Pular para o conteúdo principal

Saiba como funcionam os ataques que bloqueiam serviços na internet

Ataques são capazes de travar ou sobrecarregar sistemas. Comentários estão abertos para as perguntas dos leitores.

Os ataques conhecidos como “negação de serviço”, abreviados pelas iniciais em inglês DoS (Denial of Service) podem acontecer de diversas maneiras. Nesta coluna estão descritas de forma geral alguns destes ataques e também as formas de defesa adotadas por organizações que encontram-se em constante ameaça.

Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados, etc), vá até o fim da reportagem e deixe-a na seção de comentários. A coluna responde perguntas deixadas por leitores todas as quartas-feiras.

Em um primeiro momento é conveniente separar dois conceitos: o DoS e o DDoS -- Distributed Denial of Service (Negação de Serviço Distribuída). Enquanto o primeiro é caracterizado pelo ataque de um único computador ao sistema alvo, o segundo envolve o uso de dezenas, centenas ou milhares de computadores.

O objetivo da negação de serviço é “negar” o serviço, ou seja, torná-lo indisponível. Um ataque de negação de serviço em um servidor de e-mail o incapacitaria de processar novas mensagens, da mesma forma que um servidor web não poderia mais servir páginas de internet. Em um PC doméstico, o ataque de negação de serviço pode resultar no congelamento do sistema ou no travamento de um dos aplicativos.

Brechas

É comum a utilização do termo “negação de serviço” para classificar vulnerabilidades de segurança que não permitem a invasão do sistema, mas que, quando exploradas, impossibilitam o uso do computador. Uma das falhas mais clássicas do gênero é o “Ping da Morte”.

O “ping” é um programa legítimo, normalmente usado para testar a conexão até outro computador da rede. O “ping da morte” recebia esse nome pelo seu efeito de travar o sistema que o recebia imediatamente. Tratava-se de um ping muito grande, com os quais os sistemas não conseguiam lidar.

Vários softwares eram vulneráveis ao ping da morte: Windows, Unix (inclusive Linux) e equipamentos de rede. Muitos foram corrigidos até o final da década de 90, mas o problema ainda assombra alguns sistemas, como o Solaris 10, em que uma brecha exatamente igual foi corrigida em janeiro de 2007.

O ping da morte é o exemplo histórico de uma falha de segurança do tipo “negação de serviço”: não é necessário muito esforço para inutilizar o sistema remoto. Vulnerabilidades assim são encontradas com frequência, embora não sejam tão tecnicamente simples como o “ping”.

DDoS: Sobrecarregando um sistema



Piratas virtuais usam “computadores zumbis” para sobrecarregar um sistema com acessos fajutos, impedindo-o de atender às solicitações legítimas (Arte G1)

A metodologia base do ataque de negação de serviço distribuída não é difícil de ser entendida: o criminoso cria um fluxo interminável de solicitações falsas ao computador alvo, de tal maneira que ele fique sobrecarregado e impedido de atender às solicitações dos usuários verdadeiros.

Esse ataque é comumente realizado pelas chamadas redes zumbis, da qual fazem parte computadores infectados com um determinado tipo de praga digital. Os computadores infectados ficam sob o controle do criminoso, que ordena a realização dos acessos falsos que irão sobrecarregar o sistema alvo.

Embora bastante “brutos”, esses ataques têm sido refinados para que o objetivo de derrubar o alvo seja atingido mais rapidamente e com uso de menos recursos da 'rede zumbi'. Alguns DDoS têm motivação política, enquanto outros são claramente criminosos, por atingirem sites de empresas antivírus ou se envolverem em esquemas de extorsão para exigir pagamento dos donos dos sites para que o ataque seja encerrado.

Proteção



O uso de filtros e configurações de rede avançadas dispersam as conexões maliciosas, permitindo que o alvo continue atendendo as solicitações legítimas (Arte G1)

No caso das brechas de segurança, a proteção é instalar as atualizações do sistema e dos aplicativos que têm uma vulnerabilidade de negação de serviço.

Já os ataques que partem de milhares de sistemas para derrubar um alvo são difíceis de lidar. Mesmo profissionais experientes e com os recursos adequados serão desafiados por ataques muito fortes, nos quais muitas máquinas estão envolvidas.

Um tipo de defesa é feita nos roteadores e "switches" da internet -- equipamentos responsáveis por determinar o “caminho” que cada conexão segue. No caso de um ataque, eles são configurados para bloquear os endereços de origem ou, se for muito forte, do alvo, para que a rede inteira não seja afetada. Os roteadores geralmente são conectados em várias redes, tendo à sua disposição uma conexão suficientemente rápida para suportar alguns ataques.

Outra solução contra os ataques de DDoS é uso de servidores de proxy reverso (em que um computador fica de ponte para outro) ou mesmo cache (quando uma informação fica armazenada em um computador para não ter de solicitá-la novamente). Nessa configuração, existe um sistema complexo entre o computador que está sendo atacado e a internet. Esse sistema é responsável por filtrar o tráfego indesejado e passar ao sistema verdadeiro apenas o que for necessário. A Akamai, a Prolexic Networks e a GigeSERVERS são algumas empresas que oferecem esse tipo de serviço.

Para resistir ao ataque, esses serviços fazem uso de várias técnicas. Uma delas são filtros avançados; em outra, os computadores que servem de escudo estão distribuídos por todo o planeta. Isso dispersa os acessos maliciosos, dividindo o ataque, possibilitando que o mesmo seja enfrentado em pequenas quantidades em vários locais -- muito mais fácil do que fazer uma única rede aguentar tudo sozinha.

Apesar disso, ataques de negação de serviço distribuída não deixam de ser um problema. Foram usados, diversas vezes, como exemplos da fragilidade da rede. Assim como o spam, o DDoS necessita da colaboração entre administradores de redes no mundo todo. Ao contrário de outras atividades maliciosas da rede, o DDoS é facilmente percebido, mas mesmo assim algumas empresas operadoras de redes não demonstram interesse em fazer algo a respeito e facilitar a vida de quem é atacado.

Para os usuários domésticos, ataques DDoS não costumam ser um problema muito grave. A maioria dos usuários não será atacada, a não ser que se relacionem com as pessoas erradas na rede. No entanto, como a força do ataque é pequena nesses casos, é muitas vezes possível anulá-los reconectando-se à Internet, porque isso dará ao sistema um novo endereço IP, diferente daquele que o indivíduo mal-intencionado está atacando.

A coluna de hoje fica por aqui. Na quarta-feira (14) serão publicadas respostas a dúvidas de leitores. Até lá!

* Altieres Rohr é especialista em segurança de computadores e, nesta coluna, vai responder dúvidas, explicar conceitos e dar dicas e esclarecimentos sobre antivírus, firewalls, crimes virtuais, proteção de dados e outros. Ele criou e edita o Linha Defensiva, site e fórum de segurança que oferece um serviço gratuito de remoção de pragas digitais, entre outras atividades. Na coluna “Segurança para o PC”, o especialista também vai tirar dúvidas deixadas pelos leitores na seção de comentários. Acompanhe também o Twitter da coluna, na página http://twitter.com/g1seguranca.

Fonte: G1

Comentários