Por que a Internet “quebrou” na sexta, 21/10, e derrubou Twitter e Spotify

protecao-contra-malware

Enquanto escrevo essa reportagem, em 21 de outubro de 2016, a Internet está desigualmente disponível para as pessoas, com muitos sites grandes, como Twitter, Spotify e GitHut, fora do ar ou com dificuldade de acesso. Essas páginas não foram atacadas, mas uma parte do “encanamento” da Internet sim.

Um ataque distribuído de negação de serviço (DDoS) contra a Dyn derrubou uma parte da Internet nos EUA na última sexta-feira, 21/10, porque essa empresa fornece uma “cola” de rede para muitas gigantes da web. A Dyn é uma fornecedora de serviços DNS, que lida com a pesquisa que acontece toda vez que um computador ou aparelho móvel em algum lugar do mundo precisa converter um domínio, como idgnow.com.br, em um endereço numérico na Internet, encontrar o servidor de e-mail apropriado, ou recuperar outros detalhes relacionados a um domínio.

Imagino que muitas empresas que até então dependiam da Dyn devem estar repensando se mantém seus ovos na mesma cesta que todos os outros. A Dyn certamente possui uma rede redundante robusta de servidores distribuída pelo mundo, além de opções de mitigação – e precisa ter, para ter passado pela análise de todas essas companhias que contrataram os seus serviços. Por isso é ainda mais aterrorizante que esse ataque tenha sido tão eficiente e durado tanto tempo.

A pior parte? Como está no título: é uma guerra sendo travada em um nível diferente e há muito pouco que nós, como usuários individuais, podemos fazer para interromper isso. É algo que acontece ao nosso redor e acima de nós, atualmente sendo “alimentado” em grande parte por todos os aparelhos inteligentes e/ou conectados à Internet nas nossas casas.

A promessa da Internet das Coisas (IoT) é que qualquer coisa que faz algo na sua casa terá uma conexão com a Internet. Então o seu termostato, câmera de segurança, sistema de alarme, TV, sistema de gravação de vídeo, balanças da cozinha e do banheiro, geladeira, e outros eletrônicos do tipo ficarão todos enviando e recebendo dados para monitoramento, streaming e controle.

Alguns aparelhos de IoT fazem sentido. Por exemplo, atualizei nosso sistema de alarme com um painel conectado à Internet há alguns anos, e pude receber uma mensagem da minha casa quando estava do outro lado do país, minha mulher estava fora, e a minha sogra, que ficou cuidando das crianças, desligou o alarme. Pude então confirmar com a minha sogra, desligar o alarme pelo meu smartphone e então ligar para a empresa de monitoramento.

Mas alguns aparelhos de IoT podem te deixar pensando: qual o sentido? Por que, digamos, meu freezer deve ter uma conexão com a Internet? Acontece que freezers modernos com descongelamento automático possuem um ciclo em que esquentam rapidamente suas bobinas para derreter o gelo. Isso acontece sempre que o freezer pensa que é apropriado – o que pode ser no meio do dia, durante uma onda de calor, por exemplo. Um pouco de inteligência da Internet pode permitir que o freezer negocie um desconto com a sua companhia elétrica para realizar a tarefa depois.

O ponto negativo é que a maioria desses aparelhos inteligentes são bastante estúpidos quando o assunto é segurança. Muitos já são vendidos com senhas administrativas padrão e não exigem que os usuários as mudem. Eles usam Universal Plug and Play (UPnP) para passar por firewalls de redes para acesso remoto. Também usam conexões sem criptografia pela web. E costumam rodar versões desatualizadas e vulneráveis à exploits dos sistemas e módulos open-source para acesso de rede.

Esse equipamento raramente recebe updates de sistema, mesmo quando é vendido em grandes quantidades e os pesquisadores ou empresas de segurança encontram ataques. Mesmo quando as atualizações são liberadas, a maioria dos donos nem fica sabendo delas, ou não possuem o conhecimento necessário para conseguir fazer o update da forma correta.

Esses aparelhos podem ser sequestrados, e isso vem acontecendo cada vez mais ultimamente. Centenas de milhões de aparelhos IoT foram alvos de malware que permite que sejam usados remotamente como parte de uma “botnet” usada em um ataque de negação de serviço – o mesmo tipo que derrubou a Internet na sexta, 21/10. Uma grande parte desses gadgets aparentemente são DVRs e câmeras de segurança residenciais e de estabelecimentos comerciais.

As botnets costumavam envolver computadores sequestrados. Apesar de botnets de computadores ainda existirem, a melhor segurança dos sistemas tornou-as mais difíceis de serem alcançadas em grandes quantidades, assim como manter o controle sobre elas. Os aparelhos de IoT possuem mais vulnerabilidades, o que os torna mais fáceis de serem subvertidos, e o tipo de comportamento que mostram quando estão realizando um ataque pode ser inteiramente invisível para os seus donos: os ataques lotam as conexões upstream, não downstream, e nem sempre interferem com uma função do aparelho ou com a rede do usuário. E também existem simplesmente menos computadores do que outros aparelhos. Vários bilhões de aparelhos IoT existem no mundo, e esse número só vai aumentar nos próximos anos.

Falei com o especialista em segurança Bruce Schneier há algumas semanas, quando o site do jornalista Brian Krebs sofreu um dos seus maiores ataques DDoS, e ele destacou: “O problema é que o ecossistema de patches exige uma determinada faixa de preço dos aparelhos para que seja viável. Estamos abaixo desse valor. A Internet das Coisas é muito barata para ser protegida”.

Infelizmente, mesmo quando companhias mais conhecidas vendem produtos e oferecem updates, elas ainda podem incorporar componentes gratuitos ou licenciados que possuem problemas de segurança que as fabricantes dos equipamentos não testaram.

Não há uma defesa específica para isso. Os EUA e nenhum outro país que permite o uso livre de aparelhos eletrônicos exige testes de segurança, apesar de quase todos possuírem regulamentações sobre emissões de sinais, e grande parte das fabricantes se inscreverem voluntariamente para testes elétricos nos EUA, por exemplo.

 

Fonte: IDGNow!

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *