Em 2018, GitHub viu um dos maiores ataques DDoS alguma vez registados. De acordo com Wired, o ataque media 1,35 terabits de dados por segundo, e GitHub sofria de interrupções como resultado. Felizmente, a empresa tinha uma estratégia de mitigação em vigor e mudou rapidamente para o encaminhamento do tráfego através do seu serviço de protecção DDoS, evitando o ataque.
De acordo com a Netscout, cuja subsidiária Arbor Networks criou um mapa que mostra os ataques diários de DDoS, a empresa detectou 23.000 ataques diários em 2019, em média. O seu relatório anual de ameaças advertia que o aumento da IOT, que este ano irá produzir 20 mil milhões de dispositivos conectados, aumenta grandemente os riscos de ataques DDoS, que têm aumentado em frequência e intensidade.
Mas como a experiência de GitHub demonstra, é possível ter um plano que pode diminuir os danos e até mesmo evitar os ataques DDoS quando estes ocorrem. As empresas podem tomar precauções técnicas, utilizar serviços de protecção DDoS e adoptar planos comerciais claros em antecipação de um ataque.
O que é um ataque distribuído de negação de serviço (DDoS)?
MAIS SOBRE CYBERSECURITYAs aplicações de rádio da polícia estão a surgir na Popularidade. Há apenas um problema.
Como é a Negação de Serviço?
Instrutor Tom Scott explica no Computerphile que o núcleo malicioso de um ataque DDoS é a negação de serviço, uma forma de ataque vista pela primeira vez nos anos 90, quando a maioria das pessoas com computadores navegava na Internet utilizando uma ligação dial-up. A discagem é lenta – atinge 56.000 bits por segundo, menos de 1 por cento da velocidade das ligações de banda larga modernas. De acordo com um post de blog por SolarWinds, essas velocidades tornam impossível ver vídeos em tempo real, e mesmo carregar uma única página num website moderno levaria em média mais de um minuto.
No vídeo Computerphile, Scott explica que os atacantes que tinham acesso a velocidades de Internet mais rápidas, tais como a banda larga disponível para computadores empresariais e universitários, seleccionariam um alvo e enviariam uma torrente de dados para ele, deixando o alvo incapaz de fazer ligações adicionais. O factor mais importante num ataque bem sucedido era ter uma ligação à Internet mais rápida do que o alvo, pelo que o alvo ficaria sem largura de banda para lidar com outros pedidos.
Scott diz que, embora este tipo de ataque cibernético não roube nenhuma informação ou danifique permanentemente os sistemas, coloca um problema aos sítios web, que são impedidos de servir os seus utilizadores devido ao facto de os atacantes terem evitado todos os pedidos legítimos. Para um utilizador que tenta navegar para um sítio web sob um ataque de negação de serviço, a página nunca carregaria – ficaria pendurada durante muito tempo, depois simplesmente sem tempo.
Hoje em dia, salienta Scott, este tipo de ataque de inundação de negação de serviço é menos popular, porque é difícil ter um computador com largura de banda suficiente para derrubar um sítio web por si só. Mas os atacantes são bastante criativos, e há sabores de negação de serviço que contornam esse problema.
Uma rotação interessante é conhecida como Slowloris, que o instrutor Mike Pound descreve num vídeo Computerphile. Em vez de enviar o máximo de dados possível através do computador do atacante, o ataque Slowloris prolonga o tempo de cada pedido indefinidamente, aproveitando a forma como os servidores web e os clientes comunicam. Este método liga as ligações ao servidor e eventualmente monopoliza todo o tráfego para o servidor visado. Para os atacantes, a vantagem dos ataques de Slowloris é que não tiram muita largura de banda, mas o ataque só é eficaz em servidores que têm dificuldade em lidar com um grande número de ligações simultâneas.
