Feeds:
Posts
Comentários

Posts Tagged ‘Denial-of-Service’

ENTENDENDO COMO FUNCIONAM OS ATAQUES CIBERNÉTICOS EM MASSA – Parte 1 – SEGURANÇA DIGITAL ATAQUES (DDOS E DRDOS)

Entendendo como funcionam os ataques cibernéticos em massa – Parte 1 – Segurança Digital contra Ataques (DDOS E DRDOS).

O objetivo deste artigo é proporcionar informações básicas e esclarecer este assunto ao maior número de pessoas possível,  mesmo explanando o assunto na forma mais simples e objetiva possível, para o público leitor. Como este assunto poderá ser complexo e exaustivo, confiamos ao leitor que procura por literaturas técnicas avançadas, a liberdade de aprofundar o conhecimento através de outras fontes com o nível técnicos desejados disponíveis na Internet.

1.    Quebrando alguns Paradigmas em Segurança Digital

Primeiramente vamos quebrar alguns paradigmas e alinhar alguns conceitos:

  • Não existe sistema 100% seguro à Até mesmo a NASA, governos dos EUA, Brasil e demais países já sofreram ataques e sempre estarão vulneráveis de uma forma ou outra, uma vez que os atacantes a estes sites estão sempre em busca de oportunidades e falhas visando novos ataques, para aqueles que atuam com ações na bolsa de valores é o mesmo que a briga entre o “urso” e o “touro” em algumas vezes vence o “touro” e em outras o ”urso”.

O que pode ser feito é “subir cada vez mais o muro de proteção”, ou seja, dificultar ao máximo através de sistemas detectivos, preventivos, testes de eficácia da segurança e melhoria contínua do nível de segurança. A tendência de sermos atacados depende do nível de exposição e vulnerabilidades ou ameaças no ambiente disponíveis aos atacantes.

Para que você tenha a compreensão das vulnerabilidades e ameaças mais comuns vamos citar alguns exemplos comuns do dia a dia.

Ex:

Os atacantes são oportunistas e atacam sites que estejam vulneráveis:

(Caso 1: Se um “sujeito” ao passar pela rua onde você mora, percebe que a porta da sua casa está aberta. Possivelmente ele vai entrar, e quando você menos esperar haverá alguém sentado no sofá da sua sala”.

Os atacantes possuem objetivos e criam novas ameaças:

(Caso 2: Se um “Sujeito” passar pela rua onde você mora, olha a sua casa e percebe que nela há objetos que possam interessar e toma a decisão de invadir a sua casa, mesmo que a porta da frente esteja trancada, possivelmente ele forçará a entrada através de alguma outra abertura. e depois de algumas tentativas ele vai conseguir entrar, e quando você menos esperar haverá alguém sentado no sofá da sua sala, mesmo que a porta estivesse bem trancada”.

Os atacantes também criam oportunidades através de Engenharia social:

(Caso 3: Se um “sujeito” ao passar pela rua onde você mora, percebe que há nela objetos que possam interessar, e ainda percebe que há alguém dentro da casa, ele pode tentar chamar a atenção desta pessoa e com alguma “desculpa” ele pode conduzir a mesma a abrir a tranca interna da porta).

  • Segurança nos Perímetros de Rede : A Segurança deve ser reforçada não apenas nos perímetros de rede, mas em todo lugar onde a informação estiver. Este é um dos requisitos de negócio e de segurança da informação se não for observado criteriosamente haverá falhas.

O Perímetro de rede é geralmente a primeira camada de proteção, e pode ser comparada a “Muros e Cercas” presentes em nossas casas, um perímetro de rede aberto é o mesmo que uma casa sem proteção alguma.

  • Segurança em Camadas : Se você reforçar a Segurança apenas numa determinada camada, Ex: Camada de aplicação, os Hackers poderão explorar as vulnerabilidades presentes no seu link de comunicação, fazendo com que a suas aplicações externas fiquem indisponíveis para os usuários.

Proteção em camadas seria o mesmo que você possuir um “cofre trancado”, dentro de um cômodo da sua casa, com a porta trancada, todas as aberturas da casa “fechadas” e o dispositivo que aciona a “cerca elétrica” do muro ativada. Para alguém conseguir chegar até o “cofre”, o “sujeito” deve quebrar todas estas “camadas de proteção”  até que consiga atingir o seu objetivo.

  • Segurança Digital da Informação : Este é um assunto complexo e só é efetiva se todos os usuários e não apenas da área de Segurança ou TI agirem de forma conjunta e coordenada. É importante que a organização possua uma “Política de Segurança” robusta, procedimentos técnicos identificados e endereçados aos seus respectivos responsáveis, equipamentos de apoio bem instalados, configurados e integrados entre si, tais como Firewall, IPS, Antispam, Antivírus, ferramentas de navegação segura cada qual protegendo a sua camadas e todos agindo de forma integrada e convergente em prol da segurança do ambiente, e mesmo assim,  tudo isto só irá funcionar se houver colaboração “ativa e efetiva” de todos os envolvidos, sem exceção.

