Ataques DDoS atingem novo patamar, qual será o futuro?

Sempre me questionei a respeito do que aconteceria se um ataque digital fosse feito usando centenas de milhares de dispositivos móveis ao redor do mundo, e me deparei no passado perdendo o sono diversas vezes com algo desta magnitude. Infelizmente hoje podemos dizer que algo similar aconteceu recentemente no mês de setembro e outubro deste ano. Neste cenário, é fácil dizer que não foi surpresa o ataque ter acontecido, mas foi realmente uma surpresa a forma como foi feito.

Preocupado com este cenário, venho acompanhando o crescimento do número de dispositivos conectados à internet, sejam eles celulares, tablets, câmeras, roteadores wireless ou diversos outros tipos de equipamentos, há mais de 3 anos e facilmente ver-se que existe um crescimento surpreendentemente a cada ano. Segundo o Juniper Research, uma empresa especializada na elaboração de pesquisas, em 2020 teremos mais 38,5 bilhões de dispositivos conectados em todo o mundo. Considerando que todos nós certamente pensamos em segurança em um dispositivo antes de conectá-lo a internet, imagine o tamanho do estrago que teremos quando 38,5 bilhões de dispositivos estiverem enviando e recebendo informações em diversos cantos do mundo? Só no Brasil, segundo um estudo realizado pela Fundação Getúlio Vargas, existem mais usuários de smatphones do que de notebooks e tablets, adivinhe o novo resultado desta pesquisa quando tivermos mais opções a um preço menor para compra.

Olhando de forma ampla, podemos dizer que as opções para este post são muitas. Poderia eu aqui falar do crescimento espantoso de malwares bancários para dispositivos móveis, já que um recente levantamento da Kaspersky Lab, uma importante referência para pesquisas envolvendo o tema segurança, detectou mais de 77.000 trojans bancários, sendo 98% projetados para o sistema operacional Android, mas não vou! Poderia também discutir neste post a ameaça que expos mais de 100 milhões de usuários do WhatsApp, mas também não vou abordar isto hoje! Então, pelo amor de Deus, que tema você vai falar Denis?

Vamos detalhar o ataque digital que ocorreu em 21 de outubro nos servidores da Dynamic Network Services, conhecida como Web Dyn. Primeiramente é importante saber que a Dyn conduz o acesso a sites como Twitter, Netflix, Spotify ou CNN através dos seus servidores de DNS (Domain Name System) e ao receber este ataque, mais de 1,2 mil sites ficaram inacessíveis. Entenda que quando navegamos pela internet, precisamos dos servidores de DNS para apontar onde estão os sites desejados e sem eles nenhum ambiente Web pode ser alcançado.

As análises iniciais da própria Dyn apontam que o ataque superou 50 vezes a volumetria de seu acesso normal, recebendo uma volumetria maior que 1.2Tbps com origem em localidades como Ásia, América do Sul, Europa e US. Observe que a complexidade deste ataque poderia prejudicar qualquer site isoladamente, seja em grande ou pequena escala de impacto, mas acredito que neste caso certamente foi feito um estudo detalhado envolvendo a relação fragilidades vs impacto. Não tenho dúvida que a Dyn tinha diversas proteções, poderia ter sido bem pior se não tivesse, mas nada poderia preparar para o que aconteceu. O objetivo final de quem fez o ataque era afetar o máximo de empresas possível e isto segue o padrão do novo atacante digital, que é capaz de elaborar atividades focadas sempre em maior poder de devastação.

Entretanto, como podemos classificar ou identificar este ataque? Primeiro ponto, o alvo foi a infraestrutura da Dyn, impedindo que seu principal negócio fosse acessado. O volume de requisições recebido foi muito superior ao planejado. O segundo ponto que devemos analisar baseia-se em no fato de que o acesso à internet e a consulta a dispositivos como firewalls, roteadores e switchs recebeu tantas conexões que saturou, prejudicando seu funcionamento. Provavelmente foi até o momento o ataque mais complexo e sofisticado deste tipo já feito. Com isto podemos concluir que é o comportamento devastador de um ataque chamado Distributed Denial of Service/Ataque de Negação de Serviço (DDoS).

