NIC.br

Ir para o conteúdo
05 DEZ 2017

CERT.br declara guerra à geração e amplificação de ataques DDoS no Brasil


Blog Porta 23 - 04/12/2017 - [gif]


Autor: Cristina de Luca
Assunto: VII Semana de Infraestrutura da Internet no Brasil

A situação é preocupante. Não só a quantidade e o volume de ataques DDoS estão aumentando significativamente no Brasil, quanto o país já figura como um dos principais geradores deles, por conta de falta de aplicação de medidas de segurança nas redes existentes no país.

São 1600 sistemas autônomos existentes hoje no IX.br (antigo PPT.br). E uma grande parte deles não tem implementado medidas simples, como a troca da senha padrão dos roteadores. Resultado? Para nós, usuários, lentidão na rede, por conta do grande aumento no volume de tráfego. E sites cada vez mais instáveis, fora do ar por períodos de tempo cada vez mais longos.

“Mesmo quem tem dinheiro para investir em segurança não está conseguindo se proteger da maneira adequada”, comenta Frederico Neves, Diretor de Serviços e Tecnologia do NIC.br.

Com a Internet das Coisas batendo à porta, é preciso investir na conscientização de todos para ter uma rede cada vez mais segura. Razão do lançamento da campanha “Para fazermos uma Internet mais segura”, do NIC.br, hoje de manhã, durante o 11º IX (PTT) Fórum – Encontro dos Sistemas Autônomos da Internet no Brasil.

Sem a participação de todos os agentes do ecossistemas (ISPs, provedores de conteúdo, fabricantes de equipamentos, grandes usuários, etc) não vamos conseguir resolver a sobrecarga na infraestrutura, tronando-a menos vulnerável.

“A gente vai precisar do convencimento de todos”, disse Eduardo Parajo, presidente da Associação Brasileira de Internet (Abranet) e conselheiro do CGI.br.

“Se todo mundo não estiver engajado nisso, não vai ter a mão forte de alguém, com o papel paternalista, para resolver esse problema. Não vai ter um regulador ou um Congresso capazes de passar uma regulação”, alertou Frederico. “Ou a gente se conscientiza que o problema está no nosso prato, arregaça as mangas e trabalha junto, de forma colaborativa, ou realmente vai ser o caos”, completou.

Na semana passada, a Arbor Network, provedora de soluções de segurança, observou um ataque de alta volumetria, que as técnicas atuais de contenção de spoofing não foram suficientes para dar conta.

“Na maioria das vezes você tinha ataques de alta volumetria associados às técnicas de amplificação. Que obviamente não abrem mão do artifício de spoofing. Mas nos dias 23 e 24, aqui no Brasil, observamos um grande ataque, em torno de 160 milhões de pacotes por segundo, originado de IPs spoofados. E 20% desse tráfego veio do Brasil”, comentou Kleber Carriello, consultor sênior da área de engenharia da Arbor Networks.

Algo realmente assustador, na opinião dele, principalmente por ter sido a primeira vez que se viu uma volumetria tão grande vinda de spoofing. “Parece que, em algum momento, se perdeu entre os atores da internet a preocupação com a proteção da rede”, completou.

Nesse sentido, axs métricas coletadas pelo Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (CERT.br), mantido pelo NIC.br, e os indicadores gerados a partir delas, também assustam. As notificações de ataques de negação de serviço aumentaram significativamente nos últimos três anos.

“O número de notificações foi 200 vezes maior em 2014, se manteve no mesmo patamar em 2015 e dobrou em 2016. O que a gente nota nessa notificações é que os ataques grandes não são mais de 20 ou 30 Gbps. São de 300 Gbps, 400 Gbps, suficientes para tirar um site do ar. A gente já teve até uma notificação que registrou um pico de alguns minutos que chegou a 1Terabit por segundo”, comenta Cristine Hoepers, gerente da área de segurança do Cert.br.

Para quem gosta de números, em 2016, o CERT.br recebeu 60.432 notificações sobre computadores que participaram de ataques de negação de serviço (DoS), número 138% maior que em 2015.

Pior. A reclamação que vem se tornando mais recorrente é a de redes brasileiras gerando ataques de DDoS, não só para outras redes dentro do Brasil quanto para o mundo. E as botnets são formadas não só por equipamentos de Internet das Coisas, como também por roteadores de banda larga e de borda e servidores, geralmente habilitados por senhas padrão que não estão sendo trocadas.

“As varreduras de TELNET (23/TCP) parecem visar dispositivos IoT e equipamentos de rede alocados às residências de usuários finais, tais como modems ADSL e cabo, roteadores WiFi, câmeras de monitoramento, entre outros”, disse Cristiane.