Tipos de ataques DDoS
DDoS – que significa negação de serviço distribuída – é uma das versões mais populares de ataques de negação de serviço. Cloudflare, uma empresa que oferece serviços de protecção DDoS, juntamente com outras infra-estruturas web e produtos de segurança, explica a estratégia de ataque no seu website. Em vez de lançarem o ataque a partir de um único computador, os atacantes utilizam muitas máquinas distribuídas em diferentes locais, trabalhando em concertação para subjugar o alvo. As máquinas distribuídas são frequentemente computadores, ou mesmo dispositivos inteligentes como monitores de bebés, que foram secretamente infectados com malware e recrutados para uma botnet sob o controlo do atacante. O atacante é então capaz de utilizar as máquinas distribuídas – ou bots – para enviar tráfego para onde quer que seja necessário para realizar qualquer tipo de ataque DDoS.
De acordo com o CTO Cloudflare John Graham-Cumming, hoje em dia é comum que os ataques utilizem múltiplos tipos de DDoS num único ataque: “É apenas uma tentativa de sobrecarregar a rede, por isso tentarão enviar o maior número possível de coisas diferentes”, disse ele ao Built In.
P>Que, segundo ele, os ataques tendem a cair em três categorias.
O primeiro tipo de ataque DDoS, conhecido como ataque de camada de aplicação, funciona como ataques de inundação de negação de serviço, apenas numa escala maior, de acordo com o website do Cloudflare. Os bots enviam uma torrente de tráfego a um alvo, expulsando outros utilizadores que tentam aceder ao servidor alvo. Os atacantes normalmente dirigem o tráfego em pontos finais de tempo intensivo sobre o alvo – pensam em pedidos que requerem grandes consultas a bases de dados ou geram grandes ficheiros. Estes tipos de endpoints não requerem muitos recursos por parte do atacante para serem atingidos, mas são de largura de banda intensiva para que o alvo responda. Isso significa que o alvo pode rapidamente queimar através dos seus recursos.
“É apenas uma tentativa de sobrecarregar a rede, pelo que tentarão enviar o maior número possível de coisas diferentes”
Um outro tipo de ataque DDoS visa a forma como os protocolos da Internet – as regras que facilitam a forma como os computadores comunicam através da Internet – devem funcionar. Um exemplo delineado pelo Cloudflare é o ataque SYN flood, que visa o protocolo de controlo de transmissão (TCP). Numa transacção TCP normal, o cliente e o servidor estabelecem uma ligação através da troca de uma série padronizada de mensagens conhecida como um “aperto de mão”, semelhante à forma como, na escalada em rocha, o alpinista comunica com o belayer com reconhecimentos padronizados. Este aperto de mão diz a ambos os lados que uma ligação é estabelecida com sucesso.
Um ataque de inundação SYN partilha algumas semelhanças com uma negação de serviço de Slowloris. Durante o ataque, o atacante envia apenas a primeira das três partes do aperto de mão para o servidor alvo. O servidor responde então com o segundo, mas o atacante não envia o reconhecimento final, deixando o servidor à espera e incapaz de utilizar essa ligação para responder a pedidos adicionais durante algum tempo. O facto de ter uma botnet a fazer isto multiplica o efeito no alvo.
O terceiro tipo de ataque DDoS é o ataque de amplificação. De acordo com o Cloudflare, estes ataques aproveitam uma variedade de protocolos de Internet para multiplicar o tamanho de cada pedido enviado por um atacante. Por exemplo, o ataque de amplificação do sistema de nomes de domínio (DNS) utiliza o protocolo DNS, que os computadores utilizam normalmente para procurar o endereço IP que corresponde a um determinado URL de website, um passo que torna possível a navegação na Internet. Os clientes normalmente enviam um pedido contendo o URL de um website que querem consultar a um servidor DNS, e recebem de volta uma resposta com o endereço IP correspondente.
