Agora é a hora de reavaliar suas contramedidas de bot
Se você, como profissional de segurança, acha que resolveu seu problema de mitigação de bots, pense novamente.
Os bots causam enormes problemas financeiros: bots de preenchimento de credenciais levam à tomada de conta, bots de revendedores não autorizados fazem um fiasco em lançamentos de produtos e ofertas por tempo limitado, bots de scraper reduzem o desempenho e aumentam os custos de infraestrutura, bots de cracking de vale-presente drenam saldos e enfurecem clientes. Além do impacto ser grande, a probabilidade de um ataque para empresas on-line é de quase 100% porque os ataques são muito lucrativos para os criminosos. Dado o alto impacto e a alta probabilidade, você claramente precisa de uma estratégia de segurança eficaz. No entanto, como as manchetes recentes demonstram, os invasores continuam a desenvolver atalhos para as defesas de bots comumente implantadas, tornando este o momento certo para reavaliar as contramedidas que você tem em vigor contra bots.
Em 24 de janeiro de 2023, Joe Berchtold, presidente da empresa controladora da Ticketmaster, Live Nation, testemunhou perante os EUA Comitê Judiciário do Senado informou que robôs revendedores foram responsáveis pela má gestão das vendas de ingressos para a próxima turnê de Taylor Swift. “Foi isso que levou a uma experiência terrível para o consumidor, o que lamentamos profundamente”, disse Berchtold aos senadores.
Também em janeiro de 2023, a CNET relatou que milhares de pessoas que usam o gerenciador de senhas Norton receberam notificações de que uma parte não autorizada pode ter obtido acesso às suas informações pessoais, juntamente com as senhas armazenadas em seus cofres. A Gen Digital, empresa controladora da Norton, atribuiu o incidente de segurança a um ataque de preenchimento de credenciais conduzido por bot, detectado quando seu sistema IDS (Intrusion Detection Systems) sinalizou um número anormalmente alto de logins com falha.
A Ticketmaster investiu na mitigação de bots, e podemos presumir que a Gen Digital também tinha proteções em vigor. Mesmo assim, os bots ainda causavam danos à segurança, afetando a disponibilidade e a confidencialidade, além de gerar muita má publicidade. Isto levanta uma questão óbvia: Embora as soluções antibot estejam disponíveis há anos, por que tantas defesas contra bots falham em mitigar bots maliciosos?
Para organizações que ainda dependem do CAPTCHA, a resposta é óbvia. Além de irritar clientes reais e reduzir as taxas de conversão do comércio eletrônico, o CAPTCHA não funciona. Basta fazer uma pesquisa na internet sobre serviços de resolução de CAPTCHA e você encontrará pelo menos uma dúzia deles competindo em preço e velocidade. O criador de uma biblioteca de código aberto assumiu a missão de tornar trivialmente fácil ignorar o CAPTCHA :
“Os CAPTCHAs em sua forma atual falharam. Eles são um obstáculo e um incômodo muito maior para os humanos do que para os robôs, o que os torna inúteis. Minha contribuição anarquista para essa discussão é demonstrar esse absurdo, com um plugin para robôs com o qual uma única linha de código é tudo o que é preciso para ignorar reCAPTCHAs em qualquer site.”
Para organizações que dependem de listas de negação de IP baseadas em WAF para mitigar bots, a tarefa é igualmente desesperadora. Existem serviços disponíveis que oferecem aos criadores de bots dezenas de milhões de endereços IP residenciais destinados a contornar a detecção de bots. Esses serviços são anunciados como proxies residenciais rotativos; o bot envia solicitações http para o proxy, assim como muitos navegadores corporativos enviam solicitações por meio de proxies de encaminhamento, e o serviço rotaciona continuamente o endereço IP público usado para enviar a solicitação para o site ou API. No passado, os bots normalmente usavam proxies de data center, geralmente de serviços de nuvem, que são bem conhecidos e fáceis de identificar. No entanto, esses novos serviços de proxy usam endereços IP residenciais da mesma área geográfica dos seus clientes. Como cada endereço IP pode representar simultaneamente um bot ou um cliente válido devido ao NAT dos ISPs, não é possível bloquear todos esses endereços IP sem afastar seus clientes reais.
Indo um passo além, novos serviços comerciais como ZenRows , ScrapFly e ScrapingBee tornam a raspagem da web tão fácil quanto chamar uma API. Os serviços assumem a responsabilidade total de contornar as defesas de bots em seu nome. Embora esses serviços baseados em API se concentrem exclusivamente em scraping, o que é legal nos Estados Unidos e na União Europeia, os criminosos têm acesso a serviços semelhantes na dark web que realizam ataques de bots mais nefastos, como credential stuffing.
Além dos serviços comerciais, vários projetos de código aberto estão abordando o bypass de bots. Um plugin furtivo para o Puppeteer, uma popular ferramenta de automação e teste do node.js, permite que o Puppeteer ignore a detecção. Um grupo ativo de desenvolvedores mantém o projeto no GitHub e emite atualizações sempre que uma defesa de bot o detecta. De acordo com sua documentação, “Como esse jogo de gato e rato está em sua infância e é rápido, o plugin é mantido o mais flexível possível, para suportar testes e iterações rápidos.” Uma biblioteca semelhante, undetected-chromedriver , atende aos desenvolvedores Python. Seguindo o espírito do código aberto, o objetivo desses projetos é manter a web aberta para que os desenvolvedores executem automação em aplicativos. Infelizmente, essa capacidade é facilmente explorada por criminosos.
Com mais organizações envolvidas na criação de projetos de código aberto e serviços comerciais, os desenvolvedores envolvidos em contornar as defesas de bots aprendem e compartilham informações. Estas instruções orientam os leitores nas etapas para desofuscar o JavaScript das ferramentas de detecção e decifrar como essas ferramentas empacotam seus dados para transporte ao serviço de detecção. Ao fazer engenharia reversa do código do lado do cliente, esses desenvolvedores descobrem como as ferramentas de detecção funcionam. Por exemplo, um desenvolvedor da ZenRows compartilha o que aprendeu sobre dimensionamento de janelas e a maneira como os serviços de detecção de bots detectam inconsistências:
“Na imagem de exemplo de dados do sensor, podemos ver que ele envia o tamanho da janela. A maioria dos pontos de dados estão relacionados: tela real, disponível, tamanhos interno e externo. O interior, por exemplo, nunca deve ser maior que o exterior. Valores aleatórios não funcionarão aqui. Você precisaria de um conjunto de tamanhos reais.”
Com a gravidade da ameaça em mente, está claro que é hora de reavaliar suas contramedidas para mitigação de bots. Como líder em eficácia de detecção de bots, a F5 pode ajudar. Se você quiser entender o verdadeiro estado da eficácia da mitigação de bots, quais bots estão faltando e quanto isso está custando ao seu negócio, a F5 oferece uma avaliação de ameaças gratuita e uma consultoria sobre o impacto dos bots nos negócios .