Anote: segundo os dados do CERT.br, um terço dos sistemas autônomos brasileiros estão permitindo amplificação de tráfego a partir de redes e dispositivos mal configurados.

São ataques extremamente elaborados? Segundo Cristiane, não. O que os atacantes estão fazendo é tentar adivinhar logins e senhas de administração de equipamentos (roteadores de borda e de banda larga, servidores e modem) e tentar abusar de serviços abertos para amplificação presentes em modem e servidores de banda larga.

O duro é que o abuso de credenciais, por exemplo, pode ser resolvido com uma ação simples: passar a usar um segundo fator de autenticação no equipamento de rede. “Deixar a senha padrão é algo que complica bastante”. Já o caso do spoofing é um pouco mais complicado, mas também passa pelo vício de uso indiscriminado de senhas padrão.

Ildeu Borges, diretor regulatório do Sindicato Nacional das Empresas de Telefonia e de Serviços Móvel Celular e Pessoal (SindiTelebrasil), reforçou que os dados apresentados por Cristine Hoepers são preocupantes. “Apesar de benéfica numa série de aspectos, a revolução da Internet das Coisas multiplica os riscos. Se esses dispositivos não estiverem configurados corretamente, vamos ver esses efeitos se multiplicarem exponencialmente. É necessário, portanto, que todos os atores estejam juntos e atuem de forma coordenada com ações efetivas para promover a segurança na rede”, afirmou.

Guerra declarada ao DDoS
Para ajudar a resolver problemas por trás dos ataques massivos de negação de serviço, como o spoofing, o CERT.br reuniu em um único site (o bcp.nic.br) uma série de boas práticas que gostaria de ver seguidas pelo ecossistema da Internet. Lá estão todas as recomendações da equipe técnica do NIC.br, seja em relação ao DNS ou a medidas antispoofing, ou ainda sobre como fazer filtros para receber IPs fixos de terceiros, marcando prefixos.

Parajo e Frederico ressaltam que a adesão a essas recomendações precisa envolver bem mais atores do que aqueles engajados no esforço conjunto que fechou a porta 25 aos spammers.

“Como o projeto da Porta 25, que durou muito anos, essa iniciativa não é uma corrida de 100 metros. É uma maratona”, disse Frederico. “Teremos mais de mil novos sistemas autônomos no Brasil em 2017, estamos crescendo mais de 20%. Esse tipo de conhecimento precisa ser compartilhado. É fundamental que todos se unam, estejam engajados e trabalhem juntos para chegarmos a uma conclusão do melhor caminho que devemos trilhar. O programa está começando agora, sabemos que o resultado será a longo prazo”.

“As pessoas acham que os ataques DDoS só estão vindo de fora. Muitos já estão vindo pelo próprio sistema IX.br. As redes brasileiras não estão aplicando as medidas de segurança necessárias”, reafirmou Parajo. “Existem algumas questões técnicas que podem e devem ser implementadas nas redes para facilitar a redução dos ataques de DDoS originados dentro do Brasil. Se os sistemas autônomos brasileiros não tiverem o mínimo de proteção implementada, eles podem se tornar grandes amplificadores de ataques. Aí é que está o trabalho que a gente tem que fazer”, completou. “Tem gente tomando ataques de 20, 20, 40 Gbps em uma ASP que tem um link de 10Gbps”!

Na opinião de Frederico, toda a comunidade tem que opinar sobre até onde o IX.br possa ser uma ferramenta para que a gente possa melhorar esse cenário. De acordo com ele, o NIC.br atuará para promover a segurança em diferentes áreas de atuação: desde o processo de alocação de endereços IPv4 e IPv6 e distribuição de números para Sistemas Autônomos (ASN); com cursos e treinamento dedicado às melhores práticas de roteamento; atividades operacionais no IX.br, entre elas o anúncio de filtros pelos participantes por meio de communities; parâmetros de segurança usados na medição do desempenho da conexão à Internet a partir do Simet Box; além das atividades do CERT.br que coleta estatísticas e fornece recomendações de segurança na rede.

Os 1.600 sistemas autônomos do IX.br respondem por mais de 80% de cobertura no país, embora numericamente represente pouco mais de 30% dos 6 mil sistemas autônomos em operação no país. Se todos que participam dele fizerem algo, já será um avanço e tanto.

Vale lembrar que só recentemente algumas operadoras móveis passaram a integrar o IX.br. Há grandes ISPs nacionais ainda fora do sistema! Está na hora de se mexer, pessoal!