Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados etc.) vá até o fim da reportagem e utilize o espaço de comentários ou envie um e-mail para g1seguranca@globomail.com. A coluna responde perguntas deixadas por leitores no pacotão, às quintas-feiras.
G1 Explica é uma série da coluna Segurança Digital que aborda temas em um formato de perguntas de respostas. O assunto desta coluna são as ações de hackers para tirar sites e serviços do ar, incluindo ataques de negação de serviço e invasão de DNS. Vamos conferir?
1. Quais são as técnicas usadas por hackers para tirar sites do ar?
Tirar um site ou serviço on-line do ar não é exatamente uma ação complicada. Dito isso, um indivíduo mal-intencionado pode aplicar várias técnicas diferentes para alcançar esse objetivo, já que diversas anomalias podem deixar um serviço fora do ar. Entre elas:
Tirar um site ou serviço on-line do ar não é exatamente uma ação complicada. Dito isso, um indivíduo mal-intencionado pode aplicar várias técnicas diferentes para alcançar esse objetivo, já que diversas anomalias podem deixar um serviço fora do ar. Entre elas:
a) Negação de serviço. O indivíduo ou grupo responsável pelo ataque pode encontrar uma falha de segurança no serviço ou site que, quando explorada, faz com que o servidor ou site "trave". Assim, explorando essa falha, o site imediatamente sai do ar. Esse termo também pode ser usado para se referir a um ataque que funciona nos mesmos moldes do ataque distribuído (abaixo), porém realizado a partir de um único computador. Na prática, isso é raro.
b) Negação de distribuída ou refletida. É um ataque de negação de serviço com múltiplas fontes de ataque. Este tipo de ataque também já foi chamado de "out-of-band" ("banda esgotada" ou "ataque volumétrico"), porque seu objetivo básico é esgotar a conexão com a internet (banda) do alvo, mas existem versões diferentes do ataque que esgotam outros recursos que não a banda, como a capacidade de processamento do próprio servidor ou dos equipamentos de rede aos quais ele está conectado. De qualqer forma, sua diferença básica em relação ao ataque de negação de serviço é que, principalmente por exigir uma grande quantidade de recursos, ele é realizado por vários computadores simultaneamente.
c) Interferência com o acesso. Um hacker pode interferir com o DNS ou, muito raramente, com a rota a um site para impedir que ele seja acessado.
d) Invasão ao site. Sites ou serviços podem ser invadidos para várias finalidades. Uma vez dentro do sistema, o invasor pode optar por "destruir" o que puder, tirando o serviço do ar. Caso queira saber como essas invasões são feitas, acesse o G1 Explica: como criminosos invadem sites.
2. Como funciona um ataque de negação de serviço?
O ataque de negação de serviço clássico causa um travamento imediato do sistema. A vulnerabilidade mais icônica dessa natureza foi o "ping da morte", em que um único pacote de dados com um formato inesperado era capaz de travar o sistema operacional inteiro. Essa falha já foi corrigida, mas, às vezes, brechas semelhantes aparecem. Esses ataques são chamados de "Denial of Service" (DoS, ou negação de serviço, em português).
Hoje em dia, na falta desse tipo de "mágica", sites e serviços são derrubados por meio de "negação de serviço distribuída" (Distributed Denial of Service, ou DDoS, na sigla em inglês). Esse ataque consiste em sobrecarregar o sistema alvo, disparando uma avalanche de dados. Ele é "distribuído" porque normalmente o ataque parte de centenas ou milhares de sistemas simultaneamente (veja imagem), de modo a garantir que os recursos sejam esgotados e dificultar o bloqueio.
Os computadores usados no ataque são geralmente sistemas que foram invadidos ou contaminados por vírus. Em alguns casos de protestos on-line, porém, manifestantes voluntariamente executam o programa que envia os dados para participar do ataque.
Uma variação mais sofisticada do DDoS é o ataque refletido (DRDoS, na sigla em inglês). Esses ataques tiram proveito de serviços da internet que enviam "respostas" grandes. Com isso, eles aumentam o poder de ataque sem precisar invadir as máquinas que prestam esses serviços.
Funciona assim: a máquina de ataque do hacker envia solicitações para um serviço, mas informa o endereço do site alvo como solicitante. Quando o serviço responder, a resposta será enviada ao site alvo. Se a solicitação precisou de 2 KB para ser enviada e a resposta teve 10 KB de tamanho, então a capacidade de ataque foi ampliada em 5 vezes; um hacker com 1 Gbps de conexão tem potencial para causar 5 Gbps de tráfego no site alvo se usar tudo em ampliações, por exemplo.
Um exemplo de serviço que já foi explorado para a realização dessas amplificações é o NTP, usado por computadores para a sincronização de relógios. Um comando específico ao serviço de NTP permitia uma grande amplificação e, como o NTP não verifica a origem das solicitações, ele pode ser abusado para enviar respostas não solicitadas a qualquer computador da internet.