O primeiro ponto importante do ataque a Dyn é que o atacante estava se preparando há algum tempo, fazendo uso de maneira inteligente e coordenada do código público pertencente ao malware mirai, que afeta ambientes com o sistema operacional Linux e transforma-os em ambientes controlados remotamente.  Em linhas gerais podemos dizer que o atacante digital se aproveitou do conceito que guia a Internet of things/Internet das Coisas (IoT) e infectou diversos dispositivos ligados a internet, principalmente câmeras e dispositivos caseiros de armazenamento usando seus acessos conhecidos. Um ambiente infectado pelo Mirai vasculha continuamente a internet procurando por dispositivos não contaminados usando uma tabela com nomes comuns de usuários e senhas padronizados por fabricantes.

Note que nenhum ataque complexo buscando por falhas em programas foi feito e para remover o controle do Mirai basta remover o cabo de rede, reiniciar o dispositivo e mudar a senha do usuário administrador no dispositivo. Veja que as bases para um ataque desta magnitude estão na fragilidade humana, que novamente não seguiu regras simples baseadas na modificação de um usuário e senha.

Quem estuda segurança da informação identifica estes traços na técnica chamada de engenharia social. Tal técnica está presente na séria de ficção Mr. Robot, que em pouco tempo se tornou a primeira produção original do USA a ser indicada na categoria Melhor Série Dramática concorrendo a um Emmy, um dos maiores prêmios da TV. Mr Robot é uma série criada por Sam Esmail, Steve Golin (True Detective) e Chad Hamilton, sendo produzida pela Universal Cable Productions e encontra-se na segunda temporada, sendo exibida aqui no Brasil pelo canal Space.  A história acompanha a vida de Elliot (Rami Malek, de The Pacific), um jovem programador que sofre de uma desordem que o torna antissocial. As atividades de Elliot chamam a atenção de Mr. Robot (Christian Slater, de Mind Games), um misterioso anarquista que o convida a fazer parte de uma organização que atua na ilegalidade com o objetivo de derrubar as corporações americanas.

Retornando ao tema do nosso post, quero concluir dizendo que infelizmente tenho visto minhas previsões se concretizarem e a tendência é que encontremos pesadelos mais frequentes nas mesas de CSO, Gerentes de TI e diversos membros do board de corporações. Segurança é algo que não podemos descartar, precisamos ter sempre em mente que ataques como o sofrido pela Dyn estão e estarão cada dia mais presentes, necessitando do apoio de empresas de Data Centers, provedores de acesso internet e diversos especialistas que saibam quais são os caminhos para proteger contra quaisquer ataques digitais.

 

Denis Souza

 

Links indicados:

Kaspersky Lab detecta mais de 77 mil trojans bancários em dispositivos móveis

27ª Pesquisa Anual do Uso de TI, 2016 – Estudo da Fundação Getúlio Vargas

Quantidade de objetos conectados no mundo alcançará 38,5 bilhões em 2020

Dyn Analysis Summary Of Friday October 21 Attack

 

Olimpíada Rio 2016: Oceano de Oportunidades para o Cybercrime

Devido a minha vivência em segurança da informação, sempre observo eventos com grandes aglomerações de pessoas como uma oportunidade perfeita para atacantes digitais. Desta forma, foi natural refletir e imaginar o que poderia ser feito por um atacante digital experiente na Olimpíada do Rio de Janeiro. Assim, durante um final de semana fiz um pequeno exercício.

O primeiro exercício que fiz foi identificar alguns números e avaliar a verdadeira importância do evento em questão para tentar mensurar um elemento importante chamado de motivação. Considerando que tivemos neste evento 205 países, mais de 7,5 milhões de ingressos vendidos e que a maioria das pessoas levam consigo no mínimo um celular, teremos pelo menos um vetor para ataques focado em dispositivos móveis, sejam eles pessoais ou empresariais.

E neste “oceano” de celulares nasceu o Samsung Pay, mostrando para o mundo que é possível ter uma tecnologia wireless de curto alcance focada em fazer pagamentos. A Samsung saiu na frente da Apple e do Google usando como tecnologia o NFC (Near Field Communication). Isto possibilita o registro de catões de créditos cadastrados em celulares, bastando aproximar o celular de terminais de compra para autenticar a transação. A segurança é concluída inserindo a impressão digital ou outros elementos para autenticar a transação.

