Talvez o ponto mais marcante sobre o grande ataque DDoS que tirou do ar mais de 80 grandes sites e serviços online, é que os criminosos por trás dele não usaram meios particularmente sofisticados ou tecnologia de ponta. Eles agiram por meio de um verdadeiro exército de dispositivos conectados – o que chamamos de Internet das Coisas (IoT). Neste post, vamos explicar os conceitos críticos e como este incidente está relacionado com cada um de nós.
O ataque
Em 21 de outubro, muitos americanos acordaram e perceberam que alguns dos seus sites mais populares não estavam disponíveis. Não conseguiram assistir a Netflix, nem comprar via PayPal, ou jogar online no PlayStation. Nem mesmo um tweet esclarecendo a situação foi possível, pois o Twitter também estava fora do ar.
Ao todo, 85 sites populares mostraram sinais de stress ou simplesmente não estavam no ar.
Como se viu, o problema subjacente foi uma série de ataques – três ao todo – contra a infraestrutura da Internet norte-americana. A primeira onda afetou a costa leste. A segunda usuários da Califórnia e no Centro-Oeste, bem como a Europa. A terceira onda foi atenuada pelos esforços da Dyn, a empresa de serviços de DNS que foi o principal alvo dos três ataques.
Serviços de música, mídia e muitos outros recursos foram afetados. A Amazon recebeu atenção especial: um ataque separado na Europa tirou o site do ar por um tempo.
DNS e DDoS
Então, como é possível interromper tantos sites com apenas três ataques? Para entender isso, você precisa saber o que é DNS.
Can't get on a website? This is a live map, right now, of the massive DDoS attacks on Dyn's servers. It is creating many issues right now. pic.twitter.com/fekUqNgaL7
— Flying With Fish (@flyingwithfish) October 21, 2016
O Domain Name System, ou DNS, é o sistema que conecta o seu navegador com o site que está procurando. Essencialmente, cada site tem um endereço digital, um lugar onde vive, bem como uma URL mais amigável. Por exemplo, blog.kaspersky.com fica no endereço IP 161.47.21.156.
Um servidor DNS funciona como um livro de endereços – que informa ao navegador em que local digital um site é armazenado. Se um servidor DNS não responder a um pedido, seu browser não vai saber como carregar a página. É por isso que provedores de DNS (especialmente os mais relevantes) formam uma parte importante da infraestrutura crítica da Internet.
Isso nos leva ao DDoS. Um DDos, em inglês denial of service (ataque de negação de serviço), envia uma enxurrada de pedidos para os servidores que executam um site ou serviço online até que eles entrem em colapso e os sites parem de funcionar. Para isso, os criminosos precisam enviar um número enorme de requisições e de uma série de dispositivos para fazê-las. Eles costumam usar exércitos de computadores hackeados, smartphones e outros dispositivos conectados. Trabalhando juntos (mas sem o conhecimento ou consentimento dos seus proprietários), esses dispositivos formam botnets.
Nocauteando a Dyn
Agora você sabe como tudo aconteceu: alguém usou uma botnet gigante contra a Dyn. Para formá-la milhões de dispositivos foram necessários – câmeras, roteadores, impressoras e outros dispositivos inteligentes a partir da Internet das Coisas. Eles inundaram os sites da Dyn com pedidos – um reivindicou 1,2 terabits por segundo. O dano estimado é de cerca de 110 milhões de dólares. No entanto, os criminosos responsáveis não pediram resgate ou fizeram quaisquer exigências.
Na verdade, não exigiram nada, mas o ataque deixou impressões digitais. Alguns grupos de hackers como New World Hackers e RedCult reivindicaram a responsabilidade. Inclusive, o RedCult prometeu realizar mais ataques no futuro.
Quiz: Você sabe tudo sobre cibersegurança? Teste seus conhecimentos! | https://t.co/hB8GaGZQc7 pic.twitter.com/thsrNPmCI8
— Kaspersky Brasil (@Kasperskybrasil) November 23, 2016
Por que os usuários comuns devem se preocupar?
O incidente com a Dyn pode não tê-lo afetado diretamente, mas isso não significa que você não tomou parte dele.
Para criar uma botnet, os criminosos precisam de uma série de dispositivos conectados à Internet. Quantos você possui? Telefone, tablet, talvez uma SmartTV e webcam? Aparelhos hackeados podem ser usados ao mesmo tempo por duas pessoas: seus proprietários ou atacando sites seguindo as instruções de criminosos. Milhões de dispositivos operando dessa forma tiraram a Dyn do ar.