Mesmo depois de tudo isto, você deverá realizar inspeções contínuas e diligentemente visando verificar a efetividade da “sua segurança” ou poderá simplesmente acreditar que já está “seguro” e entender que “não há mais nada para ser feito”.

Devemos lembrar que em termos de “Segurança Digital” temos de fato apenas aquilo que inspecionamos, medimos e gerenciamos, senão você corre o risco de “acreditar que está seguro” e na realidade “pode não estar” e a noticia ruim que temos a dar é que na maioria das vezes  “Se pensa estar protegido”, e isto em organizações de grande porte, com pessoal técnico especializado presente, treinado e muitas vezes até certificados. Segurança Digital eficiente é um conjunto combinado de pessoas, equipamentos configurados de forma integrada e principalmente de processos e métodos de controle.

Não é uma atitude recomendada, aguardar a ocorrência de um evento para então agir, esta atitude poderá ser tardia demais e corre-se o risco de não haver mais nada para ser inspecionado…quando menos se espera “Lá se foi o boi com a corda…” como se diz.

Não queremos criar “pânico” aos nossos leitores, mas os incidentes de segurança existem, são reais mesmo, não é coisa para os outros se preocuparem, e ainda,  este tipo de “atividade” é  realizada por “profissionais”  e a idéia de que  “hackers” é um só  “bando de jovens” em busca de aventura não é mais verdade a muito tempo, não sendo incomum identificarmos na outra ponta de uma “ameaça digital”  a existência de  técnicos formados, certificados, pós-graduados e até doutores cometendo este tipo de “ameaça”.

Se você leitor é responsável pela segurança digital em sua empresa, fique certo que não existe “Robin-Hood Cibernético”, pense comigo, se alguém se dispõe a ligar um computador, busca aleatoriamente um site, identifica o seu site em particular e passa a executar diversas tentativas apenas para “fazer uma visita dentro no seu site”, ficando possivelmente horas e dias apenas para conseguir quebrar senhas e abrir os seus arquivos de dados, inspecionar seus contratos, fórmulas, desenhos, clientes, fornecedores, valores que você paga a empresa “a” ou empresa “b”, quanto você faturou e para quem faturou, não o faz isto por “esporte” ou pela “adrenalina ou emoção” o produto desta atividade é um “artigo valioso” no mercado, e infelizmente há gente sem escrúpulos disposta a “pagar” muito dinheiro por isto e este é o peso de nossa responsabilidade, proteger a segurança da informação de propriedade dos outros.

Vejam estes dois exemplos:

Há cerca de 10 anos, quando iniciamos nossa carreira em Segurança Digital, após realizamos uma auditoria de “Logs de acessos” a servidores expostos a na WEB em uma empresa aqui no Sul do Brasil, identificamos diversos acessos vindo de um país do outro lado do mundo, sempre destinados a um diretório específico de um servidor de arquivos onde havia informações dos produtos que estavam em desenvolvimento. E os acessos sempre eram efetuados justamente nas pastas onde havia as “fotos” dos protótipos dos produtos que seriam lançados no ano seguinte. Se isto ocorria a mais de 10 anos atrás, onde poucas empresas possuíam acesso a WEB, imaginem nos dias de hoje onde “tudo” ou “quase tudo” está vinculado ou relacionado à internet.

Há alguns meses atrás, em um destes grupos de discussão que participamos, surgiu uma discussão promovida por um representante de empresa de software, onde um de seus colaboradores ao ser demitido, levou consigo  “todos os fontes” do sistema desenvolvido pela empresa durante vários anos, e acabou vendendo ou prestando serviços aos clientes desta mesma empresa oferecendo ainda os serviços com preço menores do que o praticado pela empresa onde atuava. Conversando com o responsável, o mesmo me informou que todos na empresa possuiam acesso ao “diretório de fontes” e só depois do fato ter sido identificado isto teria sido corrigido. Dai me pergunto: Quantas empresas possuem este tipo de “falha de segurança”, simplesmente no fato de “confiarem” em sua equipe. Pois acreditem, esta foi a justificativa alegada pelo responsável desta empresa, até que o referido “evento” aconteceu.

Isto posto,  agora vamos abordar os tópicos de Ameaças previstas para este artigo… e nos perdoem se o textoque vamos utilizar seja técnico demais, infelizmente há ainda muitos termos que não possuem tradução ou ainda não foram descobertos termos em português que lhe deem o mesmo significado (Na medida do possível vamos “traduzi-los”), então fizemos algumas figuras adicionais na tentativa de lhes passar a visão de como estes tipos de ataques ocorrem e como podem ser perigosos.

