Uma das perguntas mais comuns de toda empresa que está sofrendo ataques DDoS é: como eu posso descobrir quem está me atacando?
A resposta para esta pergunta é que isto é quase inviável. Teoricamente é possível, mas na prática os custos são altos, o tempo investido é longo e a chance de um resultado positivo é muito baixa. Iremos explicar detalhadamente abaixo as razões pelas quais isto é impraticável.
Primeiramente é importante separarmos as duas principais origens dos ataques DDoS:
1) Hosts vulneráveis (ataques de reflexão)
Neste tipo de ataque, serviços e servidores mal configurados, como DNSs, NTP servers, DVRs e outros são utilizados para atacar a vítima. Estes servidores geralmente não pertencem a empresas e pessoas mal intencionadas, mas sim a empresas e pessoas que negligenciaram a segurança destes dispositivos. Este é o tipo de ataque mais comum e conta com milhares de dispositivos de diversas organizações durante cada episódio de ataque.
Nos ataques de reflexão, os endereços de origem são de fato dos equipamentos que estão realizando o DDoS, mas não de forma proposital. Ou seja, acionar os responsáveis por esses IPs ou apreender estes equipamentos não trará evidências forenses sobre quem é o autor do ataque.
2) Endereços spoofados
Este tipo de ataque é menos comum, mas não é raro. Diversos equipamentos infectados por um software malicioso ou alugados para este propósito são utilizados para realizar o ataque. Nestes ataques, os dispositivos mascaram (falsificam) seus IPs de origem, usando endereços que não os pertencem. Portanto os endereços IP de origem não são de fato dos dispositivos que estão originando o ataque.
A primeira dificuldade que encontramos para localizar o criminoso é discernir se trata-se de um ataque de reflexão ou um ataque spoofado. Apesar de não ser uma tarefa extremamente difícil, é uma atividade que só pode ser feita de forma confiável por um especialista.
No primeiro tipo de ataque mencionado, os IPs de origem são de empresas que são também vítimas do ataque por negligenciar boas práticas de segurança. Tentar localizar o real autor destes ataques envolveria colaboração destas empresas para permitir uma engenharia reversa, uma equipe de peritos e muita sorte para que o hacker tenha deixado rastros de sua identidade.
Já no segundo tipo de ataque, além de termos que contar com os passos que mencionamos acima, também teríamos que rastrear a origem física do ataque, o que envolveria mandados judiciais para obrigar múltiplas operadoras a trabalharem conjuntamente em prol da localização do ofensor numa ação orquestrada durante o ataque em curso para que sejam coletadas evidências.
Ou seja: é possível, mas as chances de sucesso são baixas e os custos altíssimos para isso. Geralmente os caminhos utilizados para se localizar criminosos por trás de ataques DDoS são outros, como uma investigação particular ou técnicas de engenharia social.
Mas isto não elimina a necessidade do registro de queixa-crime na polícia. Muitas vezes a associação de casos similares e investigação policial resultam em prisões, como as da operação Attack Mestre, ocorrida em Setembro de 2020.
Como não ser origem destes ataques
Você pode ser vítima direta ou indireta de um ataque. Chamamos de vítima indireta aqueles que participam de um ataque por possuírem dispositivos em sua rede que estão sendo usados para originar estes ataques DDoS. Para que sua rede não seja origem de ataques como estes, uma série de boas práticas de segurança de redes devem ser aplicadas, como a utilização de uRPF (filtro antispoofing), prevenção de loops de roteamento e adesão ao MANRS. Este último é um projeto que sugere várias ações para melhorar a segurança e coordenação global da Internet, e quando você adere à estas boas práticas, pode se inscrever como um membro da MANRS e ser globalmente reconhecido como uma empresa consciente.
Reagindo à ataques DDoS
A primeira linha de defesa contra um ataque é poder identificá-lo. Informações como redes de destino, volumetria, portas e protocolos usados no ataque são essenciais para se definir o próximo passo. Na maioria dos casos a solução mais adequada é, além de possuir uma solução de detecção automatizada, possuir também um serviço de mitigação em nuvem.
“Em casos mais específicos, outras abordagens como possuir um time de SOC (Security Operations Center) especializado ou sistemas locais de mitigação também podem ser adotadas”, diz Ayub, CIO da Sage Networks.
A Sage oferece soluções completas e multidisciplinares para resolver qualquer ataque, independente de seu tamanho ou tipo. Se necessário, você pode contatar um de nossos especialistas pelo e-mail comercial@sagenetworks.com.br, por Whatsapp ou pelo telefone +55 19 3500-6269.
Cibernéticos prende investigado da Operação Attack Mestre; homem é suspeito de coordenar ataques na internet