Este ano, alguns bancos brasileiros sofreram com problemas técnicos, ficando com seus sites e seus apps fora do ar por algumas horas, ou operando de maneira instável. As ocorrências repercutiram nas redes sociais. Uma das suspeitas é que tenham sido alvos de ataques de negação de serviço (DDoS, na sigla em inglês), que consistem em receber uma avalanche de acessos simultâneos, além da capacidade dos seus servidores, o que derruba o serviço. Como os aplicativos móveis em geral estão conectados aos mesmos servidores que atendem o Internet banking, eles saem do ar também, mesmo que não tenham sido o alvo principal dos hackers, explica Aguinaldo Fagundes, diretor de operação da Everest Ridge, empresa especializada em segurança digital.

Os ataques de DDoS são medidos pela quantidade de tráfego gerado pelos hackers contra o servidor alvo. Quando a origem é o Brasil, os ataques podem chegar a 20 GB. No exterior, há relatos de ataques de 4 TB ou mais. Uma pesquisa da NSFocus indica que 37% dos ataques DDoS ano passado eram menores de 10 GB; 39%, tinham 10 a 50 GB; 12%, entre 50 e 100 GB; 11%, de 100 a 300 GB; e 0,8%, acima de 300 GB.

Com o aumento da quantidade de dispositivos conectados e desprotegidos, especialmente celulares e objetos variados, está cada vez mais fácil para os hackers construírem exércitos de dispositivos “zumbis” que são usados para realizar os acessos simultâneos para derrubar um servidor, relata Fagundes.

“Esses ataques não são aleatórios, geralmente são direcionados. Alguém encomenda para algum grupo tirar determinado serviço do ar. Quem recebe a encomenda faz uma pesquisa prévia. Começa identificando o DNS. Procura quais IPs respondem por aquele serviço. Descobre quais são as portas, quais os servidores, se tem sistema de defesa etc”, descreve. “Há todo um estudo prévio, mais ou menos como um sequestro”, completa.

Proteção

Uma das formas de proteger uma rede contra ataques DDoS consiste em contratar ferramentas que funcionam como filtros, separando o tráfego malicioso do limpo. Elas costumam ter uma capacidade máxima de tráfego que conseguem receber. A Everest Ridge, por exemplo, oferece uma solução desse tipo, chamada Banda Limpa, capaz de mitigar ataques de até 1,7 TB, sendo até 20 GB originados no Brasil, o que ajuda a reduzir a latência do serviço do cliente durante um ataque DDoS. Esse tipo de proteção é recomendada para qualquer serviço crítico, como bancos, corretoras de valores, seguradoras etc.

Porém, se o ataque superar a capacidade de defesa, o jeito é suspender os IPs daquele serviço, jogando todo o tráfego entrante para o que os técnicos chamam de “buraco negro” (black hole), mas protegendo a rede do cliente e seus outros serviços até passar o ataque e tudo se normalizar de novo.