Os ataques DDOS: interrupções no coração dos negócios

Juan Camilo Ruiz
As preocupações com a segurança cibernética corporativa há muito se concentram em impedir o acesso às informações e garantir que elas não sejam roubadas de maneira não autorizada. A obsessão por impedir os hackers de entrar pela Internet e roubar, sequestrar ou alterar as informações, tem levado as empresas a investir grandes somas de dinheiro para criar um perímetro de defesa para construir uma barreira que proteja as informações de ataques do lado de fora da rede.
Atualmente, os invasores cibernéticos diversificaram seu interesse mais além de roubar ou modificar informações. Sua empresa já pensou na possibilidade de que suas informações estejam seguras para que ninguém possa roubá-las ou modificá-las; mas que simplesmente ninguém pode acessá-las? De nada servirá ter a informação segura, se essa não pode ser acessada no momento em que seja requerida, porque o acesso a essa informação foi inabilitado pelos hackers.
Este tipo de ataque cibernético consiste em impedir o acesso à informação através do consumo excessivo de recursos da infraestrutura de computação que armazena a informação (isto é, uma aplicação web). Esses recursos finitos podem ser a capacidade de processamento do servidor e/ou a largura de banda da conectividade das informações. Quando esses recursos são demandados de maneira excessiva, a infraestrutura de computação não poderá processar o acesso de nenhum usuário, incluindo aqueles que são legítimos. Não há roubo ou modificação das informações; simplesmente não há nenhuma maneira de acessá-las devido a uma saturação de recursos. O resultado é que usuários legítimos não podem acessar as informações. Daí vem o nome “ataque de negação de serviço”.
Atualmente, esses tipos de ataques cibernéticos são frequentemente direcionados a aplicativos web que fornecem serviços online. Muitas empresas têm portais de comércio eletrônico, informações sobre suas empresas e até aplicativos de seus negócios online. Quando esses aplicativos são comprometidos por um ataque de negação de serviço, o resultado é a insatisfação dos usuários legítimos e o impacto na imagem da empresa.
Como especialistas, recomendamos a proteção de ambas fontes possíveis de um ataque desse tipo: a capacidade de processamento do servidor e a largura de banda do canal usado para publicar o serviço na Internet. Algumas empresas incluem em suas políticas de segurança a prevenção de ataques de negação de serviços em seus servidores. Porém, consideram menos importante prevenir uma negação de serviços no canal de Internet que fornece acesso ao aplicativo. Portanto, considerar um firewall de perímetro é vital, mas não constitui, por si só, um mecanismo de defesa completo que forneça uma prevenção de negação de serviço. Isso porque o firewall restringe o acesso de usuários e/ou tráfego não permitido pelo canal. No entanto, esse canal pode ser atacado por uma quantidade excessiva de tráfego e/ou usuários que não procuram passar pelo firewall. Eles simplesmente procuram criar congestionamento excessivo saturando a largura de banda disponível desse canal.
O mecanismo desse ataque cibernético é criar e enviar uma grande quantidade de tráfego que não contém informações de interesse, o chamado tráfego malicioso. Esse tráfego é direcionado ao aplicativo online para saturar os recursos descritos acima. Geralmente, o invasor envia esse tráfego de diferentes fontes simultâneas e de forma distribuída geograficamente. Isso gera no aplicativo objeto de ataque uma variedade de fontes que lhe enviam tráfego malicioso simultaneamente. Essas fontes de tráfego malicioso mudam constantemente, conforme o firewall vai ativando seu bloqueio, gerando um ciclo interminável. O resultado é o esgotamento de recursos devido ao congestionamento do tráfego, causando saturação e indisponibilidade dos recursos ocupados pelo processamento do tráfego malicioso. Esses processos repetitivos são executados usualmente por programas piratas chamados Bootnets, servidores zumbis e qualquer computador hackeado que o invasor consiga usar pela internet como fonte de tráfego malicioso. Quanto mais fontes de tráfego malicioso tenha o atacante a nível global e mais dispersos geograficamente eles estejam, o ataque será mais distribuído e com melhores resultados.
Nos últimos dias, tem aumentando drasticamente o interesse dos ciber atacantes em inutilizar os canais de internet utilizados pelas empresas. A alta dependência das empresas no acesso à internet para o consumo de conteúdo e aplicativos públicos (SaaS e IaaS) tão comuns quanto o Office 365, faz com que os casos diários de ataques cibernéticos aumentem com o objetivo de gerar lucro para os cibercriminosos em troca da liberação da largura de banda do canal da internet. É por isso que é importante que todas as empresas considerem os riscos e impactos potenciais sobre sua produtividade perante um ataque como esse. Mesmo que a sua empresa não possua aplicativos ou serviços publicados on-line, ela não está isenta de uma negação do canal de internet utilizado para a operação do dia a dia através de um ataque de negação de serviço.
Principais características e riscos
Basicamente, um ataque de negação de serviço visa desabilitar os aplicativos ou serviços publicados on-line. Transações de comércio eletrônico, serviços de entrega de conteúdo digital, entre muitos outros aplicativos, não poderão ser utilizados pelos usuários legítimos durante o ataque. É provável que esse tipo de ataque seja realizado durante períodos de tráfego intenso em condições normais, como: dias de pagamento para o setor bancário, festividades para o varejo (black friday, natal) ou um evento com participação máxima de usuários.
O risco que esse tipo de ataque tem para as empresas varia desde a afetação da imagem e reputação de sua marca e serviços, até a perda do custo de oportunidade de não realizar transações válidas devido à incapacidade de acesso dos usuários legítimos. Diante desses riscos, é imprescindível que as alternativas de cada empresa sejam avaliadas de acordo com o tipo de negócio, o setor ao qual pertence e o tipo de serviço on-line que publica e utiliza para sua operação diária. A partir dessa avaliação, as empresas devem calcular, valorizar e monetizar quanto seria o impacto comercial que teriam essas interrupções em seus serviços e/ou aplicativos online. Independentemente das diferenças no setor e no tamanho das empresas, é quase certo que será mais barato investir em uma medida de segurança contra ataques desse tipo, do que ter materializado algum risco devido a uma interrupção de serviço.
Por que é importante evitá-los
Os efeitos diretos dos ataques de negação de serviço incluem, entre outros: má experiência do usuário final, perda de clientes, perda de receita, baixa na produtividade, horas de trabalho improdutivas, e finalmente, um impacto na reputação da sua empresa, que às vezes é difícil de quantificar. É por isso que recomendamos ter uma série de medidas que incluem, entre outras:
– Firewalls para proteger servidores expostos.
– Dois ou mais servidores balanceados para alternar o processamento de carga.
– Um servidor de backup pronto e disponível para caso de necessidade.
– Sistemas operacionais atualizados e configurados adequadamente para impedir a operação de todo processo que não é solicitado (hardening).
– Canal de internet dimensionado com a largura de banda necessária e com capacidade para atender automaticamente os picos de tráfego por breves momentos que excedam a largura de banda disponível.
– Internet com uma largura de banda inteligente que possua mecanismos de proteção automáticos e detecção de comportamentos de inundação massiva de tráfego malicioso que consume a largura de banda disponível .
– Sistema de correlação de eventos de segurança e centros de atenção para resolução e resposta a esse tipo de ataques.
– Pontos atraentes para invasores cibernéticos, como os Honeypots.
– Ambientes de quarentena em que o tráfego suspeito é analisado sem prejuízo do serviço exposto pela empresa, como os ambientes criados com o SandBox.