirar determinado site do ar, temporariamente, sem causar grandes danos. Assim, os objetivos por trás de um ataque como esse que foi citado, podem ser muitos, que vão desde uma habitual reinvindicação política até o envolvimento de atividades criminosas.
    Além disso, o ataque distribuído por negação de serviço (DDoS, do inglês Distributed Denial-of-Service attack), atinge sua meta quando consegue exceder todos os limites do servidor. Para atingir esta façanha, os responsáveis pelo ataque desenvolvem programas maliciosos, programas estes que são instalados em diversas máquinas, as quais realizarão múltiplos acessos simultâneos contra o site alvo.


    Resolução do Problema

    Na tentativa de combater um ataque distribuído por negação de serviço, os profissionais que trabalham contra esse ataque precisam efetuar algumas configurações nos equipamentos que levam até o site desejado. Em geral, são utilizados filtros que vão determinar quais IPs podem acessar o site, e quais são perigosos para o servidor. Uma outrasolução nesse caso é recorrer a empresas especializadas, como a Akamai, que utilizam diversos computadores para conter o ataque. Essa técnica é efetiva porque as máquinas estão em diferentes locais do planeta e combatem os zumbis dividindo a tarefa, de modo que cada computador de defesa possa combater um número reduzido de máquinas.


    Continuidade dos Ataques do Tipo DDoS

    O governo brasileiro já divulgou um programa de contenção para os ataques realizados em todos os sites, porém, os responsáveis pelos DDoS podem perfeitamente realizar novos ataques iguais aos que já efetuaram ou até piores que eles, além de invasões dos servidores que são bem prováveis de acontecer. Além do mais, detectar outros ataques distribuídos por negação de serviço deve ser bem mais fácil daqui para frente. Entretanto, os atacantes podem utilizar técnicas ainda mais aperfeiçoadas para futuras atividades contra o governo. É lógico que o assunto DDoS é muito mais complexo do que é possível abordar e artigos e matérias similares, porém, o objetivo de tudo o que publicado sobre esse assunto, é passar uma noção básica do que está acontecendo por trás dos ataques recentes que foram registrados.


    Saiba Mais:

    [1] Net Security http://www.net-security.org/secworld.php?id=18125

    Sobre o Autor: Camilla Lemke


Visite: BR-Linux ·  VivaOLinux ·  Dicas-L