O uso do NFC é algo recente, mas a segurança aplicada no gateway de pagamento ou nos elementos que o cercam é algo bem conhecido que vem evoluindo com o passar do tempo. Entretanto, existe um outro ponto muito importante que devemos considerar para uma análise macro. Veja que tivemos 28 edições dos jogos olímpicos na era moderna, onde 17 foram na Europa, 6 na América do Norte, 3 na Ásia e 2 na Oceania. Não há dúvida que um evento desta magnitude na América do Sul impulsionaria as vendas, principalmente dos patrocinadores. Assim, é natural que os ataques digitais sejam mais focados nestas empresas. Precisamos no exercício deste texto imaginar quais as preocupações que o C-Level deveria ter em mente?

Preocupações

O primeiro ponto é a infraestrutura. Ataques DDoS (Distributed Denial-Of-Service) são usados em conjunto com outras metodologias para indisponibilizar o ambiente exposto à internet. Está ficando muito comum identificarmos ataques múltiplos, representando a combinação de diversas estratégias usadas para alcançar fama, furto de dados ou enriquecimento ilícito. Algumas aplicações são muito sensíveis a latência e este modelo de ataque afeta principalmente isto. Ter uma proteção que não penalize a latência é importante.

O segundo ponto está ligado na proteção direta do gateway de pagamento, da aplicação Web e dos bancos de dados usados por ela. Atualmente os ataques específicos na camada de aplicação são furtivos, assim, o atacante aprimorou sua técnica para não gerar alertas, ganhando tempo para instalar ferramentas na rede e invadir ambientes ou copiar informações dos bancos de dados. Isto é muito diferente de um ataque DDoS, que é relativamente mais fácil de detectar, pois o ecossistema da aplicação é exposto a um grande volume de acessos, superando o volume previsto de conexões por segundo. Ou seja, existe uma assinatura previamente conhecida.

O terceiro e último ponto é a imagem da empresa ou do produto. Sabemos que as campanhas de marketing ligadas principalmente a grandes eventos fornecem uma exposição muito maior de marcas ou do nome das empresas envolvidas. Assim, é necessário sempre pensar nas ações que precisam ser tomadas visando proteger o ecossistema empresarial como um todo. Isto envolve também análise de spam/phishig, redes sociais ou de sites clonados.

Sabemos que ações ligadas a proteção de marcas envolvem atividades do Departamento Financeiro, representado pelo CFO (Chief Financial Officer) e do Departamento Jurídico, guiado pelo CLO (Chief Legal Officer). Muitas vezes a retirada de um site envolve ações legais, que são custosas e bastante demoradas.

Como elemento decisivo para o negócio, podemos olhar para o tema infraestrutura. As necessidades atuais mostram que as empresas precisam direcionar o desenvolvimento das aplicações em ambientes flexíveis que forneçam de forma rápida, orquestrada e inteligente um crescimento ou uma redução de recursos computacionais (computing), de rede (network) e de armazenamento (storage). Claro que estamos falando de Cloud. A jornada para a Cloud passa basicamente por cinco fases: padronização, consolidação, virtualização, automação e orquestração. O estudo de cada fase junta-se como a análise de maturidade da aplicação dentro desta jornada, mas estes serão tema de outro artigo.

 

Denis Souza

 

Links indicados:

Você está atento a estes problemas de segurança?

Dicas para monitorar e garantir a segurança virtual da sua empresa:

Segurança da informação já deixou há muito tempo de ser modismo para ser necessidade em qualquer tamanho de empresa. A presença da internet flexibiliza, amplia e concebe um universo de oportunidades para qualquer estratégia de negócio, mas também interliga uma variável relativamente nova chamada de atacante digital.

Na década de 90, era muito comum encontrarmos o atante digital dentro das organizações. Vivíamos momentos com a presença de viroses limitadas a contaminação de disquetes como o vírus ping-pong. Bons momentos, onde era possível fazer uma pausa no texto digitado e observar o símbolo de uma pequena bola sendo arremessada contra os cantos da tela.

