Ataques DDoS atingem novo patamar, qual será o futuro?

Sempre me questionei a respeito do que aconteceria se um ataque digital fosse feito usando centenas de milhares de dispositivos móveis ao redor do mundo, e me deparei no passado perdendo o sono diversas vezes com algo desta magnitude. Infelizmente hoje podemos dizer que algo similar aconteceu recentemente no mês de setembro e outubro deste ano. Neste cenário, é fácil dizer que não foi surpresa o ataque ter acontecido, mas foi realmente uma surpresa a forma como foi feito.

Preocupado com este cenário, venho acompanhando o crescimento do número de dispositivos conectados à internet, sejam eles celulares, tablets, câmeras, roteadores wireless ou diversos outros tipos de equipamentos, há mais de 3 anos e facilmente ver-se que existe um crescimento surpreendentemente a cada ano. Segundo o Juniper Research, uma empresa especializada na elaboração de pesquisas, em 2020 teremos mais 38,5 bilhões de dispositivos conectados em todo o mundo. Considerando que todos nós certamente pensamos em segurança em um dispositivo antes de conectá-lo a internet, imagine o tamanho do estrago que teremos quando 38,5 bilhões de dispositivos estiverem enviando e recebendo informações em diversos cantos do mundo? Só no Brasil, segundo um estudo realizado pela Fundação Getúlio Vargas, existem mais usuários de smatphones do que de notebooks e tablets, adivinhe o novo resultado desta pesquisa quando tivermos mais opções a um preço menor para compra.

Olhando de forma ampla, podemos dizer que as opções para este post são muitas. Poderia eu aqui falar do crescimento espantoso de malwares bancários para dispositivos móveis, já que um recente levantamento da Kaspersky Lab, uma importante referência para pesquisas envolvendo o tema segurança, detectou mais de 77.000 trojans bancários, sendo 98% projetados para o sistema operacional Android, mas não vou! Poderia também discutir neste post a ameaça que expos mais de 100 milhões de usuários do WhatsApp, mas também não vou abordar isto hoje! Então, pelo amor de Deus, que tema você vai falar Denis?

Vamos detalhar o ataque digital que ocorreu em 21 de outubro nos servidores da Dynamic Network Services, conhecida como Web Dyn. Primeiramente é importante saber que a Dyn conduz o acesso a sites como Twitter, Netflix, Spotify ou CNN através dos seus servidores de DNS (Domain Name System) e ao receber este ataque, mais de 1,2 mil sites ficaram inacessíveis. Entenda que quando navegamos pela internet, precisamos dos servidores de DNS para apontar onde estão os sites desejados e sem eles nenhum ambiente Web pode ser alcançado.

As análises iniciais da própria Dyn apontam que o ataque superou 50 vezes a volumetria de seu acesso normal, recebendo uma volumetria maior que 1.2Tbps com origem em localidades como Ásia, América do Sul, Europa e US. Observe que a complexidade deste ataque poderia prejudicar qualquer site isoladamente, seja em grande ou pequena escala de impacto, mas acredito que neste caso certamente foi feito um estudo detalhado envolvendo a relação fragilidades vs impacto. Não tenho dúvida que a Dyn tinha diversas proteções, poderia ter sido bem pior se não tivesse, mas nada poderia preparar para o que aconteceu. O objetivo final de quem fez o ataque era afetar o máximo de empresas possível e isto segue o padrão do novo atacante digital, que é capaz de elaborar atividades focadas sempre em maior poder de devastação.

Entretanto, como podemos classificar ou identificar este ataque? Primeiro ponto, o alvo foi a infraestrutura da Dyn, impedindo que seu principal negócio fosse acessado. O volume de requisições recebido foi muito superior ao planejado. O segundo ponto que devemos analisar baseia-se em no fato de que o acesso à internet e a consulta a dispositivos como firewalls, roteadores e switchs recebeu tantas conexões que saturou, prejudicando seu funcionamento. Provavelmente foi até o momento o ataque mais complexo e sofisticado deste tipo já feito. Com isto podemos concluir que é o comportamento devastador de um ataque chamado Distributed Denial of Service/Ataque de Negação de Serviço (DDoS).

O primeiro ponto importante do ataque a Dyn é que o atacante estava se preparando há algum tempo, fazendo uso de maneira inteligente e coordenada do código público pertencente ao malware mirai, que afeta ambientes com o sistema operacional Linux e transforma-os em ambientes controlados remotamente.  Em linhas gerais podemos dizer que o atacante digital se aproveitou do conceito que guia a Internet of things/Internet das Coisas (IoT) e infectou diversos dispositivos ligados a internet, principalmente câmeras e dispositivos caseiros de armazenamento usando seus acessos conhecidos. Um ambiente infectado pelo Mirai vasculha continuamente a internet procurando por dispositivos não contaminados usando uma tabela com nomes comuns de usuários e senhas padronizados por fabricantes.

Note que nenhum ataque complexo buscando por falhas em programas foi feito e para remover o controle do Mirai basta remover o cabo de rede, reiniciar o dispositivo e mudar a senha do usuário administrador no dispositivo. Veja que as bases para um ataque desta magnitude estão na fragilidade humana, que novamente não seguiu regras simples baseadas na modificação de um usuário e senha.

Quem estuda segurança da informação identifica estes traços na técnica chamada de engenharia social. Tal técnica está presente na séria de ficção Mr. Robot, que em pouco tempo se tornou a primeira produção original do USA a ser indicada na categoria Melhor Série Dramática concorrendo a um Emmy, um dos maiores prêmios da TV. Mr Robot é uma série criada por Sam Esmail, Steve Golin (True Detective) e Chad Hamilton, sendo produzida pela Universal Cable Productions e encontra-se na segunda temporada, sendo exibida aqui no Brasil pelo canal Space.  A história acompanha a vida de Elliot (Rami Malek, de The Pacific), um jovem programador que sofre de uma desordem que o torna antissocial. As atividades de Elliot chamam a atenção de Mr. Robot (Christian Slater, de Mind Games), um misterioso anarquista que o convida a fazer parte de uma organização que atua na ilegalidade com o objetivo de derrubar as corporações americanas.

Retornando ao tema do nosso post, quero concluir dizendo que infelizmente tenho visto minhas previsões se concretizarem e a tendência é que encontremos pesadelos mais frequentes nas mesas de CSO, Gerentes de TI e diversos membros do board de corporações. Segurança é algo que não podemos descartar, precisamos ter sempre em mente que ataques como o sofrido pela Dyn estão e estarão cada dia mais presentes, necessitando do apoio de empresas de Data Centers, provedores de acesso internet e diversos especialistas que saibam quais são os caminhos para proteger contra quaisquer ataques digitais.

 

Denis Souza

 

Links indicados:

Kaspersky Lab detecta mais de 77 mil trojans bancários em dispositivos móveis

27ª Pesquisa Anual do Uso de TI, 2016 – Estudo da Fundação Getúlio Vargas

Quantidade de objetos conectados no mundo alcançará 38,5 bilhões em 2020

Dyn Analysis Summary Of Friday October 21 Attack

 

Denis Souza

Analista de Produtos no UOL DIVEO, especialista em segurança de dados. Formação em Engenharia Elétrica pela Universidade Federal da Paraíba, com experiência de mais de 17 anos na área de tecnologia da informação, sendo destes 9 anos como Engenheiro de Redes de Computadores e 4 anos aplicados como Arquiteto de Solução para ambientes Data Center.