Evitando ataques “DDoS” e como eles estão deixando de ser considerados crime.

Distributed Denial of Service (DDOS

Ao longo dos últimos dois anos, ataques “DDoS” não apenas se tornaram muito mais sofisticados como se tornaram uma tendência dominante, chegando ao ponto dos invasores não terem vergonha de usá-los descaradamente, em nome do ativismo social e político.
Mas o pior é que os agressores raramente enfrentam qualquer tipo de punição, isto porque alguns juízes têm considerado este tipo de ataque uma prática legal.
Segundo Neal Quinn, vice-presidente de operações da “Prolexic”, uma empresa especializada na mitigação de ataques “DDoS”, este tipo de ação não é mais escondida, mas sim pública, é bem conhecida.
Neal Quinn acrescentou, ainda, que não se está apenas falando sobre o grupo “Anonymous”, mas de todo tipo de pessoa que usa abertamente “DDoS” para realizar suas ações.
Trata-se de uma tendência dominante, sendo a mais notável mudança nos últimos 18 a 24 meses.
Ataques “DDoS” são muito mais difíceis de serem prevenidos do que outros tipos de ataques.
É fato que, a maioria dos ataques “DDoS” não tiram proveito de uma vulnerabilidade mal codificada, pois são simplesmente o esgotamento de recursos.
A cada ano, mais pessoas têm os seus sites ou serviços comprometidos ao menos alguns dias enquanto lutam contra ataques “DDoS”, sendo que apenas alguns desses ataques acabam por resultar em condenações.
Mas o inadmissível é o fato de que muitos segmentos da sociedade em vários países acabam por apoiar este tipo de ação criminosa por razões sociais e políticas, conforme alerta Neal Quinn.
Grupos de ações políticas muitas vezes se encontram em fóruns públicos, discutem metas, anunciam seus planos para a imprensa e em seguida, atacam, sendo que em alguns casos, as organizações acabam por se tornar bodes expiatórios, tornando-se alvos maiores quando elas tentam tomar medidas legais contra os infratores, em oposição ao silêncio permanente dos ataques.
Um exemplo muito claro disto ocorreu aqui mesmo no Brasil.
Após a série de ataques contra sites governamentais há alguns meses atrás, a Polícia Federal entrou em ação e instaurou um inquérito policial para identificar os responsáveis.
Lamentavelmente, o Poder Judiciário impediu o prosseguimento das investigações e a coleta de informações vitais para o deslinde do caso, sob a alegação de tratar-se de fato atípico.
Certo é que este tipo de ação criminosa pode e deve ser considerado crime com a punição dos infratores, com base no artigo 265 do Código Penal, que pune aquele que atentar contra a segurança ou serviço de utilidade pública, prevendo pena de reclusão de 1 a 5 anos e multa.
Isto para não mencionarmos o fato de que, caso este tipo de conduta ocasione danos a infraestrutura do site ou a rede interna dos sistemas, poderá ser capitulado como crime de dano previsto no artigo 163 do Código Penal, cuja punição será de 1 a 6 meses e multa.
Tecnologicamente falando, ataques “DDoS” continuam a crescer cada vez mais.
Antes ataques de 1Gbps costumavam ser considerados enormes, sendo que na atualidade, já se tornou rotineiro serem vistos ataques acima 20Gbps.
Mas o desafio mais difícil é a sofisticação das técnicas empregadas nos ataques “DDoS”, que aumentaram consideravelmente na medida em que os atacantes mudaram de direcionamento das camadas 3 e 4 (encaminhamento e transporte) para a camada 7 (a camada de aplicação).
Os atacantes aprenderam, por exemplo, como determinar quais os elementos que compõem as páginas Web mais populares a serem atacadas, apurando com precisão quais levam mais tempo para carregar e têm um mínimo de redundância.
Segundo alertou Neal Quinn, os atacantes estão agora passando um período de tempo muito maior na pesquisa de seus objetivos e na descoberta das aplicações que estão rodando, tentando descobrir onde eles podem causar mais estragos em uma determinada aplicação, devendo ser acrescentado que os atacantes fazem um reconhecimento para descobrir como uma página web pode consumir mais recursos de uma URL quando é atualizada.
Ataques “DDoS” mais sofisticados são lançados sucessivamente contra muitos vetores, aumentando assim os estragos.
Essa tática faz com que a defesa seja muito difícil.
Por exemplo, o atacante pode começar com uma técnica simples de “Flood ICMP ou UDP” direcionando o tráfego para tornar muito mais difícil que a vítima o possa manusear.
Mesmo que a vítima consiga o controle do ataque “Flood ICMP ou UDP”, o atacante pode passar para o protocolo TCP.
Quando a vítima se torna alvo de um novo ataque “Flood TCP”, o atacante pode elevar o número de “bots” e o volume de tráfego para ajustar a forma de ataque.
Um número crescente de vítimas de ataque “DDoS” descobriram que os invasores estão usando esta ação múltipla como artifício para desviar a atenção e realizar ataques mais prejudiciais em outros pontos da rede.
Fato é, que quando a empresa vítima é atingida por um ataque “DDoS”, ele normalmente causa pouco pânico, uma vez que aquela corporação usa seus melhores e mais brilhantes recursos para suportar o problema, muito embora isto os leve para longe de suas funções de monitoramento.
As empresas podem se defender de ataques “DDoS” se seguirem algumas instruções bem simples.
Primeiro, como regra geral, devem otimizar seu desempenho, certificando-se que seus “hosts” e dispositivos de rede estejam configurados para um melhor desempenho.
A maioria dos fornecedores tem configurações anti-DDoS que você pode aplicar em ativos que possam ser alvo de ataques.
Em segundo lugar, certifique-se de que nenhum elemento sem redundância possa se tornar um elo fraco em qualquer servidor Web ou serviço, não permitindo que os atacantes sejam os primeiros a analisar seus sites para descobrirem problemas de desempenho e riscos de segurança.
Em terceiro lugar, é aconselhável que as organizações tenham largura de banda suficiente para evitar uma sobrecarga da CPU e para lidar com ataques “DDoS”.
Um bom planejamento da utilização da largura de banda deve incluir como lidar com o aumento excessivo de tráfego.
Determine se você tem uma maneira rápida de lidar com enormes sobrecargas de tráfego, podendo se valer de acordos de “peering” (arranjo de troca de tráfego), uso de serviços em nuvem ou uso de serviços de mitigação de “DDoS”.
Em quarto lugar, e recomendável que as organizações mantenham seus registros de “DNS TTL” (time-to-live) com configurações baixas o suficiente para garantir que eventuais mudanças sejam rapidamente detectadas.
Em quinto lugar, adeque suas configurações para receber alertas de ataques “DDoS” o mais rápido possível.
Dessa forma, você pode rapidamente ser alertado quando seu site estiver sob ataque e deixar de responder.
Certifique-se de ter monitoramento interno e externo funcionais.
Finalmente, certifique-se de que suas ações anti-DDoS sejam parte de seu plano regular de resposta a incidentes.
Saiba de antemão quem você tem de chamar quando estiver sofrendo um ataque e incentive que todos os seus funcionários saibam passo a passo como reagir, evitando que um ataque possa se intensificar e que sua resposta seja muito suave, o que permitirá que você esteja sempre à frente dos atacantes.

Fonte: Roger A. Grimes

Deixe uma resposta