Servidores de memcache, DDoS e as novas estratégias do cibercrime

Ataques de negação de serviço (DDoS) representam uma preocupação constante para a segurança da informação. Teoricamente, esse tipo de técnica teria seu fim no apoio a ações políticas ou ideológicas (protestos on-line), mas o ciberterrorismo e a competição industrial também avançam como motivadores mais contemporâneos. Em todos os casos, essa transformação é diretamente motivada por objetivos financeiros. E esse é um fator de alerta geral para as empresas.

Estudo recente da Frost & Sullivan aponta que, até 2021, o volume de incidentes de negação de serviço crescerá 17%. A alavanca é o fato de que os atacantes vêm explorando os limites do DDoS, refinando estratégias para alçar o cibercrime a novos patamares. O resultado imediato desse contexto é que a indústria de cibersegurança também precisa acompanhar esse movimento, desenvolvendo e ofertando produtos capazes de minimizar e prevenir seu avanço.

Portanto, o chamado maior ataque distribuído de negação de serviço da história, que atingiu picos de 1.35 terabits por segundo, está vinculado diretamente a este contexto. Em geral, este tipo de ação é orquestrada com o uso de botnets (que são redes de dispositivos zumbis). Porém, no caso recente que atingiu plataforma GitHub, as botnets deram lugar aos servidores de memcache, possivelmente inaugurando uma nova era de ataques DDoS.

A transformação é a seguinte: no caso das botnets, um atacante direciona comandos para que milhares de dispositivos infectados com um software malicioso (malware) realizem um ataque conjunto e coordenado contra um alvo público na Internet. Os dispositivos da internet das coisas (IoT) potencializam esta técnica, que continua igualmente perigosa.

Por outro lado, muitas aplicações modernas, assim como o Github, utilizam em sua arquitetura servidores de memcache para acelerar o tráfego de dados entre as aplicações Web. Na técnica mais recente, os atacantes exploram vulnerabilidades conhecidas em servidores de memcache, capazes de gerar 50 vezes mais respostas que um servidor normal. Frequentemente, este tipo de servidor é de propriedade privada, mas normalmente são publicados na internet para monitoramento de carga das aplicações e estão desprotegidos.

Em outras palavras: a nova técnica “desonera” os atacantes da função de infectar dispositivos, criar e manter uma botnet. Neste caso, basta que explorem servidores de memcache abertos na web.

Uma questão clara em ambos os casos de exploração DDoS é que toda empresa precisa criar barreiras para proteger seus sistemas. Uma política de segurança e um plano de resposta a incidentes são fundamentais para garantir a segurança da informação – e irão tirar vantagem de um mapeamento meticuloso sobre os sistemas, informações e usuários privilegiados. Uma plataforma de gerenciamento de vulnerabilidades e conformidades é instrumental para dar mais qualidade na prevenção de ameaças.

Com as mudanças testemunhadas no cenário do cibercrime, um motivador para que toda empresa priorize a política de cibersegurança é o estudo sobre o impacto da interrupção de seus serviços para a produtividade e competitividade. Incidentes de segurança implicam em custos relevantes como perdas por hora de inatividade, custos legais e multas de conformidade, custos de correção e investigação etc.

No entanto, a gravidade dos ataques DDoS não significa o apocalipse. Assim como os atacantes avançam para corromper sistemas das empresas, a indústria de cibersegurança também pesquisa e desenvolve produtos avançados para combater o avanço do cibercrime.

Embora uma ação requerida seja a proteção dos servidores de memcache, essa é uma demanda que compete apenas aos seus administradores. Porém, as empresas não podem depender de outros atores para precaver seus sistemas. Por isso, a adoção de controles de segurança de rede e monitoramento de tráfego (Firewall, IPS ou ATP) é uma necessidade permanente.

No caso do ataque DDoS que explora servidores de memcache, estes produtos serão capazes de detectar qualquer tráfego suspeito, uma vez que seus filtros, regras e assinaturas identifiquem o ataque, baseado em padrões de dados e endereços IPs comprometidos destes servidores abertos e bloqueando seu tráfego.

*Marcel Mathias é diretor de P&D da Blockbit