Cloudflare explica que o atacante realiza a amplificação do DNS através de “spoofing” de onde veio o pedido – fazendo o servidor DNS pensar que o pedido foi enviado do alvo e não do atacante. O pedido irá normalmente pedir ao servidor DNS uma grande quantidade de dados, que o servidor DNS envia então para o alvo. O efeito de amplificação provém da largura de banda relativamente pequena que é necessária para o atacante enviar o pedido, relativamente à largura de banda necessária para o alvo receber a resposta, e da capacidade do atacante de enviar pedidos para múltiplos servidores DNS. Como com todos os ataques distribuídos, isto é multiplicado pelo número de bots na botnet que realiza o ataque.
Abrir os efeitos do DDoS
Ataques DDoS, como outros ciberataques, são ilegais ao abrigo da Lei de Fraude e Abuso de Computadores dos Estados Unidos, mas isso não impediu que as pessoas os utilizassem. Os activistas têm usado a DDoS como forma de protesto online, e o colectivo de hackers Anónimos até solicitou que a DDoS fosse legalizada, argumentando que é uma forma de liberdade de expressão semelhante à dos manifestantes presenciais que negam o acesso a um edifício. Os ataques contra os jogadores online têm sido tão prevalecentes que as empresas de jogos até publicam guias sobre estratégias de prevenção. Os governos também têm sido alvos e perpetradores de ataques DDoS.
Para evitarem tornar-se na próxima vítima, as empresas podem tomar medidas preventivas. No curso Pluralsight “Ethical Hacking”: Negação de Serviço”, o instrutor Troy Hunt explica que a DDoS faz os seus estragos ao ocupar todas as ligações de rede ou largura de banda que a empresa deveria estar a gastar com utilizadores legítimos. O rápido aumento dos servidores para lidar com mais ligações e largura de banda pode mitigar o problema – mas também pode ser caro. As empresas que hospedam os seus sites em provedores de nuvens têm geralmente acesso fácil a esta opção.
Hunt explica no seu curso que outra estratégia é as empresas colocarem endpoints que desempenham funções intensivas em recursos por detrás de algum tipo de protecção, tornando difícil para os bots chegar até eles. Por exemplo, as empresas podem evitar que os bots amarrem rapidamente os recursos do servidor, colocando endpoints com consultas intensivas a bases de dados ou grandes downloads de ficheiros atrás de páginas de login. O teste omnipresente, com as suas palavras ou imagens onduladas para os utilizadores decifrarem, é outra forma de proteger os endpoints famintos de recursos dos bots.
A forma como as empresas arquitectam os seus sítios web também é importante, diz Hunt. A codificação de um website como componentes interligados, em vez de um monólito interdependente, permitiria que outras secções de um site permanecessem funcionais mesmo que uma secção fosse afectada por um ataque DDoS.
Como funcionam os serviços de protecção DDoS
Hoje em dia, muitas empresas oferecem protecção DDoS como um serviço.
Cloudflare é um dos maiores destes serviços de protecção DDoS. Utiliza algumas das mesmas técnicas que as empresas individuais utilizam para proteger contra DDoS, mas de acordo com o blog da empresa, a sua maior arma é uma grande rede de servidores em todo o mundo que interceptam tráfego web em nome dos clientes.
A rede de Cloudflare situa-se entre os servidores de um cliente e o resto da Internet, aceitando pedidos de clientes recebidos e transmitindo-os aos servidores do cliente. Como intermediário, o Cloudflare pode procurar actividades suspeitas e filtrar quaisquer pedidos maliciosos, deixando-os cair antes de chegarem ao cliente.
P>Even quando um ataque DDoS é dirigido a um cliente, o Cloudflare é capaz de absorver a investida de dados, espalhando-os pela rede do Cloudflare e dividindo o trabalho por muitos servidores. Em cada servidor, o Cloudflare verifica cada tipo de ataque DDoS e filtra os pedidos em conformidade.
