Entrevista – proteção contra ataques e indisponibilidade – solução Radware

Pude entender que tanto as motivações, o “modus operandi” e a extensão dos
ataques têm mudado muito e por isso as ferramentas de proteção e a própria
arquitetura de um sistema de segurança tiveram que evoluir bastante! Isso foi
bastante comentado nesta oportunidade. Alguns momentos com mais detalhes,
alguns momentos mais conceituais… Segue abaixo a transcrição da conversa com
o Werner e o Fernando da RADWARE.

Fernando Santos, Werner Thalmeir e
Flavio Xandó (clique para ampliar)

Radware:  quando você olha
as estatísticas descobre que ataques DoS representam cerca de 20% a 25%. A
próxima ameaça, em uma proporção de 25% a 28% é o “SQL Injection” (envio de
comandos SQL via campos de texto das aplicações desprotegidas com intenção de
roubar dados ou danificar as informações). Mas os ataques tendem a ser
combinados e são muito perigosos. Muitas vezes um ataque DoS acaba por fazer o
papel de “camuflagem”. Enquanto os profissionais de TI estão tentando lidar com
o ataque DoS no “lado esquerdo” está ocorrendo no “lado direito” uma tentativa
de ataque via SQL injection visando roubar ou comprometer os dados.

Flavio Xandó: é uma tentativa de
“forçar a porta” para entrar! 

Radware:  exatamente e por
isso que a combinação destes dois ataques é perigoso. Há diversos meios pelos quais
chegam os ataques. É o que nós chamamos de “vetores de ataque”. Mais de 50% dos
ataques envolvem muitas técnicas simultaneamente. Isso apenas considerando os
ataques que são detectados, pois muitos ataques não são nem percebidos. Muitas
vezes os usuários percebem que o sistema está mais lento, mas atribuem a uma
lentidão do aplicativo sendo usado. Às vezes reiniciam o sistema (reboot) e
tudo fica “normal” novamente. Por algum tempo.

Flavio Xandó:  mas então este é um
ataque “leve”, sutil… Mesmo assim pode ser bem nocivo?

Radware:  o que as pessoas
não percebem é que este tipo de ataque não visa derrubar um web site, como por
exemplo os ataques DDoS (ataques distribuídos originados a partir de muitas
fontes). Às vezes o objetivo é apenas derrubar o desempenho do site, sem tirá-lo
do ar. Isso já implica em perdas financeiras bastante grandes. Apenas UM
segundo de demora a mais em uma tela do site pode causar grande estrago para
seu dono e custar muito dinheiro. Competidores podem ser bastante beneficiados!
Esta sutileza disfarça o ataque DoS porque no passado era mais comum o “ataque
volumétrico”, ou seja, milhares de pontos gerando tráfego e o site “explodia”,
saindo do ar. Por isso que esta nova variação tem sido usada com muito mais
frequência, pois é mais difícil de ser percebida.

Flavio Xandó: eu fiquei bastante surpreso com duas informações que você
citou em sua apresentação. Algumas empresas tendo que pagar para que não sejam
atacadas !! E também que alguns ataques podem demorar muitos dias e não minutos
ou horas!! 

Radware: alguns ataques podem durar ANOS!!! O mais famoso ataque
na indústria realizado contra a usina nuclear do Irã, o tal STUXNET durou cerca de quatro
anos! E o ataque só foi descoberto por causa de um acidente. O plano dos que o criaram
era depois desaparecer e nunca saberem que tal ataque ocorrera. Para tornar
mais simples a compreensão, muitas pessoas acham que um ataque DoS ou DDoS
consiste em atolar um servidor com um número imenso de longas requisições,
certo? Nem sempre.

Flavio Xandó: como pode ser
diferente?

Radware: imagine que eu estabeleço uma conexão com um servidor.
Recursos são alocados e bloqueados para esta sessão.  Em seguida em envio apenas UM byte para o
servidor. Ou apenas um byte a cada 10 segundos. Mas durante todo este tempo os
recursos estão em uso, mesmo que eu não envie muitos dados. Isso não tem como
ser percebido como um ataque que “atola” o servidor com muito tráfego. Mas está
estabelecida a relação de mestre/escravo, o servidor aguardando mais bytes vindos
de mim. Mas se este mesmo padrão for repetido por um número grande de computadores
(atacantes), mesmo sem haver um volume grande de dados trafegados, pelo
contrário, o volume é bem baixo, o ataque está configurado, muitos recursos são
alocados e bloqueados comprometendo a capacidade do servidor em atender outras
requisições legítimas. Sem grande tráfego, sem derrubar o servidor um ataque
DoS está configurado. 

