Segurança Básica: Ataques Distribuídos de Negação de Serviço (DDoS)

Com mais de 1 bilhão de usuários, a Internet se tornou um canal para empresas e pessoas acessarem informações, realizarem operações bancárias, fazer compras, se conectar com outras pessoas e atingir uma audiência por meio de plataformas de mídia social. A desvantagem de toda essa conveniência é a sua vulnerabilidade a interrupções. Os cibercriminosos têm os meios e a habilidade para roubar informações ou parar sistemas operacionais por motivos que vão de espionagem industrial e ganho financeiro a ativismo e promoção de agendas políticas.

Durante os últimos anos, os ataques distribuídos de negação de serviço (DDoS) se tornaram um problema de segurança cada vez maior para empresas privadas e organizações do setor público. Ataques DDoS aumentam em tamanho e impacto. Além do mais, tem havido uma tendência de largura de banda de maior pico, maior duração do ataque e o uso de DDoS não apenas como uma ferramenta de hacktivismo, mas também de extorsão. Incidentes e tendências anteriores relacionados a ataques DDoS entre 2013 e 2015 revelaram que a média da largura de banda de pico dobrou. No final de 2014, depois dos protestos do movimento Occupy Central em Hong Kong, o CEO da CloudFlare CEO, Matthew Prince, declarou que o maior ataque DDoS foi feito contra sites de mídia independentes na província. Segundo Prince, ele foi ainda maior que o recordista anterior, um ataque de 400Gbps na Europa, no começo de 2014.

O que é um ataque DDoS?

Um ataque DDoS é projetado para interromper ou tirar do ar uma rede, serviço ou site. Um ataque DDoS acontece quando agressores utilizam uma grande rede de PCs remotos, chamados de botnets para sobrecarregar a conexão ou o processador de um outro sistema causando uma negação de serviço para o tráfego legítimo que está recebendo. O objetivo e o resultado final de um ataque DDoS bem-sucedido é tornar o site do servidor alvo indisponível para as solicitações de tráfego legítimas.

Como funciona?

A logística de um ataque DDos pode ser melhor explicada com um exemplo figurativo. Digamos que um usuário entre em um banco que só tem um caixa aberto. Assim que ele se aproxima do caixa, outra pessoa passa na sua frente e começa a bater papo com o caixa, sem intenção de fazer qualquer transação bancária. Mesmo sendo um usuário legítimo do banco, ele não consegue depositar seu cheque e é forçado a esperar até que o usuário “malicioso” termine a conversa. Porém, depois que esse usuário malicioso sai, outra pessoa entra na frente do usuário legítimo, atrasando-o outra vez. Esse processo pode continuar durante horas, impedindo que o usuário, ou quaisquer outros usuários legítimos realizem transações bancárias.

Um ataque DDoS em um servidor da web funciona da mesma maneira porque não há virtualmente nenhum modo de diferenciar as solicitações legítimas dos ataques dos agressores até que o servidor da web processe a solicitação. O que realmente acontece quando uma empresa é vítima de um ataque DDoS? Para começar, ela tem que imediatamente desviar sua atenção das operações cruciais para colocar seu site em funcionamento novamente.

O surto de DDoS

Um número crescente de perpetradores e grupos mostraram que conseguem lançar ataques DDoS com sucesso. Em 2013, um ataque de 300Gbps contra a Spamhaus foi considerado o maior de todos. O ataque foi iniciado por um adolescente em Londres.

Um número crescente de perpetradores e grupos mostraram ter a habilidade de lançar ataques DDoS com sucesso. Em 2013, um ataque de 300Gbps contra a Spamhaus foi considerado o maior de todos. O ataque foi iniciado por um adolescente em Londres.

Ao mesmo tempo, estados nação como Irã e China foram suspeitos de estarem envolvidos em vários incidentes DDoS, ou seja, em uma onda de ataques contra os bancos dos EUA e o já mencionado ciberataque do Occupy Central, respectivamente, em 2012. Em 2015, um governo também pode ter se envolvido no ataque DDoS contra o GitHub (um site de compartilhamento de repositórios de códigos), que pode ter sido maior que o ataque de Hong Kong.

Além do GitHub e da mídia de Hong Kong, propriedades de vídeo games como “League of Legends” e o portal Origin da Electronic Arts, instituições do setor público, incluindo o governo holandês e empresas de software como o Evernote, todos sofreram interrupções do DDoS que tirou seus sites temporariamente do ar. No segundo trimestre de 2015, o número de ataques DDoS alcançou a maior popularidade de todos os tempos. De acordo com o Relatório de Segurança – Situação da Internet, 3º trimestre de 2015, da Akamai, os ataques DDoS aumentaram 180% em comparação ao mesmo trimestre de 2014. O maior ataque DDoS registrado no trimestre durou mais de 13 horas a 240Gbps- notável porque os ataques normalmente duram cerca de uma a duas horas. Entre eles, os setores de software e de jogos foram responsáveis por mais de 75 % de todos os ataques DDoS documentados no relatório da Akamai. As empresas de jogos viram sua participação no total aumentar de 35 para 50 % em apenas um ano.

Recentemente, os sites da BBC e o site principal da campanha presidencial do candidato Donald Trump foram atingidos pelos maiores ataques DDoS até agora. Entre os dois, o maior foi realizado contra a BBC com mais de 600 Gbps. Segundo os relatórios, a BBC anunciou que a queda tinha sido causada por alguma “falha” técnica, mas mais tarde, reconheceu que um grupo chamado “New World Hacking” declarou ter lançado o ataque DDoS.

Com a crescente popularidade de campanhas de extorsão DDoS, saber as causas e características desses ataques é essencial para orientar os investimentos em ferramentas e software de segurança anti-DDoS. Os CIOs de grandes empresas devem garantir que exista uma criptografia em vigor nas análises e em outras ferramentas da web usadas por suas empresas, estar ciente de possíveis vetores de ataque DDoS e investir em ferramentas de segurança de rede que identificam anomalias e problemas no tráfego.