Os ataques de negação de serviço (DoS) são um dos ataques informáticos que mais temos observado nos últimos anos. Resumindo, consiste em um ataque a algum serviço informático (geralmente hospedado em um ou vários servidores) com o objetivo de que o mesmo deixe de funcionar. O ataque consiste em direcionar determinados pacotes ao alvo, fazendo com que os recursos processados sejam saturados e, consequentemente, ocorra a suspensão do serviço.

Como ataque derivado, aparecem os ataques de negação de serviço distribuído (DDoS), onde o mesmo é lançado, não por meio de um sistema informático, mas através de diversos pontos que realizam o ataque de forma simultânea.

Apesar de não ser uma novidade, os ataques de negação de serviço continuam vigentes

As redes botnets costumam ser utilizadas com esta finalidade, podendo fazer com que todos os equipamentos zumbis realizem o ataque contra o alvo de forma simultanea, obtendo maior efetividade no ataque. Desta forma, estes ataques estão cada vez mais associados ao hacktivismo.

Apesar de não ser uma novidade, os ataques de negação de serviço continuam vigentes, sendo um dos riscos que as empresas devem ter em conta. Por isso, as organizações devem dedicar um momento para planejar uma estratégia de segurança da informação. No entanto, surge a pergunta: como controlar um ataque de negação de serviço? Sobre este assunto, recentemente encontrei um guia produzido pelo CERT, intitulado DDoS incident response (respostas contra um incidente de DDoS), o qual recomendo a leitura.

Preparação

O guia destaca seis passos no processo de resposta para um ataque de negação de serviço. O primeiro deles é a preparação. Embora muitos já imaginem que o guia inicie com a detecção do incidente (segundo passo), a realidade é que para uma correta gestão da segurança, é necessário estar preparado, e é nesta etapa onde se recomenda, entre outras coisas, contar com um adequado mapa da rede e conhecimentos sobre infraestrutura, definir as pessoas para contatar contra a identificação do ataque e criar os processos adequados. Embora pareça redundante, estar preparado é o passo mais importante.

Identificação

Posteriormente, como já disse, vem o passo de identificação: detectar o ataque, determinar o alcance do mesmo e, não menos importante, envolver as partes. E este é, ao meu critério, um aspecto fundamental: quanto tempo leva para que o gerente de uma empresa seja informado sobre um incidente? Mesmo que muitas vezes as comunicações sejam realizadas depois do controle da situação, é fundamental envolver as pessoas corretas nesta etapa, onde depois será necessário fazer uma análise da situação e do ataque em particular.

Contenção

Em seguida, vem a etapa de contenção. Este momento consiste em trabalhar sobre os dispositivos de rede para conseguir com que o tráfego malicioso não afete o funcionamento do serviço, seja bloqueando ou redirecionando os pacotes do ataque, ou buscando canais de comunicação entre o serviço e os usuários.

Remediação

A quarta etapa consiste na remediação: mesmo com a situação sob controle, é necessário deter o ataque de negação de serviço. Quanto mais rápido chegarmos a esta etapa, menor será o impacto (especialmente econômico) do ataque. Nesta fase, é necessário envolver o provedor de ISP, considerando que é fundamental saber qual é o procedimento para isso (primeira etapa). O documento do CERT também sugere, em caso de ter informação suficiente, considerar envolver às forças de segurança em função do que o departamento legal da empresa determine.

Recuperação

O penúltimo passo, a recuperação: consiste em voltar o serviço para o estado original. Caso tenham realizado direcionamentos de tráfego ou mudanças nas configurações durante o ataque, depois de terminado, é necessário voltar ao estado original. É importante estar seguro no momento deste passo, já que as fases anteriores não foram realizadas de forma cuidadosa, é possível que os problemas no serviço voltem a surgir.

Para finalizar, o sexto e último passo consiste no pós-ataque, etapa onde se deve analisar o ocorrido e, entre outras ações, é necessário:

  • Documentar os detalhes do incidente.
  • Discutir lições aprendidas e verificar se seria possível ter evitado ou controlado melhor o incidente
  • Voltar à etapa um e se preparar melhor para o caso de uma nova ocorrência do ataque

Para mais informações, baixe o documento do CERT.

Uma realidade

A maioria dos profissionais que são responsáveis pela segurança de uma rede, não estão trabalhando em uma empresa que recebe diariamente ataques de negação de serviço. Por isso, podemos dizer que costumam ser excepcionais, e aqui surge um aspecto fundamenta: estamos preparados para enfrentar ataques que não são tão frequentes?

Independentemente de quando ocorram, é nesse momento onde as empresas costumam se arrepender de não estarem preparadas para enfrentar a situação. Por isso, se está ao seu alcance, sugerimos que baixe este guia e dedique umas horinhas para a etapa número um, ou seja, se prepare. Como o próprio documento sugere, lembre-se, caso se encontre diante de um ataque contra a sua empresa, “siga os passos do guia, anote tudo e não entre em pânico”.