2.    O que é DoS, DDoS, DRDoS ?

  •  Denial-of-Service (DoS) àÉ uma tentativa maliciosa quando um host atacante poderá causar à vítima, site ou nó, negação de serviços aos usuários/clientes, resultando na inutilização destes serviços pelos usuários legítimos.
  • Distributed Denial-of-Service (DDoS) à É uma tentativa maliciosa quando múltiplos hosts atacam simultaneamente podendo causar à vítima, site ou nó, negação de serviços  aos usuários/clientes, resultando na inutilização destes serviços pelos usuários legítimos.
  • Distributed Reflected Denial-of-Service (DRDoS) àSemelhante ao DDoS, mas onde o atacante pode enviar pacotes forjados para outra rede e permitir que esta rede realize o ataque.

2.1.        Principais Estratégias de Ataques DDoS

  •  Consumo excessivo de recursos (Banda, CPU e Memória).
  • Exploração de vulnerabilidades em Sistema Operacional e Serviços. 

2.2.        A Rede Atacante

A rede atacante é formada através das principais etapas:

  • Descoberta de sites ou hosts vulneráveis
  • Exploração para ganhar acesso a estes hosts
  • Instalação de programas (conhecido como ferramentas de ataque) nos hosts comprometidos
  • Hosts que executam estas ferramentas de ataque são conhecidas como máquinas “Zumbis”
  • O conjunto de vários “Zumbis” formam um Exército, também chamado de Botnet.

*Trataremos em outro artigo específico os Botnets.

 2.3.        Como Funciona um Típico Ataque DDoS

O exército do atacante consiste de máquinas “Zumbis”  Mestre (Master) e Escravo (Slave). Estas máquinas comprometidas estão infectadas por código malicioso (Possivelmente recebido por email ou baixado ao navegarmos inocentemente pela web). O atacante envia ou programa um comando de ataque para os Zumbis Mestres e ativa o processo de ataque nestas máquinas que estavam em hibernação, esperando por comandos para “acordar” e iniciar o ataque. Os Zumbis Mestres enviam comandos de ataque para os Zumbis Escravos, ordenando que eles montem um ataque DDoS contra a vítima através do envio de grande volume de pacotes para a vítima, inundando (flooding) o sistema desta com carga e exaustão de recursos.

Na figura abaixo, temos um resumo desta representação:

Nestes casos, os endereços IP de origem são falsificados nos pacotes do tráfego atacante, escondendo ou dificultando a identidade dos Zumbis para que a vítima não consiga rastrear e filtrar a origem deste tráfego malicioso.

2.4.        Como Funciona um Típico Ataque DRDoS

Semelhante ao ataque DDoS, com as seguintes características:

  • “Zumbis escravos” enviam um fluxo de pacotes com o endereço IP da vítima (como endereço IP de origem), para outras máquinas não infectadas (conhecidas como refletores).
  • Os refletores conectam com a vítima e enviam um grande volume de tráfego,  porque eles acreditam que o host da vítima foi quem solicitou por isso.
  • O ataque é montado pelas máquinas não comprometidas sem estarem cientes da ação.

Neste caso, o atacante tem mais máquinas para compartilhar o ataque, por isso ele é mais distribuído e cria um volume maior de tráfego devido a sua natureza distribuída.

3.  Principais Vetores de Ataques DDoS

1)Baseados em Inundação (Flooding) de pacotes (UDP, ICMP): Pela primeira vez, em 2010, os ataques em massa quebraram a barreira de 100Gbps. Estes patamares, excedem a banda de diversos provedores no Brasil. Em comparação, em 2002 a barreira era de 400Mbps. Geralmente os alvos são interfaces de roteadores / link principal, endereços de BGP, Firewall, IPS, balanceadores de carga, servidores web, demais elementos de rede.

2)Baseados em Aplicação ou Serviço (URL, GET, DNS, SQL): Os principais alvos são HTTP, DNS e SMTP. Não consomem quantidades gigantes de banda e geralmente os alvos são serviços de rede, Servidores (Web, DNS, SMTP), elementos de rede e banco-de-dados.

3)Baseados em Protocolos (RST, SYN, Frag): Geralmente os alvos são sistemas Web e elementos de rede.

4.  Exemplos de Ataque DDoS

5.  Ferramentas Utilizadas neste Tipo de Ataque

Atualmente existem centenas de ferramentas na Internet que enviam quantidades gigantescas de requisições web, flooding ICMP, UDP porta 80, randomizações de URLs e controle remoto pelos BOTNETs IRC, RSS, Twitter e Facebook para atacarem os servidores das vítimas.

