0
0
Falta de cuidados com equipamentos, serviços e a configuração de blocos de endereçamento IP tem colocado ISPs sob risco iminente de ataques distribuídos de negação de serviço
André Barreto do Santos*
Provedores de serviços de internet (ISPs, na sigla em inglês) estão sob risco iminente de ataques distribuídos de negação de serviço (DDoS) em larga escala e isso, em grande parte, se deve à falta de cuidados com equipamentos, serviços e a configuração de blocos de endereçamento IP.
No ano passado, diversos provedores brasileiros passaram por momentos difíceis enfrentando ataques de DDoS em sua estrutura, fato que gerou diversas publicações em redes sociais, jornais e programas de TV. Recentemente, no final de fevereiro, uma nova onda de ataques voltou a assolar diversos ISPs, com vários relatos envolvendo provedores do Rio de Janeiro que, inclusive, têm se manifestado publicamente, informando os clientes que estão enfrentando sérios problemas no fornecimento dos serviços devido a esses ataques. Os exemplos a seguir comprovam a existência de uma nova onda de ataques:
A vítima não é necessariamente o alvo
Apesar dos transtornos que causam às operações de provimento de internet, os ataques DDoS direcionados aos ISPs, ao contrário do que se imagina, não têm necessariamente como alvo os provedores. Na maioria dos casos, o objetivo dos grupos hackers é usar a infraestrutura dessas empresas para atacar os verdadeiros alvos, que geralmente são as grandes corporações multinacionais.
Equipamentos com configurações inadequadas ou incorretas e descuidos humanos, normalmente são fatores que facilitam as explorações e o “recrutamento” dessa infraestrutura para submundo do crime.
Durante ataques DDoS em grande escala, as vítimas costumam ser acometidas por um alto volume de requisições, provenientes de milhares, às vezes, dezenas de milhares, de origens diferentes, geralmente espalhadas pelo mundo todo.
Medidas e estratégias de mitigação que dependem do trabalho humano para a identificação das fontes dos ataques se tornam ineficazes diante do enorme poder de fogo dos hackers, já que proveem de milhares de origens maliciosas diferentes, as quais passam a chegar repentinamente na infraestrutura da vítima (veja exemplo abaixo).
Para mapear e neutralizar rapidamente esses milhares de “atacantes”, é fundamental que a empresa possua uma estratégia, com uma abordagem que contemple tecnologias de inteligência artificial (IA) voltadas à segurança cibernética, para que possa responder ao incidente com a velocidade de uma máquina.
Ataques DDoS espalhados por 181 países
No dia 12 do mês passado, cerca duas semanas antes da nova onda de ataques DDoS ser divulgada publicamente, a Hacknet, rede neural artificial voltada à identificação de atividades hackers no mundo, identificou e mapeou uma grande rede com mais de 40 mil servidores, espalhados por 181 países, que estavam sendo usados para gerar ataques de DDoS.
A notícia foi divulgada no site e nas redes sociais da empresa NetSensor, que é a mantenedora dessa rede neural, juntamente com um link para download da lista dos IPs que estavam sendo usados nos ataques, de maneira que os profissionais de segurança pudessem tomar medidas preventivas de proteção.
A NetSensor trabalhou a lista de dispositivos que estavam sendo explorados, enriqueceu com mais dados e enviou comunicados privados para os endereços cadastrados como forma de contato para cada um dos blocos de endereçamentos IP.
No Brasil foram mais de mil empresas envolvidas, o que resultou em mais de 1.600 e-mails de contato, nos quais a NetSensor emitiu o alerta, passou informação sobre o dispositivo e se colocou à disposição para maiores esclarecimentos.
O resultado das notificações surpreendeu negativamente, com coisas como:
- Caixa de e-mail não existente;
- Domínios não existentes;
- Retorno de caixa de e-mail cheia, indicando que provavelmente se trata de uma caixa “esquecida”, sem leitura nem limpeza;
- Responsáveis pelos blocos que deram retorno dizendo que fazem a sublocação do IP e não têm responsabilidade sobre o que está sendo feito com ele.
Houve, inclusive, um caso em que quem deveria ser o responsável pelo bloco informou que não o utilizava há mais de dois anos. Como responsáveis, será que não se perguntaram: “quem está usando esse bloco então?”
O retorno mais triste foi o do responsável pelo bloco de um provedor, que apenas escreveu: “remova meu e-mail da lista por gentileza”.
Poucas empresas adotam postura séria
Houve também algumas empresas que retornaram de forma positiva ao alerta. Algumas encaminharam o caso para o responsável pelo dispositivo que estava usando o IP, outras pediram mais informações sobre o caso e, ainda, algumas agradeceram o alerta e disseram que iriam analisar o caso e tomar as medidas necessárias.
Infelizmente o percentual de empresas com essa postura mais séria e profissional ficou por volta de 0,5%.
Diante desse cenário, as empresas de modo geral precisam ter em mente que o crime cibernético se especializou muito nos últimos anos, se tornou altamente organizado, estruturado, inteligente e rentável. Portanto, para estar à altura de enfrentar e se defender desses cibercriminosos, é preciso desenvolver técnicas, conhecimento e lançar mão de recursos com inteligência que se equiparem ao nível dos nossos ofensores. Ou seja, buscar novas abordagens e tecnologias capazes de ajudar na defesa contra as novas ameaças, que, atualmente, não se consegue enfrentar de maneira eficaz.
Além disso, os descasos, imperícias e negligências que se verifica em relação às redes, equipamentos e serviços, não podem mais ser admitidos. Só assim haverá chances de êxito para enfrentar as ameaças que nos rondam, vindas do submundo da internet.
*André Barreto dos Santos atua há mais de 25 anos na área de tecnologia e é especialista em segurança da informação, redes de comunicação, firewalls e servidores Linux. É hacker ético apaixonado pela busca e mitigação de vulnerabilidades. É também fundador da empresa de segurança cibernética NetSensor.
FONTE: CISO ADVISOR