Foto – br.freepik.com
DDoS: Como enfrentar os zumbis da rede
Para combater os ciberataques, a recomendação dos especialistas para os provedores de acesso à Internet é enfatizar o planejamento e promover uma cultura sólida de prevenção dentro das empresas e junto aos parceiros.
Verônica Couto, colaboradora da Infra News Telecom
Os ataques DDoS (negação de serviço distribuída, em tradução livre) estão mais sofisticados e frequentes no cenário da pandemia, ao mesmo tempo em que sistemas anti-DDoS expandem seus recursos, disponíveis em caixas ou na nuvem e equipados com inteligência artificial e filtros mais poderosos. Para combater a sobrecarga proposital e criminosa da infraestrutura, a recomendação dos especialistas para os provedores de acesso à Internet é enfatizar o planejamento e promover uma cultura sólida de prevenção dentro das empresas e junto aos parceiros.
“Infelizmente, não é possível impedir que esses ataques ocorram”, reconhece Lucimara Desiderá, analista de segurança do Cert.br – Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil, mantido pelo NIC.br, do Comitê Gestor da Internet, e co-chair do LAC AAWG – Latin American and Caribbean Anti-Abuse Working Group. “Como não existe um tipo único de ataque DDoS, não há uma solução única para o problema. Mas, com planejamento adequado, é possível torná-lo menos danoso.”
Em 2020, o Cert.br recebeu 68,2 mil notificações sobre dispositivos em redes brasileiras que participaram de ataques de negação de serviço. Os ataques originados por botnets de IoT hoje representam a grande maioria das notificações. Outra modalidade de ataque que vem crescendo, segundo a entidade, é o sequestro de blocos IP, que pode ocasionar tanto negação de serviço contra o alvo, como redirecionamento de tráfego.
O Brasil é o quarto país que mais recebe ataques DDoS, alerta Marcio Vidal, diretor de engenharia da Everest Ridge, empresa brasileira focada em conectividade, gestão e segurança de redes de telecomunicações. “Em 2020, recebemos quase 9% de todos os ataques no mundo. A pandemia aumentou ainda mais este cenário.”
O vice-presidente de vendas Latam da Huge Networks, Diego Mazali, também detectou a pressão. “Muitas empresas migraram para a Internet e isso fez com que os cibercriminosos ficassem mais ativos do que nunca.”
Só em 2021, a Huge já mitigou mais de 700 mil anomalias — 35% a mais do que no mesmo período do ano passado. Atualmente, diz o vice-presidente, pessoas mal-intencionadas com poucas noções de computadores podem alugar na dark web botnets, verdadeiros exércitos de zumbis, capazes de ligar milhares, até milhões, de dispositivos conectados à Internet e derrubar uma rede em poucos minutos. A Huge Networks é especializada em soluções de detecção e mitigação de ataques DDoS.
Estratégias de defesa
Os ataques DDoS devem ser analisados sob duas perspectivas distintas, explica a analista de segurança do Cert.br.: uma em que a sua rede é alvo do ataque; a outra em que ela é “abusada” para gerar ataques. No primeiro caso, o primordial é o planejamento antecipado e estar preparado para responder de forma ágil para reduzir o impacto. Quando a rede da empresa e a do cliente podem ser a origem de ataques, cuidar da “higiene” é fundamental para evitar o comprometimento da infraestrutura do provedor e que o tráfego malicioso seja gerado e transmitido pelas redes.
Ela recomenda medidas como filtragem de tráfego com endereços IP de origem falsificados (antispoofing), aplicar correções para falhas de segurança e configurar corretamente serviços e equipamentos de redes. Ressalta ainda o cuidado na escolha de fornecedores, levando em conta se têm políticas claras para tratar vulnerabilidades de segurança em seus produtos.
“Além do abuso de serviços de rede mal configurados, que permitem a amplificação de tráfego, há um grande número de equipamentos de redes, como CPEs, instalados com senha padrão de fábrica, entre outras vulnerabilidades, que acabam sendo invadidos e passam a fazer parte de botnets para realização de ataques DDoS; entre outras ações maliciosas como propagação de malware e de spam, e mineração de criptomoedas”, afirma Lucimara. “Isso causa problemas de performance e também prejuízos à reputação dos ISPs.”
Outros fatores a se considerar no planejamento são itens como redundância e balanceamento de carga para serviços críticos e links de conectividade, e contar com um sistema autônomo (AS – Autonomous System) próprio a fim de ter autonomia de controlar os anúncios de rotas, necessários em caso de ativar serviços como black hole e sink hole.
O black hole consiste em redirecionar as requisições para um endereço de IP inválido, mantendo indisponível o IP alvo dos pacotes maliciosos. É uma das principais medidas de mitigação emergencial, mas impede também o acesso dos IPs legítimos. Desativar ou modificar as configurações de alguns protocolos de rede, na avaliação de Bruno Prado, CEO e presidente da UPX, empresa especializada em redes, segurança da informação e entrega de conteúdo, pode reduzir de forma mais efetiva os impactos do ataque DDoS, permitindo que apenas os pacotes legítimos sejam aceitos. “O gestor de TI precisa focar na origem do ataque e bloquear principalmente os IPs maliciosos. Infraestruturas acessadas por IPs nacionais, por exemplo, se beneficiam desse tipo de abordagem quando os ataques são de IPs de outros países. Afinal, o prejuízo causado pelo bloqueio de IPs estrangeiros será baixo.”