Werner:  esta é a beleza
de nossa solução. Temos tecnologia que é capaz de identificar este padrão de
comportamento porque não apenas olhamos por grandes ou estranhos volumes de
dados, mas também sabemos avaliar o comportamento das aplicações Web.

Flavio Xandó: então se você apenas procurar
por tráfegos de dados anormalmente grandes não vai descobrir estes ataques?

Radware: ataques volumétricos existem ainda e representam cerca
de 20%. Mas os outros 80% também precisam ser identificados e mitigados. E
estarão causando alta latência, tempo de resposta elevado… E como falei ainda
pode estar acontecendo um ataque de SQL Injection na aplicação ao mesmo tempo!
Assim se você desconfiar que algo está errado pela baixa performance da
aplicação ou pelo alto volume de tráfego e começar a investigar estes sintomas,
ao mesmo tempo você pode estar tendo seus dados roubados de sua base de dados
pelas suas costas!! Por isso que se deve ter uma visão mais ampla. Não pensar
apenas na solução e sim ter uma visão mais ampla do problema.

Flavio Xandó: isso tudo vai ao
encontro do que você falou na sua apresentação quando mencionou a necessidade
de várias camadas de proteção. 

Radware: várias camadas e níveis de informação caso contrário
como se pode identificar os comportamentos anormais? Uma solução tradicional
pode não perceber que a lentidão do servidor se deve não a ataques volumétricos
e sim a procedimentos mais sutis. Estes levam a situações nas quais os recursos
são esgotados e isso compromete totalmente o sistema a despeito de existir um
firewall e monitoramento das conexões.

Flavio Xandó: isso tudo me faz ver como o mundo está cada dia mais complicado!! 

Radware: É mesmo. E não há uma solução única e simples. Não
existe a “bala de ouro”, algo que sozinho possa ajudar a resolver isso tudo!! Firewall,
mesmo os do tipo “nova geração” não são suficientes. Há ataques que não são
percebidos.

Flavio Xandó: quando você comentou
sobre o “Scrubbing Center” fiquei interessado em saber mais um pouco sobre
isso… O que é de fato essa forma de proteção? É algo mais para ataques
volumétricos?

Radware:  também para
isso. Este serviço de proteção chamado “Scrubbing Center” consiste de uma
“estação de limpeza” centralizada, onde são analisados os fluxos de dados e o
tráfego malicioso (DDoS, vulnerabilidades e exploits conhecidos) são removidos.
“Scrubbing Centers” são frequentemente utilizados em grandes empresas, provedores
de Internet e de Nuvem. Quando sob ataque, o tráfego é redirecionado
(geralmente usando DNS ou BGP) para o centro de depuração e análise na nossa
nuvem, no qual um sistema de mitigação de ataque filtra e atenua o tráfego malicioso
e passa de volta os bytes limpos para a rede original. O “Scrubbing Center” é
equipado para sustentar altos níveis de ataques volumétricos nas camadas de
rede e de aplicativos, ataques de baixo tráfego, lentos, verificações de
conformidade RFC, vulnerabilidades conhecidas e anomalias de dia zero.

Flavio Xandó:  Mas este serviço fica ativo o tempo todo? Ou
é algo sob demanda?

Radware: quando nossa solução está implantada no cliente o
volume de tráfego é monitorado constantemente. Imagine que exista um link de 1
Gbps. Conforme o volume vai crescendo se aproximando do ponto de saturação do
link o redirecionamento é ativado e começa a agir. Não é para desviar o tráfego
a todo momento. Trata-se de uma medida para mitigar o ataque. A beleza dessa
solução é que a tecnologia utilizada no “Scrubbing Center” é exatamente a mesma
do nosso produto que está instalado na casa do cliente, porém a capacidade da nossa
nuvem é extremamente alta, capaz de lidar com imensos volumes de dados.

Flavio Xandó: seria correto eu fazer
uma analogia deste sistema com aqueles sistemas “anti-ruído” que geram ondas
sonoras contrárias de forma a anular o barulho, como se usa em fones de ouvido
mais sofisticados?  Ou ocorre apenas uma
filtragem do que é ruim?

Radware:  apenas a
filtragem é feita. Poderíamos fazer diferente, mas é mais eficiente filtrar e
descartar a parte ruim do tráfego. Lembrando que parte da filtragem já feita pelo
nosso appliance instalado na própria empresa. Enquanto a largura de banda do
link é suficiente isso vai acontecendo “on premisse”. Mas quando o ataque
recebido ultrapassa a capacidade do link da empresa, situação que causaria um
colapso total e real interrupção dos serviços, o tráfego sofre o desvio, de uma
forma totalmente transparente, pois o atacante (ou os atacantes – quando são
muitos) em momento algum sabem que isso aconteceu (o desvio) e nós tratamos a
situação no nosso sistema na nuvem. Temos uma equipe de especialistas que nessa
hora também pode interagir com os recursos de TI da empresa para auxiliar na
condução das ações nestas circunstâncias. Situação resolvida o tráfego volta a
fluir de novo diretamente para a empresa.

