Em março de 2013 o ataque distribuído de negação de serviço (DDoS) à Spamhaus foi de longe o mais devastador a que se tinha assistido até à altura. Estima-se que foram injetados mais de 300 gigabits por segundo (Gbps) de tráfego que bloqueou o acesso à principal entidade coletora da informação que está na base dos filtros de anti-spam.
Desde então esse ataque foi o padrão para ataques de larga escala, mas nos últimos três meses temos assistido a ataques que bateram todos os recordes.
Em setembro um ataque à rede da Akamai visou o site de Brian Krebs, um jornalista especialista em segurança informática que desde há vários anos investiga o mundo do cyber-crime. Chegou a picos de 600 Gbps que forçaram a Akamai a colocar offline o site afetado, usando uma técnica normal para estes casos conhecida como BGP blackholing. Passadas algumas semanas um ataque à OVH foi o primeiro a quebrar a barreira de 1 terabit por segundo (Tbps). E recentemente o muito publicitado ataque à Dyn, empresa que gere domínios, chegou a 1,2 Tbps e afetou sites como Twitter, Spotify, GitHub, Reddit, Netflix e Airbnb que ficaram inacessíveis durante várias horas.
Os ataques distribuídos de negação de serviço são realizados através de botnets, tradicionalmente redes de computadores contaminados por malware que podem ser controlados remotamente para despoletarem ataques. Nestes ataques o tráfego gerado afoga os sites vítimas com volumes de pedidos acima do que esses são capazes de responder. A principal característica diferenciadora nestes últimos ataques é que estes foram realizados em grande parte não por computadores, mas por equipamentos como set-top boxes, webcams, DVRs, televisores, routers, access points e minicomputadores, como os populares Raspberry Pi. Estes são os mais comuns membros da Internet of Things (IoT). Estima-se que mais de 500.000 destes equipamentos, que podem estar em qualquer lugar, participaram nestes ataques.
O malware utilizado nestes ataques foi uma ferramenta que passou a ser conhecida como “Mirai”. Os hackers que criaram o Mirai publicaram o código-fonte num fórum de hackers o que permitiu aos analistas de segurança uma visão detalhada sobre os mecanismos utilizados. Entre várias curiosidades uma característica ressaltou, a simplicidade. Os atacantes utilizaram uma lista de 62 usernames e passwords que eram utilizadas pelo malware para se tentar autenticar nos equipamentos. Esta lista é simplesmente composta pelas passwords de origem que são normalmente utilizadas pelos mais comuns fabricantes de equipamentos. Essas passwords são públicas e encontram-se nos manuais de utilizador publicados online pelos fabricantes. Apesar de os manuais recomendarem a quem configura o equipamento que substitua a password de origem por uma mais robusta, muitos utilizadores descuram esta tarefa e deixam os equipamentos vulneráveis a serem atacados remotamente.
Desde a publicação do Mirai, dezenas de outros grupos de hackers estão a utilizar modelos de subscrição comercial para vender acesso a botnets construídas com derivados do Mirai. No obscuro mundo do Hacking-as-a-Service é possível, por valores a partir de 10 bitcoins, alugar à hora botnets com centenas de milhares de equipamentos IoT para realizar ataques contra qualquer alvo na internet.
A facilidade com que estes ataques ocorreram é um prenúncio de um novo mundo, que vai requerer estratégias mais avançadas de defesa quer na origem, quer no destino destes ataques. A segurança, muitas vezes um parente pobre nas infraestruturas de TI, não pode mais ser descurada. Primeiro, na origem dos ataques, os fabricantes de equipamentos IoT destinados ao mercado de consumo têm de reforçar todos os componentes de segurança. Antes de mais a alteração da password de origem tem de deixar de ser facultativa e passar a ser obrigatória, apenas permitindo passwords robustas. Obviamente também deve vir desabilitado por defeito o acesso de administração a partir de redes públicas. Mas estes são apenas remendos imediatos. Outra característica importante são os updates de segurança. Se o frigorifico tiver conectividade à internet ninguém vai fazer o update ao sistema operativo quando ele tiver mais de 10 anos. Por isso é necessário existirem mecanismos que automatizem estes updates. Até porque por enquanto estas vulnerabilidades estão a ser utilizadas para atacar terceiros, mas no futuro podem passar a ser utilizadas como veículo de ataque aos próprios utilizadores destes equipamentos. E se um ataque ao robot de cozinha pode resultar apenas num jantar estragado, um ataque a um sistema mais critico como um sistema de alarme pode ter consequências muito mais graves.
Segundo, ainda na origem, um papel importante cabe aos ISPs de banda larga e de rede móvel, que fornecem conectividade ao mercado de consumo onde muitos destes dispositivos se encontram. Os ISPs podem implementar listas de controlo que bloqueiem os scans utilizados pelo malware para detetarem equipamentos vulneráveis. Podem ser proactivos e realizar scans regulares à sua rede para detetar portos abertos. Podem implementar mecanismos de telemetria que facilitem a identificação de ataques, a troca de informação com outros ISPs e auxiliem as autoridades na investigação forense.
Nenhuma destas duas estratégias é de fácil implementação. Primeiramente porque não existe nenhum incentivo ou pressão financeira para o fazer. As vendas de equipamentos ou serviços de acesso não vão diminuir apenas por os serviços terem vulnerabilidades de segurança. Depois porque são intrusivos e podem obrigar a reestruturações profundas nos serviços e produtos.
Resta uma terceira estratégia, destinada a proteger os alvos dos ataques: a distribuição dos conteúdos. Mesmo as maiores redes atuais como a Google, Facebook e Microsoft no máximo trocam tráfego na ordem dos 200 a 400 Gbps em cada datacenter onde estabelecem relações de peering com outros operadores. Significa que num determinado datacenter não tem qualquer hipótese de suster o tipo de ataques em larga escala que estamos a assistir recentemente. Os serviços de “scrubbing” (limpeza), que tradicionalmente absorviam estes ataques e filtravam o tráfego legitimo continuam a ser necessários, mas por si só já não são suficientes.
A característica base dos ataques DDoS é terem uma origem distribuída e um destino único, ao concentrarem o ataque num único ponto, o site da organização atacada. Se em vez de um único ponto de ataque o site estiver alojado simultaneamente em zonas distintas, a probabilidade de sobreviver a um ataque aumenta drasticamente. A distribuição geográfica de conteúdos replica os conteúdos por vários datacenters, usando zonas geográficas distintas e mesmo fornecedores distintos. Uma organização pode ter um site com réplicas alojadas em vários datacenters espalhados pelo mundo e usar mecanismos de Global Server Load Balancing (GSLB) para distribuir carga entre eles.
Os sistemas de Aceleração Web são ainda mais simples de utilizar, dado que fazem caching distribuído geograficamente dos conteúdos e podem facilmente ser associados a mecanismos mais tradicionais de vigilância e proteção contra DDoS. Muitos fornecedores de sistemas cloud empresariais oferecem estes serviços de uma forma integrada.
Tradicionalmente estas eram soluções dispendiosas de implementar. Hoje em dia com a utilização da cloud tornaram-se consideravelmente mais baratas e fáceis de implementar. A portabilidade das aplicações colocadas na cloud facilita a replicação, e os sistemas de automação associados à cloud facilitam a criação de réplicas que podem ser programadas para responder à medida das necessidades, não só a picos de carga legítimos, como a ataques em larga escala.