Os ataques de Negação de Serviço (DoS) e ataques Distribuídos de Negação de Serviço (DDoS) se tornaram cada vez mais
frequentes, e muitas vezes são utilizados pelos hacktivistas como meio de protesto, ou inclusive são realizados por meio das redes botnet que utilizam seus computadores zumbi com esta finalidade. A seguir, apresentamos algumas informações mais técnicas para compreender seu funcionamento.

Em que consiste um ataque de DOS?

Um ataque de Negação de Serviço tem como objetivo deixar determinado recurso inacessível (geralmente um servidor web). Esses ataques geralmente se realizam com o uso de ferramentas que enviam uma grande quantidade de pacotes de forma automática para sobrecarregar os recursos do servidor, conseguindo, desta maneira, que o próprio serviço fique inoperante. Além disso, costumam coordenar ataques envolvendo um grande número de pessoas para que iniciem este tipo de ataque simultaneamente, constituindo assim um ataque de negação de serviço distribuído, o qual muitas vezes é um pouco mais difícil de conter.

Que métodos de defesa existem?

Devemos revisar a configuração de roteadores e firewalls para deter IPs inválidas, assim como filtrar protocolos não necessários. Alguns firewalls e roteadores oferecem a opção de prevenir inundações (floods) nos protocolos TCP/UDP. Além disso, é mais aconselhável habilitar a opção de logging (logs) para levar um controle adequado das conexões que existem com os ditos roteadores.

Como medida de resposta, é muito importante contar com um plano de resposta a incidentes. Caso ocorra algo dessa natureza, cada pessoa dentro da organização deveria saber qual é sua função específica.

Outras das alternativas que devemos ter em conta é a ajuda solícita ao Provedor de Serviços da Internet (ISP). Isso pode ajudar ao bloquear o tráfego mais próximo à sua origem sem a necessidade de alcançar a organização.

No caso de contar com IDS/IPS (intrusão-detecção/prevention system), esses podem detectar o mal uso de protocolos válidos como possíveis vetores de ataque. Devemos ter em conta, além disso, a configuração dessas ferramentas. Isso deve se realizar com o tempo necessário e mediante pessoas capacitadas, tentando o máximo possível manter atualizadas as assinaturas desses dispositivos. Cabe destacar que é de suma importância analisar os casos de falsos positivos para realizar uma possível reconfiguração desse tipo de ferramenta.

Alguns conselhos um pouco mais técnicos que podem ajudar são:

• Limitar a taxa do tráfego proveniente de um único host.
• Limitar o número de conexões simultâneas ao servidor.
• Restringir o uso da largura de banda pelos hosts que cometam violações.
• Realizar um monitoramento das conexões TCP/UDP feitas no servidor (permite identificar padrões de ataque).

Possivelmente, este tipo de ataque seguirá ocorrendo ao longo do tempo. É por isso que é necessário adotar medidas preventivas para tentar evita-los, assim como também contar com os recursos necessários na hora de responder em caso de ataque bem sucedido.

Fernando Catoira
Analista de Segurança

Categories: Gestão
1 Comment »

Os fatos ocorridos em janeiro referentes ao fechamento do popular site de armazenamento de arquivos Megaupload por parte do FBI geraram diversas reportagens e artigos de opinião na Internet, tanto pelo debate sobre a propriedade intelectual, como também pelos ataques de hacktivismo do grupo Anonymous. Porém, há outro fator que vale ser comentado: O que aconteceu com os dados que muitos usuários perderam? Além das implicâncias legais sobre o tema, sempre é uma boa oportunidade para falar da importância de manter sempre o backup de informação.

Sempre destacamos a importância de analisar quais informações consideramos mais importantes para criar os backups. Tal decisão sempre vem respaldada por uma análise de riscos: Há alguma probabilidade de perder tal informação? O que acontece em muitos casos, provavelmente como no que ocorre com o Megaupload, é que os usuários não fazem backup porque consideram que não há riscos de que tal informação não esteja disponível, e este tipo de situação pouco esperada não deve ser considerado.

Para aqueles usuários que tinham informação armazenada online através do Megaupload, pode-se dizer que foi uma má escolha. Lamentavelmente esse tipo de incidente pode ocorrer, por isso é importante sempre fazer uma análise de que tipo de backup (ao menos algum que não seja muito custoso) se pode realizar para evitar esses incidentes.

Por outro lado, se alguém utilizava o Megaupload como backup, deve se lembrar de que sua informação já não está garantida, e por isso é importante (antes que se arrependa) buscar outro site ou serviço para armazenar a informação antes de qualquer novo incidente.

Novamente, vale a pena recordar a importância dos backups, e recordar que as soluções de Cloud Computing podem ter riscos tanto como outras mídias físicas que, a priori, parecem mais vulneráveis. Não se trata de uma competição entre essas duas opções, mas sim da importância de estar sempre atento à possibilidade de perder informações que podem ser muito importantes, e que muitas vezes pode não ser simples recupera-las.

Ou seja, estamos falando de backup. O incidente do Megaupload é só uma desculpa, para recordar todo o mencionado neste post. Vamos cuidar de nossa informação!

Sebastián Bortnik
Coordenador de Awareness & Research

Categories: Gestão
No Comments »