Outras ainda mais sofisticadas para inundação de tráfego HTTP com multi-tarefas, atacando simultaneamente centenas de websites.

Com estas ferramentas é possível através de uma única estação indisponibilizar serviços web em menos de 5 minutos!

Existem diversos convites pela Internet com planejamento de ataques distribuídos (atualmente com menos de 100 máquinas Zumbis bem conectadas são capazes de indisponibilizar serviços de grandes empresas).

  • Por motivos óbvios, não citaremos nomes de ferramentas, embora estejam publicadas livremente na internet. Publicaremos artigo específico focando nas melhores práticas para detecção, prevenção e testes de eficácia da segurança.

6.    Tendências de Ataques

Atualmente, a maioria dos ataques DDoS são baseados em inundação para atingirem a capacidade de links ou sobrecarga dos equipamentos alvo.

Os ataques baseados em aplicação serão mais sofisticados e difíceis de serem diferenciados do tráfego legítimo (exemplo: Protocolo HTTP porta 80, explorados atualmente, pois é muito comum estar liberado nos Firewalls para que os clientes possam acessar as aplicações web pela internet).

Veremos com mais frequência ataques com motivações políticas ou protestos, similares as retaliações demonstradas nos casos do Wikileaks, e possivelmente presentes nestes “movimentos” estejam incluidos alguns “profissionais” que já citamos neste artigo, apenas monitorando as eventuais “portas abertas” ou “falhas” para fazer uso posteriormente.

A velocidade de mobilização através das redes sociais e a popularização de ferramentas cada vez mais sofisticadas representa um perigo real para a rede e a nossa dependência cada vez maior na Internet.

  • No próximo artigo, publicaremos as melhores práticas para detecção e prevenção de ataques DDoS.
  • Este artigo está disponível para download no formato de Documento (PDF) na pagina de Download  do Site da AGHATHA  na seção Free Whitrepaper em nossa webstore :  http://www.aghatha.com

—- Fim Conteúdo Artigo —-

Agradecimentos e Convites:

As informações e comentários existentes neste artigo são o fruto de observações e experiências adquiridas pelo autor durante a  execução de projetos ao longo de 15 anos de atuação no mercado. Utilizamos este espaço para a divulgação e intercâmbio destes conhecimentos junto aos nossos leitores, clientes e amigos.

Caso você tenha alguma dúvida ou necessidade de informações adicionais para o seu entendimento ou aplicação, entre em contato conosco através do e-mail abaixo.

Abraço e Felicidades a Todos,

Gledson Maurício Ferrazzo

(CTO- Aghatha Maxi Consulting)

www.aghatha.com.br

Consulting@aghatha.com

———

Declaração e Preservação de Direitos:

 Todas as demais marcas, modelos, desenhos, nomes, incluindo o conteúdo integral deste artigo, são de propriedade de seus respectivos fabricantes, autores ou publicadores.

O leitor está autorizado a fazer o uso interno e não comercial do conteúdo deste artigo, desde que mantidas as observações de direitos autorais e mantidas as referencias a suas origens e identificação dos respectivos autores e proprietários.

Direitos de uso comerciais deste artigo são preservados e mantidos em nome exclusivo do autor e o leitor não está autorizado a utiliza-los, de forma integral ou parcial para usos e fins comercias e/ou em atividades que visem à obtenção de lucro ou benefício comercial próprio ou a terceiros.

Licença Creative Commons
This work is licensed under a Creative Commons Atribuição-Uso não-comercial-Vedada a criação de obras derivadas 3.0 Unported License.

Para a confecção deste artigo foram citadas e/ou utilizados os seguintes nomes, marcas e publicações:

  • Conteúdo Artigo – é de propriedade exclusiva do Autor e de AGHATHA (http://www.aghatha.com/index.htm  / Http://www.aghatha.com ), sendo todos os direitos  autorais preservados, incluindo a sua utilização e exploração comercial.
  • COBIT ® 4.1, que é de propriedade exclusiva ISACA – Information Systems Audit and Control Association (www.isaca.org ) e IT Governance Institute™ (www.itgi.org), sendo Todos os direitos autorais reservados.
  • ISO-IEC® Standard – São de propriedade exclusiva do  International Organization for Standardization (ISO®)   e International Electrotechnical Commission (IEC®) (www.iso.org), sendo Todos os direitos autorais reservados.
  • Accelops, com sede no Vale do Silício, Califórnia, EUA. Fundada pela equipe que criou o MARS (adquirido pela CISCO em 2005).
  • Arbor Networks, com sede em Chelmsford, MA, EUA.
  • Cisco, com sede no Vale do Silício, Califórnia, EUA.

– Fim Declarações de Direitos de Copyright —

– Fim Artigo

Read Full Post »