Vivemos momentos onde os ataques são altamente sofisticados com estratégias customizadas para cada empresa alvo, orientada por campanhas de e-mails, ataques usando criptografia SSL, furtos de informações pela camada Web ou indisponibilizar a infraestrutura de maneira parcial ou total. Vamos neste texto analisar alguns desafios ligados a Segurança da Informação e identificar como empresas como o UOLDIVEO podem ajudá-lo a resolver cada um destes desafios para que você tenha diferenciais significativos para a sua empresa.

Fraude nos e-mails estão mais agressivas e frequentes

O primeiro elemento que gostaria de abordar é muito comum em qualquer organização. São os e-mails recebidos e identificados como Spams e Phishing. Este último pode ser encontrado em uma versão mais devastadora chamada de Spear Phishing.

Precisamos ter em mente que enquanto o Spam foca-se em um e-mail visando promover a venda de um produto, seja ele legal ou não, o phishing tem o objetivo direcionar a vítima para um site que vai furtar informações pessoais, cartões de crédito, informações bancárias e qualquer coisa que o atacante considere importante. O Spear Phishing estuda todas as características do destinatário do e-mail, indo desde o departamento trabalhado, nomes dos seus superiores e gostos pessoais. Tudo é customizado em um e-mail que ilude o destinatário a instalar um programa em seu computador ou a fazer algo que seja benéfico para o atacante.

Grande parte dos e-mails acompanham campanhas publicitárias e direcionam para sites clonados causando danos financeiros a marca de uma empresa, forçando o envolvimento do departamento jurídico com ações de clientes que foram enganados pelos atacantes ou ainda forçando o investimento em estratégias para refazer a credibilidade de uma marca no mercado. O site clonado pode estar presente nas redes sociais, em blogs ou em ambientes de cloud pública dentro ou fora do Brasil. O processo de desativação deste site pode ser muito complexo e custoso. É necessário o monitoramento de e-mails, redes sociais ou mídias sociais 24 horas por dia por especialistas que tenham experiência neste modelo de operação. Como definir um plano que realmente funcione contra estes ataques?

Ataques criptografados se destacam nas previsões do Gartner

Segundo o Gartner, o tráfego criptografado cresce 20% ao ano e 80% das empresas não inspecionam seus tráfegos Web. Existem centenas de justificativas para esta ausência de inspeção, mas podemos dizer que a principal é a sobrecarga em processamento que gera nos hardwares de firewalls ou equipamentos de IPS (Intrusion Prevention Systems), por exemplo.  Infelizmente percebe-se que o uso de ataques envolvendo criptografia se elevam a cada ano, seja para a comunicação de malware ou para ataques a servidores Web. O resultado final é sempre a perda financeira, seja por dano diretos ou indiretos à imagem, perda de vendas devido a sites invadidos ou furto de informações pertencentes a clientes. Ter a informação furtada é sem dúvida um grande problema, mas tê-la divulgada é um problema maior ainda. É importante ter um plano de ação que inclua o corpo diretor e a equipe de operação envolvida e treinada.

Note que um erro muito comum é ter um plano de ação de segurança de várias páginas e não ter a equipe treinada para responder a um evento guiado por um ataque digital. Mais importante do que comunicar é como comunicar um incidente de segurança. Ter uma assessoria de imprensa que não está preparada ou que não tem o apoio para responder tecnicamente aos questionamentos é pior do que não comunicar.

Uma estratégia usada com sucesso por empresas internacionais é minimizar o aparecimento na mídia e limitar a uma única reunião para apresentar esclarecimentos aos investidores e a imprensa. Outro ponto importante aderente a qualquer empresa é testar periodicamente o plano de resposta a incidentes de segurança.

Com os ataques se tornando mais complexos e mais frequentes, torna-se necessário criar uma cultura de segurança mais transparente, preparando e concebendo as aplicações de maneira diferenciada, juntamente com os elementos que a protegem. Ver-se que elementos de uso simples e de baixo custo não usados por muitas empresas. Um exemplo disto é o certificado SSL. Apesar dos benefícios da criptografia em sites Web serem claros e muito vantajosos, possibilitando não só a elevação da confiança dos usuários, mas também elevando a prioridade nas listas de pesquisa do Google, vê-se que poucas empresas fazem usos desta vantagem, deixando um farto oceano de oportunidades para os atacantes digitais. Os certificados digitais podem e devem ser usados por qualquer tipo de aplicação Web.