Flavio Xandó: isso é muito
interessante porque aqueles que conduzem o ataque nem sabem que estão
direcionando esforços contra o seu sistema que pela imensa capacidade de lidar
com a situação, alto poder de processamento e altíssima largura de banda, não
vão ter êxito!

Radware:  como eles
direcionam os esforços contra um endereço IP ou um nome resolvido pelo DNS,
jamais saberão que estamos na linha de frente de defesa do Web Server ou
qualquer que seja a aplicação sendo atacada. E como nossos “Scrubbing Centers”
estão distribuídos ao longo do mundo tudo. Não importa se o ataque é originado
na Rússia, China ou outro local que os bloqueamos antes mesmo deste tráfego
chegar na América Latina ou Brasil, por exemplo. Isso é muito importante porque
há países que têm leis que nos obrigam a manter o tráfego de entrada naquele
local.

Radware: sobre o Brasil o Fernando pode falar, mas por exemplo,
em relação aos EUA há uma consciência fortíssima sobre os perigos e sobre a
necessidade de fortes medidas de proteção. Depois do episódio do “Anonymous”
todos ficaram muito preocupados. Na Europa o nível de atenção é também muito
alto. E na América Latina, fora o Brasil, temos um caso
muito interessante na Colômbia. A polícia
federal criou mecanismos para proteção contra cyber-terroristas e para isso
utilizaram nossa tecnologia e isso fez aumentar muito a disponibilidade dos
serviços online e mais de 50 aplicações que são acessadas pela população.

Flavio Xandó: quando eu falei sobre a
preocupação com este assunto, claramente todos já estão cientes deste tipo de
ameaça. Sabem que elas existem. Mas quanto cientes eles estão dessa condição na
qual múltiplos ataques podem acontecer ao mesmo tempo por meio de vetores
diferentes?

Radware: por causa da extrema importância das aplicações online
já existe este conhecimento por conta dos clientes e eles estão preocupados em
implantar as medidas efetivas para evitar as ameaças decorrentes. Nem todos têm
a visão de que os ataques volumétricos (em larga escala) são cerca de só 20%
dos casos e que ataques mais sutis existem e são tão ou mais perigosos. Isso é
algo que eu sempre me preocupo em divulgar. Os ataques são mais direcionados
aos serviços financeiros. Em seguida sistemas de e-commerce em nível bem
próximo. Mas também ocorreram ataques a órgão governamentais e por isso este
segmento hoje tem seu nível de alerta em intensidade semelhante.

Flavio Xandó: e os ramos de negócio de menor escala? Também estão alertas?
E como eles podem se defender?

Radware: atualmente temos como oferecer “segurança como
serviço”. Isso permite que empresas menores tenham acesso aos mesmos recursos
que as empresas maiores sob demanda. Porque estas não adotam soluções de segurança?
Não é porque eles não querem e sim porque eles não conseguem gerenciar! Não
adianta comprar um carro se não sabe como dirigir… Nossa proposta de
segurança na nuvem endereça este tipo de situação tornando acessível e mais
fácil. Mesmo nossos appliances têm a característica de que uma vez implantado
consegue se configurar sozinhos criando as regras necessárias.

Flavio Xandó: semanas atrás
conversei com uma pessoa que mesmo não sendo de segurança me falou algo
importante. A base de nossa Internet hoje se fundamenta no TCP/IP versão 4, que
é um recurso que tem mais de 40 anos e segue sendo usado cada vez de forma mais
complexa fazendo bem mais do que ele foi originalmente pensado. Com a migração
para o IP versão 6 temos melhorias a esperar nessa área de segurança?

Radware:  o IP v6 tem
recursos intrínsecos que o tornam uma plataforma muito mais segura. Todo mundo
que usa a rede tem a sua identificação, a sua “impressão digital”, há os
mecanismos de “handshake” de segurança, etc. que nos ajudam a evitar um grande
número de situações problemáticas que temos hoje em dia. Mas o ritmo de
implementação e de migração para o IP v6 é muito lento. Talvez em 15 ou 20 anos
tenhamos migrado por completo. Mas enquanto isso não acontece outras empresas
têm procurado por meio de algumas iniciativas trazer outras tecnologias. Veja o
exemplo da Intel. Eles estão trabalhando no sentido de trazer para dentro do
hardware e de seus processadores instrumentos que permitirão criar ambientes
mais coesos e seguros. Devemos seguir observando vários outros movimentos
semelhantes.

