DDoS no Speedy

Não estou perseguindo a Telefônica. Uso esses incidentes conhecidos para mostrar como os incidentes de Segurança da Informação podem afetar as pessoas e as organizações. Segurança da informação não é assunto apenas para analistas e consultores de segurança, hackers ou grandes organizações. Todos nós temos informações que precisamos proteger e serviços que precisamos utilizar. Seja por lazer ou por questões de negócios.

Neste ano, após o apagão da Telefônica no ano passado, o Speedy sofreu um ataque de DDoS (Distributed Denial of Service – Negação de Serviço Distribuída). O ataque de DoS (sem o primeiro D) consiste em utilizar um computador para enviar mais tráfego do que um servidor pode processar, fazendo então com que ele fique ‘ocupado’ e não consiga responder aos clientes legítimos que tentam usar o serviço. O DDoS consiste em infectar um grande número de computadores e fazer com que todos ataquem o mesmo servidor (ou conjunto de servidores).

Discordo um pouco do consultor no fim da matéria. Se defender de um ataque de DDoS não é trivial. Se o ataque tiver como alvo o servidor web de uma organização, o que ela pode fazer é bloquear os endereços IP que estão estabelecendo muitas conexões em um curto período de tempo ou conexões de um determinado tipo (SYN Flood). O problema é que, para usuários de banda larga e acesso discado, sempre que uma nova conexão é efetuada, o endereço IP muda e o bloqueio do IP antigo não apenas se torna inútil mas tem que ser removido para não bloquear o usuário que recebeu aquele IP e não está com o computador infectado. Bloquear nos firewalls da organização ou do provedor de acesso o tráfego web (http) faria com que ninguém conseguisse acessar o serviço afetado.

É claro que existem sistemas e ferramentas que analisam tráfego e tentam determinar, de maneira automática, se este é legítimo ou não. Entre esses sistemas temos o IDS (Sistema de Detecção de Intrusos) e o IPS (Sistemas de Prevenção de Intrusão), que analisam os dados trafegados, a frequência e o tipo de conexão. Firewalls, roteadores e switches, além de um ótimo link com a Internet, também ajudam a conter o ataque. Se o tráfego não for legítimo, é feito um bloqueio automático naquele endereço para que o tráfego não chegue ao destino. O que torna a resolução do problema não trivial é um número enorme de computadores infectados. Imagine cerca de 1.000.000 de computadores executando o ataque simultaneamente. Esse foi o caso da worm MyDoom, de janeiro de 2004. Se a resolução do incidente fosse trivial, a Microsoft e a SCO não teriam oferecido US$ 250.000 de recompensa por informações que levassem ao criador da worm e a SCO não teria ficado fora do ar.

Dependendo do tipo de ataque, aumentar a banda com Internet pode não ajudar, porque o atacante pode aumentar o número de computadores infectados, aumentando o ataque. Além disso, nem todos os ataques consomem banda. Alguns são feitos para consumir tempo de processamento do servidor no destino, por exemplo. Outros tem como alvo uma determinada vulnerabilidade, que ao ser explorada, faz com que o servidor trave ou reinicie. Ainda que aumentar a banda ajude, o custo do aumento de banda pode ser astronômico a partir de um certo ponto, fazendo com que a organização tenha que avaliar o custo do link com a Internet versus o custo da operação parada.

O efeito do ataque é similar ao que acontece com o site de uma empresa que faz uma promoção relâmpago no estilo das companhias aéreas brasileiras. Quando muitos usuários estão acessando o serviço ao mesmo tempo, o processamento fica lento e no final ninguém consegue usar o serviço.

Anúncios
  1. Nenhum comentário ainda.
  1. No trackbacks yet.

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

%d blogueiros gostam disto: