Significado de DDoS: O que é DDos?
DDoS significa Distributed Denial of Service (negação de serviço distribuída). Este tipo de ataque envolve o envio de grandes quantidades de tráfego de várias fontes para um serviço ou sítio Web, com a intenção de o sobrecarregar. Um enorme afluxo de tráfego de uma só vez pode esgotar todos os recursos do sítio e, assim, negar o acesso a utilizadores legítimos.
Trata-se de DDoS, ou Distributed Denial of Service (negação de serviço distribuída), que é um ataque de rede malicioso que envolve hackers que forçam numerosos dispositivos ligados à Internet a enviar pedidos de comunicação de rede para um serviço ou sítio Web específico com a intenção de o sobrecarregar com tráfego ou pedidos falsos. Isto tem o efeito de ocupar todos os recursos disponíveis para lidar com estes pedidos e de bloquear o servidor Web ou de o distrair o suficiente para que os utilizadores normais não consigam criar uma ligação entre os seus sistemas e o servidor.
Por vezes, os sítios Web "caem" devido a uma inundação de tráfego legítimo, como quando um produto muito aguardado é lançado e milhões de pessoas visitam o sítio ao mesmo tempo para o tentar comprar. Os ataques DDoS tentam fazer o mesmo.
DoS vs. DDoS
DoS significa Denial of Service (negação de serviço). A diferença entre os ataques DoS e DDoS reside no facto de ser utilizado um computador no ataque ou de o ataque ser enviado a partir de várias fontes. As fontes podem incluir computadores tradicionais e também dispositivos ligados à Internet que tenham sido tomados como parte de uma botnet.
Como funcionam os ataques DDoS
Uma vez que os ataques DDoS exigem que o tráfego provenha de muitas fontes, são frequentemente efectuados através de botnets. Isto é como ter um exército de computadores zombies para cumprir as ordens dos atacantes. Os atacantes utilizam aquilo a que chamamos DDoSTool para escravizar computadores e construir o seu exército. Esta rede zombie de bots(botnet) comunica com o servidor de comando e controlo (C&C), aguardando comandos do atacante que está a executar a botnet. No caso de um ataque DDoS, pode acontecer que dezenas de milhares ou mesmo milhões de bots trabalhem em simultâneo para enviar grandes quantidades de tráfego de rede na direção do servidor alvo. Normalmente, mas nem sempre, o DDoSTool infetante original não tenta roubar dados ou prejudicar o host. Em vez disso, fica adormecido até ser chamado a participar num ataque DDoS.
Ferramentas DDoS
Para criar o botnet, os atacantes precisam de colocar o DDoSTool no seu sistema. Para o efeito, os cibercriminosos recorrem a uma série de truques para escravizar o seu PC, Mac, AndroidiPhone ou endpoint da empresa na sua rede de bots. Aqui estão algumas formas comuns de o fazer:
- Um anexo de correio eletrónico. Num momento de mau juízo, o utilizador clica num anexo ou numa ligação para um site que o atacante controla e que aloja o malware que lhe envia.
- A sua rede social ou aplicação de mensagens. Tal como os e-mails, podem incluir links em que os atacantes querem que clique, mais uma vez, para desencadear o descarregamento de uma DDoSTool.
- Descarregamentos automáticos ou esquemas de clique. Se navegar num sítio Web legítimo, embora infetado, nem sequer tem de clicar em nada para que o malvertising descarregue malware de botnet. Ou é vítima de um pop-up que apresenta uma mensagem "urgente" que o leva a descarregar uma segurança antivírus supostamente necessária (é malware).
Depois que a infeção DDoSTool se enraíza, seu computador permanece aparentemente inalterado, embora existam alguns sinais reveladores. O seu computador pode ter ficado visivelmente mais lento. Recebe mensagens de erro aleatórias, ou a sua ventoinha aumenta misteriosamente mesmo quando está em modo inativo. Quer mostre ou não estes sinais, o dispositivo infetado volta a contactar periodicamente o servidor de comando e controlo (C&C) da rede de bots até que o cibercriminoso que gere a rede de bots dê o comando para que o seu dispositivo (juntamente com todos os outros bots) se levante e ataque um alvo específico.
Porque é que os atacantes lançam ataques DDoS?
As motivações por detrás do ataque a um sítio Web ou serviço variam. Os hacktivistas utilizam um DDoS para fazer uma declaração política contra uma organização ou governo. Há criminosos que o fazem para manter um sítio Web comercial como refém até receberem um pagamento de resgate. Concorrentes sem escrúpulos empregaram um DDoS para jogar sujo contra empresas rivais. Por vezes, um DDoS é também uma estratégia para distrair os administradores do sítio Web, permitindo ao atacante plantar outro malware, como adware, spyware, ransomware ou mesmo um vírus antigo.
Como posso evitar fazer parte de uma rede de bots?
Para evitar tornar-se um participante involuntário de um DDoS alimentado por uma botnet, pratique a mesma boa higiene informática que previne todas as infecções por malware: mantenha o seu sistema operativo e aplicações actualizados e não clique em ligações desconhecidas e anexos inesperados.
E, claro, a cibersegurança em tempo real e sempre ativa é um requisito indispensável para o proteger dos descarregamentos da DDoSTool e de todas as outras ameaças de malware associadas. Independentemente do tipo de dispositivo e plataforma que estiver a utilizar, desde Windows, Mace Chromebook para Android, iPhone e ambientes empresariais, os programas de cibersegurança Malwarebytes protegem os utilizadores de itens detectados como DDoSTool.
Os ataques DDoS podem ocorrer em Androids?