Flavio Xandó: mas existe um componente que seguirá o mais inseguro de
todos, o ser humano! E aqui no Brasil, qual é a sua percepção da seriedade com
a qual o assunto segurança tem sido tratado?

Radware: esta é uma discussão extensa, mas de fato o lado humano
ainda é um dos elos mais fracos da corrente. Mas tenho observado que não só no
Brasil, mas também em outros países da América Latina o assunto é tratado com
grande seriedade e preocupação. Claro que depende do segmento que estamos
avaliando como polícia, governo, bancos, varejistas, operadoras de telefonia…
são áreas que estão muito evoluídas e que dedicam grande atenção à segurança.

Flavio Xandó: usando a tecnologia da
Radware podemos prevenir e mitigar ataques, etc.  Mas sabemos que a despeito de todos os
cuidados eventualmente algum ataque vai ser realizado com maior ou menor grau
de sucesso. Existem informações que podem ser usadas após os eventos para uma
análise forense e tentar compreender o que aconteceu e como aconteceu
mergulhando no problema?

Radware: sem dúvida. Acumulamos logs, informações e temos
diversos relatórios minuciosos que trazem não só dados forenses, mas também
informações sobre “compliance” que fornecem subsídios para auditorias com os dados
específicos necessários.

Flavio Xandó: eu perguntei sobre isso porque existe um cenário que me
apavora. É a possibilidade de uma rede de smartphones escravos (bots) ser
coordenada para realizar um ataque interno seja para roubar dados ou para negar
serviços dentro da empresa… Um pesadelo daqueles de acordar no meio da noite
e pensar nisso!!

Radware:  garanto que não
é só você!! As operadoras de celular também têm esta preocupação, suas redes
serem usadas dessa forma!! Também existe a possibilidade deles atacarem a
própria infraestrutura da operadora!! Por isso que todas as medidas defensivas
devem ser adotadas e também provermos os dados para estudo, logs e relatórios
forenses. E também sermos capaz de analisar cada tipo de rede separadamente…
Outro tema de grande preocupação para as empresas é o “SSL” (protocolo de
segurança). É uma situação na qual como cada pacote transmitido precisa ser
decriptado para ser interpretado, isso consome uma quantidade muito grande de
recursos (entre 15 a 20 vezes mais que uma comunicação sem criptografia) e sob
ataque isso degrada demais a rede. Alguns produtos de segurança evitam mitigar
ataques SSL por causa da complexidade e grande exigência de processamento. Nós
resolvemos isso em nossa tecnologia provendo um tipo de sinalização e
autenticação dos pacotes SSL. Assim sabemos quais são os pacotes válidos e por
isso temos como separar e diminuir o esforço de análise somente ao que
interessa. Algo semelhante conseguimos fazer no nível de aplicações provendo
proteção adicional.

Flavio Xandó:   isso parece algo
sofisticado.

Radware:  imagine este
exemplo, alguém está tentando entrar em sua casa forçando a janela. O que nós
fazemos é reforçar a janela, impedimos a entrada e por sabermos quem é o
atacante na próxima tentativa já o bloquemos na cerca de entrada. Nem o
deixamos chegar perto da janela.

Flavio Xandó: entendi!! Nem deixa passar a cerca e ainda solta os cachorros
bravos!!!

Radware: é isso mesmo. É uma outra abordagem. Do ponto de vista
do cliente normalmente fazer todos os ajustes em soluções de segurança é um
pesadelo. Não é o nosso caso.

Flavio Xandó: a Radware também tem algum tipo de solução para aprimorar
desempenho da rede provendo um balanceamento de tráfego. É isso?

Radware: sim e fazemos o balanceamento de carga no nível da
aplicação e temos uma solução para balancear carga de servidores Web. Isso é
muito sensível. Estudos mostram que apenas UM segundo de variação no tempo de
resposta de um site de comércio resulta em pelo menos 11% menos de taxa de
conversão (efetivação da venda) e 15% na quantidade de itens no carrinho de
compras. Isso significa muito dinheiro! Os ataques DoS não visam atualmente
derrubar o serviço e sim prejudicar o desempenho do sistema para causar
prejuízos.

Flavio Xandó: prevenir e mitigar os
ataques podem ser feitos com sua tecnologia. Mas algo pode ser feito para
acelerar um site? 

Radware: conseguimos acelerar aplicações Web por meio do uso de
19 algoritmos diferentes que em situações normais promovem um ganho de
desempenho da ordem de 40% com sensível melhoria na experiência do usuário.