A Corero Network Security, anteriormente Top Layer Security, fabricante com sede em Massachussets, nos Estados Unidos. está divulgando um relatório no qual se detalham os cinco maiores ataques DDoS acontecidos em 2011, ao mesmo tempo em que propõe recomendações e boas práticas às organizações que querem aliviar o risco que representam estas ameaças. A empresa trabalha com provedores globais, como a BT, e integradores e, no momento, está procurando parceiros no Brasil.
A Corero Network Security tem encontrado um aumento na sofisticação e inteligência nos ataques DDoS. Esses ataques são extremamente difíceis de ser identificados "em nuvem" em que se apresentam, e muitas vezes não são detectados com as tecnologias de Segurança tradicionais até que danos sejam visíveis.
Outra observação é a prevalecia em ataques DDos contra as corporações, gerenciados pelos denominados “hacktivists”, motivados por visōes políticas e ideológicas, ao invés de ganho financeiro. No topo da lista dos maiores ataques registrados encontramos a Mastercard, Visa, Sony, PayPal e a CIA.
“Este jogo de gato e rato entre os administradores de TI, criminosos e os "hacktivistas", se intensificou em 2011, com uma explosão em números de ataques DDoS. As empresas necessitam uma atuação extremamente vigilante na identificação e combate as tentativas de desativação de seus sites, de roubo de informações confidenciais e de desconfiguramento das suas aplicações” afirma Mike Paquette, diretor de Estratégia da Corero Security Network.
Os 5 ataques principais em 2011
1. Anonymous DDoS Attacks Pró-WikiLeaks (Visa, MasterCard e PayPal): http://www.tgdaily.com/security-features/57508-anonymous-keeps-it-legal-with-latest-paypal-attack
O mais significativo ataque DDoS até agora, foi o relacionado ao WikiLeaks, envolvendo Visa, MasterCard e PayPal, sendo este o primeiro exemplo generalizado, apelidado de "cyber desordem" na Internet, com navegadores virtuais juntando-se ao ataque de forma voluntária.
2. Sony PlayStation Network DDoS: http://www.dailytech.com/Anonymous+Engages+in+Sony+DDoS+Attacks+Over+GeoHot+PS3+Lawsuit/article21282.htm
Um susto levado pelos fans de jogos eletrônicos, clientes e investidores da Sony, foi o ataque DDoS em que a PlayStation iniciou uma série de assaltos cibernéticos de informação que feriram economicamente a Sony, além de deteriorar sua reputação.
3. CIA and SOCA hit by LulzSec DDoS Attacks: http://www.guardian.co.uk/technology/2011/jun/21/soca-website-hacking-lulzsec
Com o surgimento de LulzSec, os ataques leves de DDoS contra a CIA (USA) e a Agência contra o Crime Organizado Sério (SOCA da Inglaterra) ambos os organismos de defesa, levantaram os alarmes com respeito à vulnerabilidade da Internet.
4. WordPress DDoS: http://money.cnn.com/2011/03/03/technology/wordpress_attack/index.htm
A plataforma, maior do mundo, de alojamento de blogs não se livrou de sofrer um ataque em massa DDoS, que bloqueou uns 18 milhões de sites. O ataque paralisou os centros de dados da companhia, que se viram inundados com dezenas de milhões de pacotes por segundo.
5. Hong Kong Stock Exchange: http://www.techcentral.ie/article.aspx?id=17247
Esta ofensiva DDoS teve um grande impacto no mundo financeiro, conseguindo alterar a Carteira de Valores em Hong Kong. Foi um ataque DDoS de alto nível, que afetou colateralmente centenas de empresas e particulares.
Cinco principais recomendações para minimizar os efeitos
Por todo o dano que os ataques DDoS causaram, Corero expõe uma série de melhorias práticas e eficientes que as empresas podem implementar para reduzir o risco. A defesa mais eficaz requer uma preparação especializada dos recursos de defesa, vigilância e monitoramento permanente e uma reação rápida e organizada.
[. Criar um Plano de Resposta aos Ataques DDoS
Da forma como acontece com todos os planos de resposta a incidentes, uma preparação prévia é fundamental para uma ação rápida e eficaz. Num plano de resposta DDoS, descrevem-se todos os passos que as organizações devem tomar, se a sua infra-estrutura de TI for submetida a um ataque DDoS.
Cada vez mais, a Corero está observando que os ataques DDoS com objetivos de alto perfil são bastante inteligentes, determinados e persistentes. Este novo grupo de hackers são altamente capacitados e variam constantemente suas tácticas de ataque e métodos. Portanto, é essencial que o plano de resposta ao DDoS, seja definido quando, e como os recursos adicionais de suavização sejam administrados e a vigilância severa aumentada.
2. A defesa contra DDoS no Centro de Dados é imprescindível.
As conexões a Internet incluindo serviços de tipo “Clean Pipe” proporcionadas por ISPs dão uma falsa sensação de segurança. As soluções de proteção devem ser instaladas imediatamente em frente às aplicações web e os servidores de bases de dados, para conseguir uma resposta granular aos ataques por inundações (flooding), bem como, para detectar e desviá-los a cada vez mais frequentes ataques DDoS orientados à capa de aplicação.
Para uma defesa ótima, é necessário instalar soluções de proteção DDoS nos centros de dados em conjunto com serviços de monitoramentos automatizados, com o objetivo de identificar e reagir imediatamente aos ataques evasivos e sustentados.
3. Proteger o DNS
O DNS é um sistema de nomes distribuído que permite o acesso a Internet mediante o uso de denominações reconhecíveis e fáceis de recordar, como www.google.com, em lugar de direções IP numéricas (por exemplo, 192.168.0.1) nas quais a infra-estrutura de rede envia as mensagens de um computador a outro. Desde que o DNS é distribuído, muitas organizações utilizam e mantêm seus próprios servidores DNS para que seus sistemas sejam visíveis em Internet.
No entanto, estes servidores são com frequência objetivo de ataques DDoS, e se o atacante consegue alterar as operações do DNS, todos os serviços das vítimas podem desaparecer da Internet, causando o efeito desejado de Denegação de Serviço.
4. Conheça os seus Clientes Reais
O uso de força bruta (brut-force) ou de inundação (flooding) para fazer um ataque DDoS é relativamente fácil de identificar, apesar de que se requer de uma sofisticada análise em tempo real para reconhecer e bloquear o tráfico de ataque ao mesmo tempo em que se permite o tráfico legítimo.
A detecção dos ataques de maior incidência que atuam na capa de aplicação requer um conhecimento profundo das condutas e ações de boa-fé de clientes e empregados que acedem às aplicações que se protegem. Da mesma maneira que a detecção da fraude de cartões de crédito pode ser automatizada, a defesa contra ataques DDoS adiante dos servidores permite estabelecer perfis de uso legítimo para identificar o tráfico suspeito e responder em consequência.
5. Mantendo Vigilância Contínua
Os ataques DDoS são cada vez mais inteligentes e de grande discrição nos seus métodos de ação. Para que haja uma defesa ideal, o sistema de alerta deve ser parte fundamental da solução de uma empresa. O processo de monitoramento contínuo e automático é necessário para reconhecer um ataque, seguido pelo uma alerta e iniciar o plano de resposta.