Lucimara, do Cert.br, destaca o documento “Recomendações para Melhorar o Cenário de Ataques Distribuídos de Negação de Serviço (DDoS)”, lançado pelo CGI.br e o NIC.br em 2017, que ajuda operadores e ISPs a reduzir os incidentes gerados por vulnerabilidades e falhas de configuração. Ele promove a adoção das MANRS – normas de acordo mútuo para segurança de roteamento, uma iniciativa apoiada pela ISOC – Internet Society. “Ser participante do MANRS é, inclusive, considerado um diferencial competitivo para os provedores”, diz Lucimara.
Em 2018, 70% dos casos incluíram protocolos de rede utilizados como amplificadores. Desde então, lembra a analista do Cert.br, são enviadas notificações aos detentores de sistemas autônomos brasileiros que possuam, em qualquer endereço IP sob sua responsabilidade, algum serviço mal configurado permitindo a amplificação de tráfego. A medida produziu efeito: no ano passado, as notificações de DDoS com amplificadores representaram menos de 1% dos casos.
Inteligência artificial
As soluções especializadas, anti-DDoS integral, que fazem a verificação contínua da infraestrutura, também se aperfeiçoam, com mais inteligência artificial e filtros de maior alcance. “Sistemas paliativos diminuem os impactos de um ataque no curto prazo, mas não resolvem a causa raiz do problema”, avisa o CEO da UPX. Segundo ele, as plataformas completas são capazes de manter a rede disponível mesmo durante o ataque. No caso da UPX, esse trabalho acontece a partir da inspeção do tráfego que entra e sai da infraestrutura levando em consideração o perfil de cada rede. Com o apoio de algoritmos inteligentes, pacotes de dados maliciosos são identificados e bloqueados.
De acordo com Vidal, da Everest Ridge, um sistema anti-DDoS precisa, em síntese, de um bom firewall, de uma configuração adequada da rede e de inspeção e controle do tráfego, com ferramentas de IA que detectam automaticamente aumento incomum no tráfego. Contra ataques mais sorrateiros, que utilizam técnicas de quantidade de acessos e fingem ser válidos, mas na verdade são para gerar negação de serviço, usa-se ferramentas que analisam o comportamento da aplicação e/ou conexão, conjuntos de firewalls com IPS e firewalls de aplicação, como os WAF – Web Application Firewall.
Quando o objetivo é indisponibilidade por volumetria, a proteção ocorre por equipamentos que analisam amostras do tráfego no backbone e disparam ações quando os eventos de incidentes ocorrem. Essas ferramentas podem efetuar a mitigação do tráfego, desvio para provedores especializados em mitigação, ou somente bloqueio do IP sob ataque.
As soluções anti-DDoS estão disponíveis em versões cloud, on-premise e híbridas. Na avaliação de Prado, da UPX, as ferramentas em cloud têm custo em geral mais baixo e mais escalabilidade. Dispensariam os custos de aquisição, treinamento e manutenção, sem a limitação de capacidade do hardware para filtrar o tráfego sujo. “Na caixa, quando o equipamento atinge a capacidade máxima de banda contratada, ele interrompe a mitigação e faz o descarte dos pacotes excedentes. O processo em cloud geralmente consegue fazer análises e filtragens com uma capacidade maior.”
Na Huge, a solução em nuvem realiza a inspeção de pacotes DPI – deep packet inspection, bloqueando somente o padrão da anomalia, com precisão de mitigação dos ataques DDoS em 99,5% em menos de 5 segundos, segundo o executivo da empresa. Já as caixas on-premise têm capacidade de 200 Gbps por equipamento e ASICs com chips para TLS/SSL/IPsec, atuando com full offload em velocidades wire speed, independentemente da quantidade de conexões ou tamanho de pacote, o que torna simples algumas tarefas antes inimagináveis, como a mitigação de ataques em camada da aplicação (OSI L7) em até 1ms.
O vice-presidente da companhia observa que é possível, ainda, adotar uma solução híbrida, de acordo com a necessidade do cliente. Uma vez que o equipamento é saturado pelos ataques, todo o tráfego é redirecionado para a nuvem — garantindo assim o funcionamento e a integridade da rede.
As tecnologias anti-DDoS, segundo Vidal, da Everest Ridge, vão se tornar cada vez mais eficientes. Por outro lado, adverte Prado, da UPX, os ataques também ganharão complexidade. Na opinião de Mazali, da Huge, o futuro está na conscientização da importância de se proteger na Internet. “A busca por mais conectividade, performance e segurança estão aumentando rapidamente. Para atender essas demandas, é necessário muito investimento na ampliação da infraestrutura a fim de torná-la cada vez mais globalizada e capaz de trocar informação com o mundo todo.”