Bom lembrarmos que segundo o HIPAA (Health Insurance Portability and Accountability Act), PCI Security Standards Council e PII Laws (Personally Identifiable Information), deve-se manter criptografadas todas as informações referentes a dados pessoais, elementos financeiros e informações envolvendo empresas de saúde. Não obedecer a estas indicações pode acarretar em implicações graves.

Novamente devemos nos perguntar o que fazer? Que estratégia devemos seguir para elevar a proteção?

Cloud são seguras, mas você está usando-as corretamente?

Muitas vezes imagina-se que um ambiente de Cloud é inseguro e que projetos usando plataformas de virtualização dentro das empresas formam ambientes de segurança superiores. Primeiramente é importante o entendimento que existem tipos distintos de Cloud, e estes tipos são aderentes ao grau de maturidade da aplicação analisada. Saber se uma Cloud pública em OpenStack, AWS, Microsoft Azure, Google ou ainda uma Cloud Privada é mais adequada a maturidade da sua aplicação é um elemento de sobrevivência indispensável para qualquer empresa.

Observe que não é uma questão de saber qual é a Cloud mais barata para o portal Web da campanha do mês de novembro, mas saber onde a aplicação vai ter uma melhor performance ou onde vai apresentar melhores requisitos de segurança para o projeto proposto. Observe as Clouds Públicas, o uso de controles em seu ambiente são elementos mais rígidos do que muitos projetos dentro das corporações. Este fator é certamente influenciado pelo compartilhamento físico dos servidores. Note que o nível de segurança é muito maior do que os usados tradicionalmente e que a invasão de um cliente por outro é praticamente impossível.

Outra visão importante aborda a relação Compliance e Ambiente em Cloud. Devemos entender que mesmo contratando um provedor em nuvem que possui uma certificação em segurança, isto não faz com que a aplicação de uma empresa hospedada e exposta para a internet esteja segura ou seja resistente a qualquer tipo de ataque digital. A proteção contra este modelo de atacante é um projeto adicional que faz uso de diferentes camadas de defesa, indo desde do desenvolvimento do código-fonte, passando pelo projeto de camadas de defesa e terminando com a escalabilidade e flexibilidade do ambiente usado.

Os ataques direcionados a aplicações em nuvem não são diferentes dos ataques direcionados para os ambientes fora dela. A abordagem buscando por erros humanos continua a mesma, a busca por falhas na aplicação ou no modelo de acesso ao ambiente de gestão continua a mesma. O questionamento também continua o mesmo: o que pode ser feito para elevar a proteção do negócio?

Quais lições podem ser aprendidas?

Os ataques digitais não vão reduzir de intensidade. A realidade mostra que teremos volumetrias bem superiores e muito mais agressivas a tudo que vemos hoje. Olhando somente para os dispositivos móveis, encontraremos previsões indicando que 70% da população mundial estará fazendo uso de algum tipo de dispositivo móvel conectado à internet em 2020 e isto representa 5,5 bilhões de pessoas. Só para o Brasil estima-se que terá mais de 182,1 milhões de usuários móveis e nem aprofundamos as análises envolvendo IoT (Internet das Coisas).

O segredo é como estaremos preparados para estes ataques. Ter um comitê de segurança multidisciplinar é importante, mesmo para as pequenas empresas. Treinar a equipe técnica, juntamente com este comitê vai ser inevitável para responder de maneira clara e objetiva a um atacante digital.

Outro ponto importante é que não podemos construir toda defesa eletrônica em uma tecnologia apenas ou em um processo de gestão que não opera 24×7. Ter o apoio de uma equipe experiente é questão de sobrevivência. Um exemplo claro deste tema é representado pelos ataques DDoS (Distributed Denial of Service), que hoje atinge valores superiores a 500Gbps de pico. Tenha em mente que a defesa contra um ataque DDoS não se faz só, sendo necessária a presença intensa do provedor de acesso bloqueando e identificando o atacante internacional e nacional.

Para concluir, tenha em mente que a defesa digital é uma equação que precisa ser equalizada entre três variáveis importantes representadas por processos, pessoas e tecnologia, independente se lidamos com um ambiente em Cloud ou não.

 

Denis Souza