A amplificação é normalmente possível em serviços na internet que usam o protocolo UDP. Esse é um protocolo mais simples que não verifica a origem da comunicação. Por isso, uma máquina pode se passar por outra. Por conta dessa característica, o UDP é também o protocolo mais usado para derrubar sites, pois permite confundir os sistemas de proteção e dificultar a identificação da origem do ataque.
3. Qual o tamanho de um ataque de negação de serviço distribuído?
Segundo dados da Arbor Networks, especializada no monitoramento desse tipo de atividade, o ataque médio em 2015 foi de 760 Mbps. Os maiores ataques variam dependendo do período, mas normalmente ultrapassam a marca de 100 Gbps.
Segundo dados da Arbor Networks, especializada no monitoramento desse tipo de atividade, o ataque médio em 2015 foi de 760 Mbps. Os maiores ataques variam dependendo do período, mas normalmente ultrapassam a marca de 100 Gbps.
Já a Akamai, outra empresa que combate esse tipo de ataque, afirma que a média de pico dos ataques é 5,15 Gbps (a Akamai trabalha com médias de pico, que é uma estatística diferente da média da Arbor). Esse dado da Akamai é referente ao terceiro trimestre de 2015.
O maior ataque já registrado pela Arbor chegou a um pico de 500 Gbps, mas o título de "maior ataque DDoS da história" é controverso. A carga de pico muitas vezes não reflete a média do ataque ou a duração (em horas), fatores que também são importantes - um ataque muito poderoso que dura apenas uma hora, por exemplo, incomoda menos que um ataque prolongado. Em todo caso, 500 Gbps equivale a 62 GB por segundo, volume dados que seria suficiente para transmitir cerca de 21 horas de vídeo em alta definição.
De acordo com a Akamai, a duração média de um DDoS é de 18h51m.
4. O que é o DNS e qual a relação dele com o acesso ao site?
O DNS é o "102" da internet. Ele é responsável por descobrir o número IP que corresponde aos "nomes", como "g1.com.br".
O DNS é o "102" da internet. Ele é responsável por descobrir o número IP que corresponde aos "nomes", como "g1.com.br".
O DNS é uma estrutura distribuída hierarquicamente, mas um site depende de basicamente duas coisas: o seu próprio servidor "Nameserver" (NS) e uma empresa registradora. Caso esse servidor NS (que às vezes é operado por um terceiro) ou a registradora sofram um ataque, o site pode ser derrubado, porque não vai ser possível descobrir o endereço IP do site e, assim, ele aparentemente ficará fora do ar.
São muitos os ataques que podem ser realizados contra a estrutura de DNS, inclusive a invasão ao próprio servidor NS e ataques contra os serviços de DNS prestados pelos provedores de acesso à internet (que são responsáveis por ligar os internautas a essa estrutura).
Existem alguns ataques que ocorrem junto à burocracia do registro do domínio, falsificando, por exemplo, solicitações de transferência. Com isso, o invasor acaba conseguindo se tornar dono do domínio e tirando o site do ar ou mesmo redirecionando a página para outro lugar, pelo menos até a situação ser resolvida.
5. Como sites podem se proteger desse tipo de ataque?
Para sites sem proteção, a abordagem envolve o "null route", que é uma "rendição estratégica". Trata-se de uma configuração de rede que anula a rota para o endereço atacado. Com isso, o site sai do ar imediatamente, porém outros serviços na mesma rede em que o site estava não são comprometidos, porque não vai mais existir um "caminho" na internet para chegar até o ponto atacado. O computador some completamente da rede.
Para sites sem proteção, a abordagem envolve o "null route", que é uma "rendição estratégica". Trata-se de uma configuração de rede que anula a rota para o endereço atacado. Com isso, o site sai do ar imediatamente, porém outros serviços na mesma rede em que o site estava não são comprometidos, porque não vai mais existir um "caminho" na internet para chegar até o ponto atacado. O computador some completamente da rede.
Serviços de proteção contra negação de serviço fazem uso de uma infraestrutura distribuída chamada de CDN (Content Delivery Network, na sigla em inglês). Com a infraestrutura distribuída por várias regiões no globo, o ataque é fragmentado. Em vez de um único ponto da rede receber todo o tráfego, o que esgotaria até mesmo sistemas de proteção e equipamentos de rede, vários pontos receberão cargas menores. Com isso, o sistema é capaz de "visualizar" o tráfego e deixar passar os acessos que não forem parte do ataque (veja foto).
É mais ou menos mesmo princípio de criar rotas alternativas para o tráfego de automóveis, com o detalhe de que a infraestrutura distribuída cria não apenas rotas, mas também destinos alternativos. Com isso, o ataque perde a capacidade de prejudicar a rede como um todo.
Essa distribuição é aliada a técnicas de análise de rede, que bloqueiam sistemas considerados perigosos ou que podem estar envolvidos no ataque. Se você já teve que digitar um código para acessar um site protegido pela CloudFlare, por exemplo, você estava autenticando o seu acesso em um sistema de proteção desse tipo. A CloudFlare oferece proteção básica gratuita contra esses ataques, o que deixou os serviços da empresa populares na internet.
Nenhum comentário:
Postar um comentário