“Todos estes diferentes tipos de ataques, o que se quer fazer é dividi-los de modo a irem para o maior número possível de cidades diferentes”, disse Graham-Cumming ao Built In. “Dentro de cada centro de dados, identifica-se então o que é mau e livra-se dele. Portanto, quer seja como uma inundação SYN, um ataque ACK, algo que está a usar amplificação DNS, é em muitos aspectos a mesma coisa”
“Literalmente pode olhar para o padrão de dados no pacote e dizer, ‘Isso é uma inundação SYN.””
Pode ser difícil para empresas individuais lidar com ataques envolvendo múltiplos tipos de DDoS, especialmente porque algumas variedades são mais difíceis de detectar do que outras. Graham-Cumming disse que os tipos mais difíceis de detectar pelas empresas são os ataques da camada de aplicação, onde os ataques DDoS podem parecer pedidos regulares, para além do volume.
Cloudflare trata de ataques da camada de aplicação, analisando os sinais de intenção maliciosa. Parte desta análise é ajudada pela aprendizagem de máquinas, disse Graham-Cumming.
“Devido à escala de uma rede cloud-first – com um número tão grande de utilizadores a utilizar o Cloudflare, tráfego a passar por nós – podemos de facto procurar comportamentos anómalos na nossa rede, o que seria uma indicação de algum tipo de ataque, e depois podemos utilizar isso para proteger outros utilizadores”, disse ele. “Trata-se mais de olhar para o tráfego, olhar para os pacotes que vêm na sua direcção, fazer uma impressão digital sobre eles e dizer, ‘Sabemos que este pacote, na verdade, está a participar num DDoS devido a alguma característica do próprio pacote'”
As impressões digitais Cloudflare desenvolvidas para reconhecer padrões de ataque são bastante sensíveis, disse ele.
“Literalmente, pode-se olhar para o padrão de dados no pacote e dizer, ‘Isso é uma inundação SYN'”, disse Graham-Cummings.
Mas as empresas que utilizam os serviços de protecção DDoS devem continuar vigilantes.
“Os atacantes tentam então contornar o serviço”, disse ele. “Eles tentarão encontrar o endereço IP original do seu serviço e ir directamente atrás dele”
Graham-Cumming recomendou que os clientes que utilizam os serviços de protecção DDoS configurem filtragem no seu tráfego – para que os seus servidores apenas aceitem tráfego proveniente do endereço IP do serviço – para corrigir este problema.
What Every Business Needs in the Event of a DDoS Attack
DDoS pode prejudicar a reputação de uma empresa, afectar negativamente as receitas e exigir despesas substanciais para remediar o ataque. Hunt explica no seu curso Pluralsight que utilizadores legítimos e clientes não conseguem aceder ao sítio visado, impedindo que o negócio funcione normalmente e cortando as compras e receitas publicitárias do sítio.
Ataques DDoS não podem roubar directamente informações de um alvo, mas sabe-se que os atacantes usam DDoS para distrair as empresas de ciberataques simultâneos – enquanto a organização está ocupada a tentar gerir o DDoS, os atacantes vão atrás dos seus verdadeiros objectivos. E os ataques DDoS que se prolongam por um longo período de tempo podem ser usados para extorquir os seus alvos, semelhante aos ataques de resgate.
Hunt explica no seu curso que a melhor forma de responder a um ataque DDoS é já ter um plano em vigor quando este ocorre. É uma boa ideia preparar uma declaração da empresa que seria divulgada ao público no caso de um ataque. As empresas devem também pensar nos custos associados a um ataque DDoS nos seus sítios particulares e utilizar essa estimativa para determinar o que estão dispostas a pagar para resolver um ataque.
Tentar fazer um cálculo de custo-benefício no meio de uma crise não é uma boa ideia, diz Hunt, especialmente se o ataque está a custar à empresa receitas a cada minuto. Mas com estratégias comerciais preparadas com antecedência e medidas técnicas de protecção em vigor, as empresas não serão apanhadas desprevenidas e poderão sobreviver a um ataque DDoS.
MAIS SOBRE CYBERSECURITYHere’s What Happens After a Company Gets Hacked