Uma vez que os smartphones são basicamente computadores de mão portáteis, juntamente com o facto de existirem cerca de dois mil milhões deles em utilização, proporcionam um vetor de ataque rico para DDoS em movimento. Têm o poder de processamento, a memória e a capacidade de armazenamento que os tornam um alvo atrativo para os piratas informáticos, especialmente porque os utilizadores de telemóveis raramente protegem os seus dispositivos com proteção anti-malware. E, tal como os utilizadores de PC, os utilizadores de smartphones são igualmente susceptíveis ao phishing por correio eletrónico e SMS.
Quanto aos vectores de infeção específicos dos smartphones, as aplicações supostamente legítimas encontradas no mercado de transferências são um terreno de caça frequente para os atacantes DDoS, que carregaram secretamente as aplicações com uma DDoSTool maliciosa. De facto, foi assim que um ataque DDoS maciço a Android veio a lume em agosto de 2018, quando uma botnet designada WireX atingiu alvos numa variedade de indústrias, incluindo hotelaria, jogos de azar e registos de nomes de domínio. Descobriu-se que até 300 aplicações Android maliciosas penetraram no Google Play (que a empresa eliminou depois de ter sido informada da ameaça), cooptando dispositivos para uma rede de bots em mais de 100 países.
História do DDoS
De acordo com a Wikipedia, a primeira demonstração de um ataque DDoS foi feita pelo hacker Khan C. Smith em 1997 durante um evento DEF CON, interrompendo o acesso à Internet na Strip de Las Vegas durante mais de uma hora. A divulgação de exemplos de código durante o evento levou ao ataque online da Sprint, EarthLink, E-Trade e outras grandes empresas no ano seguinte.
No início de 2000, o hacker adolescente canadiano Michael Calce aumentou a fasquia do DDoS e causou uma grande impressão na comunidade empresarial ao derrubar o Yahoo! com um DDoS - uma proeza que repetiu na semana seguinte ao perturbar outros grandes sites como o Amazon, CNN e eBay.
O limiar geral de esforço que é necessário para um hacker organizar um DDoS só diminuiu em dificuldade com relatos de cibercriminosos que alugam botnets por apenas 10 dólares por hora.
Por último, como entrámos na era da Internet das Coisas (IoT), quase todos os dispositivos ligados à Internet, como smartphones, câmaras de segurança, routers e impressoras, podem ser reunidos numa rede de bots para um impacto ainda maior do DDoS.
Notícias sobre DDoS
- O maior ataque DDoS alguma vez registado é apanhado pela Cloudflare
- "Enorme aumento" dos ataques DDoS durante a pandemia
- Dispositivos Android apanhados na rede de bots Matryosh
- A rede de bots Electrum DDoS atinge 152 000 hosts infectados
- 4 lições a tirar do ataque DDoS do DOE
- Ataque DDoS maciço arrasa o GitHub
Como é que os ataques DDoS afectam as empresas?
Obviamente, uma empresa ou um sítio Web comercial de retalho tem de levar a sério as ameaças DDoS. E houve algumas enormes em 2018.
Como escreve o especialistaMalwarebytes , Pieter Arntz, "Dependendo do tipo e tamanho da sua organização, um ataque DDoS pode ser qualquer coisa, desde um pequeno incómodo até algo que pode quebrar o seu fluxo de receitas e danificá-lo permanentemente. Um ataque DDoS pode paralisar alguns negócios online durante um período de tempo suficientemente longo para os fazer recuar consideravelmente, ou mesmo colocá-los completamente fora de atividade durante o período do ataque e algum tempo depois. Dependendo do tipo de ataque, também pode haver - intencionalmente ou não - efeitos colaterais que podem prejudicar ainda mais o seu negócio."
Os efeitos secundários de um DDoS incluem:
- Utilizadores desiludidos que podem nunca mais voltar
- Perda de dados
- Perda de receitas
- Indemnização de danos
- Perda de horas de trabalho/produtividade
- Danos à reputação da empresa
"Dependendo do tipo e da dimensão da sua organização, um ataque DDoS pode ser qualquer coisa, desde um pequeno incómodo até algo que pode quebrar o seu fluxo de receitas e danificá-lo permanentemente."
Pieter Arntz
Investigador de Inteligência de Malware
Como posso impedir ataques DDoS?
Para as empresas, a melhor solução é planear antecipadamente um DDoS, quer com um tipo de proteção "sempre ativa", quer com protocolos claros para a sua organização seguir quando o ataque ocorrer.
Por exemplo, em vez de encerrar o acesso dos clientes, uma empresa em linha pode continuar a permitir que os utilizadores utilizem o sítio normalmente, tanto quanto possível, mesmo durante o ataque. A sua empresa pode também mudar para um sistema alternativo para trabalhar.
As empresas que são vulneráveis a ameaças de telemóveis devem garantir que os dispositivos privados ligados à rede empresarial têm uma solução de segurança móvel aprovada para proteger contra infecções (bem como os meios para impedir a instalação de aplicações não autorizadas). E o departamento de TI deve estar atento para detetar e intercetar qualquer comunicação maliciosa com os C&C de DDoS.
No que diz respeito à segurança interna, existem várias práticas recomendadas que devem ser seguidas:
- Não guarde palavras-passe escritas em post-its em secretárias ou monitores
- Alterar as palavras-passe nos dispositivos IoT
- Bloquear o computador quando se afasta
- Terminar a sessão no final do dia
- Não revele as suas credenciais de início de sessão a ninguém
Relativamente a esta última prática recomendada, se for absolutamente necessário partilhar informações de início de sessão, certifique-se de que estas são enviadas através de canais encriptados. Se estiver frente a frente com o destinatário, partilhe as informações de início de sessão num local onde outras pessoas não possam ouvir.