Em 2017, o Brasil sofreu 264,9 mil ataques DDos (Distributed Denial of Service) , 728 por dia. E boa parte deles (34%) partiu do próprio país, usando botnets formadas por dispositivos de Internet das Coisas. Os dados são do 13º Relatório da Arbor sobre Segurança da Infraestrutura Global de Redes (WISR - sigla em inglês para Worldwide Infrastructure Security Report), com informações colhidas junto a profissionais especializados em redes digitais e segurança da informação de grandes empreas, provedores de serviços de comunicação e de serviços de nuvem/ hospedagem.

As técnicas de ataque também mudaram um pouco no país. Os de volumetria não foram tão expressivos quanto em 2016, ano de realização dos jogos olímpicos. O pico observado foi de 641 Gbps, contra 800 Gbps em 2016. Em compensação, a Arbor registrou aqui o maior ataque de encaminhamento de pacotes por segundo (PPS), com 245 milhões. 

Muitos desses ataques foram bem-sucedidos, segundo Geraldo Guazzelli, Country Manager da Arbor no Brasil. "O Brasil está hoje entre os cinco maiores países geradores e receptores de ataque. É fundamental que as empresas tenham políticas, processos e soluções de segurança. Principalmente os grandes provedores de acesso [ISPs] e os data centers", diz ele.

Por exemplo, políticas de atualizações frequentes de software são essenciais. "O Brasil tem hoje muitos IPs contaminados, que fazem parte dessas botnets de IoT, como a Mirai. Como o mercado requer que os dispositivos de IoT tenham custos competitivos, muitos deles usam chipsets com nenhum ou baixos requisitos segurança. E os usuários sequer percebem que eles estão infectados", comenta o executivo.  A própria Arbor diz ter feito uma recomendação para seis fabricantes de chipsets, para que reforçassem dos dispositvos de segurança. E que não surtiram efeito. "No fundo, não há interesse deles, por que isso encareceria os produtos", comenta Guazelli. Portanto, sobra para os ISPs e os administradores de data centers a tarefa de mitigação dos riscos. 

 As companhias, em geral, também vão ter que melhorar as suas políticas de segurança. Especialmente aquelas dos segmentos de governo, finanças e saúde. 

De um modo geral, no entanto, o Brasil é um dos países com a infraestrutura de internet melhor preparada para dar conta dos ataques. "Mas justamente por isso, passa a ser um desafio para os atacantes", comenta Guazelli. E os força a serem mais criativos. "O ataque de PPS registrado podia ter se transformado em um ataque de volumetria e chegado a  2Tbps. Por sorte, os pacotes eram pequenos", comentou o executivo.

Meses atrás, durante durante o 11º IX (PTT) Fórum – Encontro dos Sistemas Autônomos da Internet no Brasil, realizado em São Paulo, Kleber Carriello, consultor sênior da área de engenharia da Arbor, já havia comentado a respeito. 

“Na maioria das vezes você tinha ataques de alta volumetria associados às técnicas de amplificação. Que obviamente não abrem mão do artifício de spoofing. Mas nos dias 23 e 24, aqui no Brasil, observamos um grande ataque, em torno de 160 milhões de pacotes por segundo, originado de IPs spoofados. E 20% desse tráfego veio do Brasil”, disse.

Algo realmente assustador, na opinião dele, principalmente por ter sido a primeira vez que se viu uma volumetria tão grande vinda de spoofing. “Parece que, em algum momento, se perdeu entre os atores da internet a preocupação com a proteção da rede”, completou.

Nesse sentido, as métricas coletadas pelo Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (Cert.br), mantido pelo NIC.br, e os indicadores gerados a partir delas, também assustam. As notificações de ataques de negação de serviço aumentaram significativamente nos últimos três anos.

“O número de notificações foi 200 vezes maior em 2014, se manteve no mesmo patamar em 2015 e dobrou em 2016. O que a gente nota nessa notificações é que os ataques grandes não são mais de 20 ou 30 Gbps. São de 300 Gbps, 400 Gbps, suficientes para tirar um site do ar. A gente já teve até uma notificação que registrou um pico de alguns minutos que chegou a 1Terabit por segundo”, comenta Cristine Hoepers, gerente da área de segurança do Cert.br.

Para quem gosta de números, em 2016, o CERT.br recebeu 60.432 notificações sobre computadores que participaram de ataques de negação de serviço (DoS), número 138% maior que em 2015.

Pior. A reclamação que vem se tornando mais recorrente é a de redes brasileiras gerando ataques de DDoS, não só para outras redes dentro do Brasil quanto para o mundo. E as botnets são formadas não só por equipamentos de Internet das Coisas, como também por roteadores de banda larga e de borda e servidores, geralmente habilitados por senhas padrão que não estão sendo trocadas.

No mundo
De acordo com os dados globais, em 2017 houve 7,5 milhões de ataques DDoS em 2017, de acordo com os dados da infraestrutura ATLAS (Active Threat Level Analysis System) da NETSCOUT Arbor, que abrange aproximadamente um terço do tráfego global de internet. Os provedores de serviços que responderam à pesquisa tiveram mais ataques volumétricos, enquanto as empresas relataram um aumento de 30% em ataques furtivos na camada de aplicativos.

Em 57% das empresas e 45% dos operadores de data centers, a largura de banda da internet ficou saturada devido a ataques DDoS. E 59% dos provedores de serviços e 48% das empresas sofreram ataques multivetoriais, o que representa um aumento de 20% em relação ao ano anterior. Esses ataques combinam inundações de alto volume com ataques na camada de aplicativos e ataques de exaustão de TCP em uma única investida sustentada, aumentando a complexidade da mitigação e a chance de sucesso do atacante.

Os dados do WISR se baseiam em 390 respostas de provedores de serviços Tier 1, Tier 2 e Tier 3, provedores de hospedagem, operadores móveis, empresas e outros tipos de operadores de rede em todo o mundo. Dois terços de todos os entrevistados se identificaram como profissionais de segurança, rede ou operações. Os dados abrangem o período de novembro de 2016 a outubro de 2017.

E cada vez mais as consequências dos ataques DDoS bem-sucedidos vão além dos danos financeiros e operacionais. Pouco mais da metade (57%) das empresas citaram danos à reputação e à marca como o principal impacto nos negócios, com despesas operacionais em segundo lugar. Além disso, 56% tiveram um impacto financeiro entre US$ 10.000 e US$ 100.000, quase o dobro dos números de 2016. E 48% dos operadores de data centers disseram que a perda de clientes foi uma preocupação importante após um ataque bem-sucedido.

^{(Abra a imagem em uma nova janela para ampliar)}