Armazenamento da Internet
O risco representado pelo armamento da infraestrutura da Internet será um tópico importante para os ISPs mais uma vez em 2020. A geração de ataques DDoS chega com tudo novamente contribuindo para o “armamento” da Internet.
Técnicas como reflexão/amplificação têm sido usadas por atacantes para lançar grandes ataques DDoS por mais de uma década. Os invasores estão usando novos protocolos e infraestrutura, tanto para contornar as defesas quanto para substituir os recursos que foram perdidos por eles. Com a limpeza, aplicação de patches e melhores designs de rede, este tipo de prática perdeu um pouco de força com o tempo.
Compreender as populações de dispositivos na Internet que podem ser usados para iniciar ataques, a taxa de limpeza quando os vetores de ataque são identificados e a exploração de protocolos novos/adicionais é fundamental para modelar o risco que essas ameaças representam em diferentes regiões.
O número de dispositivos conectados está aumentando muito rapidamente, impulsionado pela proliferação da Internet das Coisas. Ademais, o contínuo crescimento e disponibilidade de serviços de banda larga fixa ao redor do mundo também é um fator contribuinte. E não apenas a banda larga fixa, mas ainda a expansão da infraestrutura móvel 4G e 5G.
Terreno propício para DDoS
As condições são favoráveis para que usem esse ambiente e “armem” dispositivos vulneráveis, tornando-os parte de botnets e/ou usando-os como refletores DDoS. Além disso, existem outros fatores que piorarão as coisas no futuro:
- A varredura da Internet por agentes para detectar e recrutar dispositivos vulneráveis tem aumentado constantemente nos últimos anos e a tendência continuará;
- Em muitos casos, leva apenas cinco minutos para detectar e comprometer um novo dispositivo conectado à Internet;
- Milhões de dispositivos IoT são conectados diariamente. Uma porcentagem muito alta desses dispositivos sem proteção de segurança, outros com software obsoleto e vulnerabilidades de segurança;
- Um alto número de terminais de rede, incluindo roteadores SOHO (Small Office Home Office), telefones de voz sobre IP, IoT (câmeras de CCTV, DVRs), laptops. Estes dispositivos de usuário conectados não são periodicamente corrigidos com atualizações e protegidos devidamente.
Ao analisar o armamento da infraestrutura da Internet, é comum observar que, após um ataque grande e bem divulgado, muitas organizações reagem e tomam medidas apropriadas. Software que aplica patches em dispositivos vulneráveis, a aplicação de Boas Práticas Comuns bem estabelecidas, e implantação de Sistemas Inteligentes de Detecção e Mitigação (IDMS), dentre outras estratégias.
A evolução dos ataques
Embora essas medidas ajudem a mitigar a escala e o impacto de alguns dos maiores e mais conhecidos ataques (ou seja, Memcached, Mirai, DYN etc.) logo após, também é verdade que outros fatores desempenham um papel importante. A dinâmica em torno desse problema pode ser resumida da seguinte maneira:
- O número de dispositivos disponíveis no mundo conectado para um vetor de ataque específico nem sempre diminui significativamente, mesmo depois que a vulnerabilidade é detectada e divulgada;
- Isso ocorre em parte porque leva tempo para as organizações de segurança nos ISPs e nos provedores de hospedagem corrigir e/ou desligar os dispositivos comprometidos. Existem milhões de novos dispositivos conectados à Internet diariamente, muitos dos quais são vulneráveis e serão comprometidos quase imediatamente;
- Os atores de ameaças procuram continuamente novos protocolos e dispositivos que possam ser utilizados.
O fato de muitos desses dispositivos vulneráveis conectados serem dispositivos IoT ou CPE baseados em casa, instalados e operados por pessoas sem nenhum conhecimento prévio de segurança torna a tarefa de diminuir o tamanho de botnets ou refletores ainda mais assustadora.
Como nos anos anteriores, provavelmente continuaremos observando a adoção de novos protocolos como parte de campanhas para lançar grandes ataques volumétricos de DDoS de reflexão/amplificação.
O futuro da segurança de rede
Pela nossa própria pesquisa, vimos o aumento em duas vezes desses protocolos nos últimos dois anos e temos muita certeza de que essa tendência continuará em 2020.
Como nas considerações anteriores, a explosão no número de novos dispositivos conectados e a introdução de novas tecnologias e protocolos de transporte serão o principal fator contribuinte nessa dinâmica.
É fundamental que todas as partes interessadas na comunidade da Internet; ISPs, fornecedores de rede, fabricantes de dispositivos conectados, integradores, provedores de nuvem, entidades governamentais, empresas, setor de segurança cibernética e outros assumem a propriedade em um esforço colaborativo para confrontar a realidade de uma Internet “armada” para torná-la um lugar melhor para todos.
Traduzido e adaptado de Minute Hack. Weaponisation Of The Internet. ANSTEE, Darren. Disponível em: <https://minutehack.com/opinions/weaponisation-of-the-internet?utm_source=The+Hack&utm_campaign=ef91abe333-THE_HACK_0179&utm_medium=email&utm_term=0_060634743e-ef91abe333-206979693>. Acesso em: 11 dez. 2019.
Gostou deste artigo? Leia também “Por que o hardware ainda importa na era da computação em nuvem?“.