BLOG

BlackNurse e Negação de Ataques Empresariais Nublados

Miniatura de Lori MacVittie
Lori MacVittie
Publicado em 17 de novembro de 2016

Um novo(a) ataque está circulando esta semana. Digo novo(a) porque o ataque em si não é tão original assim. Ataques ICMP existem desde os anos 90. Também digo “novo” porque esse ataque contrasta fortemente com os ataques volumétricos e de alto nível que chegam às notícias quando interrompem o acesso a metade da Internet. É um ataque DoS (observe que há apenas um "D", não dois) contra firewalls bem conhecidos e amplamente utilizados que podem, com pouco esforço, colocar o negócio de joelhos.

Não vou te atrapalhar em detalhes sobre como esse ataque ICMP (ping!) chamado BlackNurse (sem nenhuma razão óbvia que eu tenha visto até agora) funciona. Já existem muitos recursos e comentários disponíveis sobre o assunto: Threat Post , El Reg , TDC SOC ou Netresec para começar. O que eu queria chamar a atenção é para a interrupção devastadora que esse ataque pode causar nos negócios, especialmente naqueles que dependem muito de aplicativos baseados em nuvem. 

Porque isso não se trata apenas de interromper o acesso aos aplicativos de fora para dentro , mas de interromper o acesso aos aplicativos de dentro para fora . O TDC SOC, em seu relatório , destaca especificamente isso: “Quando um ataque está em andamento, os usuários do lado da LAN não poderão mais enviar/receber tráfego de/para a Internet.”

Lado da LAN. Esse é o lado comercial do firewall.

Temos a tendência de ver os firewalls como uma resposta tática para manter invasores fora de nossas redes corporativas. São os muros ao redor do castelo, os sacos de areia ao longo do rio, o corta-fogo no deserto tentando impedir um incêndio devastador. Mas os firewalls há muito tempo têm uma dupla função nas empresas: eles também controlam o acesso de dentro para fora. No início, isso era usado para restringir o acesso à Internet de adolescentes e continua sendo um mecanismo para permitir medidas preventivas contra tentativas de "telefone para casa" por malware e vírus que conseguiram infectar ativos internos.

 

 

Q4-2015-CARR-Uso-da-nuvem-ao-longo-do-tempo-627

Hoje em dia, a prevalência de aplicativos de produtividade baseados na nuvem exige acesso de dentro para fora. E se estivermos usando aplicativos baseados em nuvem, precisamos de acesso à Internet. Salesforce.com. Concordo. Documentos Google. Mídias sociais. A lista de aplicativos que residem fora da empresa e aos quais a empresa precisa ter acesso continua crescendo. Como ilustra este gráfico bacana da Skyhigh Networks, o uso de aplicativos baseados em nuvem nos negócios tem aumentado constantemente. Na verdade, seu relatório do quarto trimestre de 2015 observou que “a organização média agora usa 1.154 serviços de nuvem”.

Os negócios são indiscutivelmente dependentes da nuvem.

Isso significa que a interrupção do acesso a esses serviços é devastadora para a produtividade, que é um dos principais indicadores de desempenho em qualquer negócio.

Portanto, um ataque como o BlackNurse, que é relativamente fácil de conduzir e requer pouco mais do que um único laptop, é incrivelmente perturbador , apesar de sua relativa simplicidade. O objetivo desses ataques é simples: consumo de recursos. Ataques lentos e lentos, sejam eles direcionados a firewalls ou servidores web, são projetados para ocupar recursos para que o dispositivo não possa responder a solicitações legítimas. O problema é que esses ataques costumam ser mais difíceis de detectar do que seus primos volumétricos. Altos volumes de tráfego são perceptíveis. Ele dispara alarmes e luzes vermelhas e as pessoas entendem imediatamente o que está acontecendo. Nos últimos dez anos, concentramos muita energia em entender como combater esses ataques e, felizmente, estamos melhorando nisso.

Mas detectar um ataque baixo e lento é mais difícil. A CPU de repente atinge 100% e para de responder. Pode ser um problema de software. Pode ser um problema de hardware. Pode ser muitas coisas. Analisar logs para encontrar o baixo volume de pacotes representativos desse tipo de ataque é como procurar uma agulha no palheiro. Segundo os pesquisadores, os ataques do BlackNurse geram apenas 15 a 18 Mbps. Sim, você leu certo. Não há “G” nessa medida. Isso é cerca de 40 a 50 mil pacotes por segundo, o que não é nada comparado aos firewalls modernos. Por outro lado, o ataque DDoS registrado contra o Dyn foi medido na faixa de 1 Tbps. Isso é um “T”, que é maior que “G” e muito maior que “M”.

A resposta para tais ataques geralmente é mover aplicativos para a nuvem, onde os serviços de firewall não são limitados por conceitos antiquados como “recursos limitados” e são capazes de escalar sem esforço e de forma automática. Só que não é, porque a empresa ainda tem funcionários atrás do firewall corporativo que precisam acessar esses aplicativos (e outros). E é o acesso deles que está sendo interrompido quando o alvo é o firewall corporativo que está entre eles e “a nuvem”.

É a produtividade que sofre.

As empresas precisam reconhecer o estado potencialmente perigoso causado por ataques que interrompem o tráfego de saída e de entrada. Embora o BlackNurse já tenha uma mitigação bastante simples, é provável que haja outras que não sejam tão simples de mitigar.  E em um mundo onde dependemos tanto dos aplicativos dentro do firewall quanto daqueles fora dele, precisamos analisar mais de perto as possibilidades de tais ataques.

Se você ainda não fez isso, já passou da hora de avaliar o quanto sua empresa é (ou será) dependente de aplicativos “na nuvem” e como proteger melhor o acesso a eles diante de ameaças projetadas especificamente para impedir que as empresas continuem com suas atividades diárias.