Esta botnet gigantesca foi criada com a ajuda do malware Mirai. Ele age de forma bastante simples: faz a varredura em dispositivos conectados à IoT e tenta uma senha para tudo que encontra. Normalmente, as pessoas não alteram as configurações padrão e senhas de seus dispositivos, de modo que os dispositivos são fáceis de hackear. É assim que os criminosos recrutam seus dispositivos para os exércitos zumbis do Mirai, ou malware similar.
E isso significa que a sua Smart TV pode ser parte de uma botnet e você não faz a menor ideia.
Ar-condicionado hackeado deixa quarteirão todo sem energia | https://t.co/2OOHzCIPFc #IoT pic.twitter.com/hkPeNStM7T
— Kaspersky Brasil (@Kasperskybrasil) July 12, 2016
Em setembro deste ano, alguém usando o Mirair derrubou o blog do jornalista segurança de TI Brian Krebs, sobrecarregando o servidor com pedidosde até 665 gigabits por segundo a partir de 380 mil dispositivos hackeados. O provedor tentou manter o funcionamento, mas acabou sendo derrubado. O blog só voltou a funcionar depois que o Google interviu para protegê-lo.
Logo após o ataque, um usuário pelo pseudônimo Anna-senpai publicou o código fonte do Mirai em um fórum. Os criminosos agarraram a oportunidade imediatamente. Desde então, o número de bots viabilizados pelo Mirai têm aumentado constantemente; o ataque à Dyn ocorreu depois de apenas um mês.
Problematizando a IoT
DDoS é um tipo ataque muito popular. A utilização de dispositivos inteligentes em tais ataques é atraente para os criminosos – como já mencionado, a Internet das Coisas tem falhas e é vulnerável. Esse fato não deve mudar em breve.
Os desenvolvedores de dispositivos inteligentes não se esforçam para protegê-los e não explicam aos usuários que devem alterar senhas de câmeras, roteadores, impressoras e outros. Na verdade, alguns nem permitem que isso seja feito, tornando os dispositivos da IoT alvos perfeitos.
Atualmente, temos entre 7 -19 bilhões de dispositivos conectados à Internet. De acordo com estimativas conservadoras, chegarão a 30-50 bilhões nos próximos cinco anos. Podemos afirmar que a maior parte destes dispositivos não irão ser fortemente protegidos. Além disso, dispositivos comprometidos pelo Mirai ainda estão ativos – e outros novos se juntam ao exército de bots cada dia.
O lado maléfico da internet | Blog oficial de Eugene Kaspersky https://t.co/9xKZwOmk3T #IoT pic.twitter.com/lnKhd2ve6Z
— Kaspersky Brasil (@Kasperskybrasil) November 17, 2016
Quais expectativas para o futuro?
Os criminosos costumam usar botnets para atacar o núcleo da infraestrutura industrial – subestações elétricas, serviços públicos de água, e sim, provedores de DNS. O pesquisador de segurança Bruce Schneier afirma que alguém está “aprendendo a derrubar a Internet” com a ajuda de poderosos e contínuos ataques DDoS.
Botnets estão ficando cada vez maiores, e quando esses testes acabarem, não é difícil acreditar que ataques em grande escala serão recorrentes. Imagine dezenas de ataques simultâneos tão poderosos como foi o incidente com a Dyn -dá para entender o tamanho do dano potencial? Países inteiros podem ficar desconectados.
Como não se tornar parte da botnet
Uma pessoa sozinha não consegue impedir que as botnets derrubem a Internet -, mas juntos, podemos fazer muito. O primeiro passo é tornar seus dispositivos mais seguros. Se todos fizessem isso, os exércitos de botnets iriam encolher significantemente.
Para impedir que a impressora, o roteador, ou a geladeira entrem no mundo das trevas da Internet, tome essas precauções simples.
- Altere as senhas padrão para todos os seus dispositivos. Use combinações complexas que não sejam descobertas facilmente em um ataque em massa.
- Atualize o firmware de todos os seus dispositivos – especialmente os mais antigos – se possível.
- Seja seletivo na escolha de dispositivos inteligentes. Pergunte-se: será que esse objeto realmente precisa de conexão à Internet? Se a resposta for “Sim!”, invista tempo na busca de informações sobre opções do dispositivo antes de comprar. Se você descobrir que tem senhas padrão que não podem ser modificadas, escolha outro modelo.