Renato Martin – Analista de Segurança da Informação da Cobre Bem Tecnologia – relacionamento@cobrebem.com
Este ano o grupo ativista Anonymous ganhou página exclusiva nos jornais e sites, devido aos ataques realizados a diversas instituições no exterior, como Universal Music, Departamento de Justiça dos Estados Unidos e FBI. O grupo é formado por diversos jovens de todo o mundo, inclusive do Brasil – só no mês de fevereiro, o grupo denominado “Anonymous Brasil” fez diversas vítimas no país, entre elas Banco do Brasil, Bradesco, Itaú, Banco Central, Cielo e Redecard. Devo me preocupar com a confidencialidade de meus dados?
Existe uma grande diferença de ataques de invasão em relação àqueles realizados pelo grupo, conhecidos como DDoS (Distributed Denial of Service / Negação de Serviço). Diferente de uma invasão em sistemas, o que possivelmente pode comprometer a confidencialidade dos registros em banco de dados, o ataque DDoS não expõe os dados de clientes. A negação de serviço consiste em diversas requisições simultaneamente a um servidor, ou seja, se diversas pessoas acessarem um determinado site ao mesmo tempo, ele poderá ficar lento ou até indisponível.
Imagine a grande final de um reality show e a quantidade de pessoas que acessarão o site do programa para votar em seus candidatos favoritos. Caso a equipe de TI não tenha preparado a infraestrutura para essa grande quantidade de acessos, o servidor poderá sofrer um ataque indevido de DDoS, no qual o serviço será negado quando um espectador tentar abrir o site, o que explica o nome “Negação de Serviço”. Esse tipo de ataque ocorre, na maioria das vezes, quando os crackers não obtêm sucesso numa tentativa de invasão, devido ao trabalho bem sucedido dos profissionais de segurança.
Os criminosos tentam de todas as maneiras encontrar brechas em aplicações, sistemas ou até mesmo em pessoas, para obter acesso a informações sigilosas de empresas e clientes. Porém, com o aumento da quantidade desses ataques, como o do grupo Anonymous, as empresas têm investido ainda mais em segurança de aplicações, hardening de servidores (fortalecimento de segurança em servidores), treinamento de qualificação para a equipe técnica, treinamento para os funcionários etc, a fim de garantir que o sistema de sua empresa não seja invadido. O investimento em tecnologias e treinamentos em segurança irá depender de uma análise de risco, que definirá a viabilidade do investimento, mas não vamos nos aprofundar nessa questão.
Para obter acesso aos dados confidenciais através de uma aplicação web, os atacantes utilizam algumas técnicas de exploração de vulnerabilidades, como o XSS (Cross Site Scripting), que consiste na execução de script malicioso em uma página web. Essa injeção do script é realizada em client-side, através de campos texto. Outra técnica utilizada é o SQL Injection, que consiste na injeção de instruções SQL em campos de entrada com interação de uma aplicação com um banco de dados SQL.
Em caso de um ataque de negação de serviço ou DDoS, o atacante primeiramente cria uma rede zumbi com máquinas infectadas. Essa rede pode chegar a milhões de equipamentos, que podem ser comprometidos através de um link malicioso ou de um e-mail com arquivos infectados. Os programas criados pelos crackers acabam se instalando em computadores por falta de conhecimento dos usuários.
Para proceder com o ataque, o cracker utiliza uma máquina, denominada máquina mestra, para disparar uma ordem para as máquinas infectadas, programando o momento em que todos os computadores presentes nessa rede zumbi acessarão um recurso de um site ou solicitarão uma requisição para o servidor alvo.
Geralmente, um servidor web possui um limite de conexões simultâneas. Portanto, o ataque DDoS consiste em exceder o limite dessa capacidade, além de consumir a capacidade de processamento das informações simultâneas que chegam dessas máquinas zumbis. Com o grande volume de requisições para esse servidor, ele se torna incapaz de atender à grande quantidade de solicitações, o que resulta na indisponibilidade do serviço oferecido por esse servidor, negando o serviço para os clientes reais. Fapi, TFN, TFN2K, Blitznet, Stacheldraht, Trank, Trin00, Shaft, Trin00 winversion e T50 são exemplos de ferramentas utilizadas nesse tipo de ataque.
Como podemos nos proteger na web ou evitar que o equipamento esteja sob o domínio desses “Foras da lei”?
Primeiramente, mantenha sua equipe de desenvolvedores atualizada e com conhecimentos em boas práticas em desenvolvimento seguro, a fim de evitar vulnerabilidades. Essas brechas poderão ser utilizadas por um cracker para uma possível injeção.
Aconselho a leitura do OWASP Clasp (http://bit.ly/owaspproject). Essa documentação revela a importância do profissional de testes para verificação e escaneamento de vulnerabilidades no código-fonte das aplicações. A recomendação da OWASP Clasp é que esse profissional não seja o mesmo que desenvolveu o sistema.
No caso de lojas virtuais, o certificado digital é imprescindível. Ele consiste em um documento digital instalado no servidor da aplicação, que possui a assinatura digital com dados da empresa associada e a autoridade certificadora.
É extremamente recomendável que o suporte SSL (Secure Socket Layer) seja ativado. Ele consiste na criação de um canal criptografado entre um servidor web e um navegador (browser) para que os dados sejam transmitidos de forma segura. Observe que, ao habilitar esse suporte, o protocolo HTTP será substituído pelo HTTPS. Essa ativação aumentará a credibilidade do comprador em sua loja.
Quanto à proteção contra ataques de DDoS, será necessário um alto investimento em infraestrutura, após uma análise da viabilidade para tal gasto. O uso de redundância de servidores configurados para dividir a sobrecarga de requisições pode ser utilizado para dificultar que o serviço fique indisponível, porém isso não dispensa um qualificado grupo de resposta a incidentes de segurança.
Caso sua loja esteja hospedada em terceiros, não deixe de conhecer o plano de resposta para incidentes para ataques desse tipo.
***