Maior ataque DDoS da história foi causado por botnet de dispositivos IoT sequestrados

ddos-attackA segurança na Internet das Coisas deve tornar-se uma prioridade importante agora que um exército de dispositivos comprometidos – talvez algo próximo de 1 milhão – tenha inundado um dos principais serviços de proteção contra ataques do tipo DDoS.

Um botnet gigante feito de dispositivos conectados à internet sequestrados, como câmeras, lâmpadas e termostatos lançou o maior ataque DDoS de que se tem notícia, contra um blog tido como um dos mais seguros; foi um ataque tão grande que a Akamai teve que cancelar sua conta já que defendê-la dos ataques “comeu” muitos recursos.

Não que a Akamai não pudesse mitigar o ataque – na verdade, assim o fez por 3 dias – mas isso se tornou muito caro, o que levou a empresa a tomar uma decisão de negócios para cortar o cliente afetado, de acordo com Andy Ellis, chefe de segurança da empresa.

A rede interrompeu a proteção ao blog Krebs on Security, escrito por Brian Krebs, após um ataque de 665Gbps de tráfego sobrecarregar o site na última terça, 20 de setembro. O tamanho do ataque foi quase o dobro de qualquer outro já registrado pela Akamai.

Para um botnet IoT gerar essa quantidade de tráfego é um evento tão inédito que “levará algum tempo para ser analisado e revelar quais ferramentas de mitigação são as mais eficientes para evitá-lo”, de acordo com Ellis. “Seu impacto é similar aos ataques do Anonymous em 2010 usando o open source LOIC, ou ainda os ataques DDoS iniciados a partir de servidores comprometidos do Joomla e WordPress em 2014”, diz o executivo.

Ellis acredita que a lição para as empresas é que as proteções DDoS que possuem precisam ser ajustadas para lidar com volumes mais elevados de ataque.

Explorando a Internet das Coisas

O enorme assalto em segurança ao blog Krebs on Security é o trabalho de um botnet composto principalmente de dispositivos IoT, de acordo com a Akamai. Foram usados tantos dispositivos que o invasor não teve sequer que empregar táticas comuns que amplificam o impacto de dispositivos individuais.

O número exato de máquinas envolvidas no botnet é ainda desconhecido, e pode ser tão grande quanto 1 milhão. “Nós ainda estamos tentando dimensionar isso”, revela Ellis. “Pensamos que possa ser algo superestimado, mas também é possível que seja uma estimativa real, uma vez que chegarmos ao número exato”.

“Com estimativas de 21 bilhões de dispositivos IoT até 2020, a escala de botnets que podem ser criados por essas máquinas relativamente desprotegidas pode ser enorme”, disse Dave Lewis, porta-voz de segurança global da Akamai, durante o evento Security of Things Forum realizado em Cambridge, nos EUA.

“E se um invasor injetar código nos dispositivos para criar um ‘botnet Fitbit’?”, comenta Lewis. “Os pesquisadores já demonstraram que é possível carregar malware sem rede wireless em um Fitbit em menos de 10 segundos, portanto, a possibilidade não é fantasiosa”.

Algumas das máquinas de ataque rodam clientes conhecidos por executarem em câmeras, diz ele. “É possível que façam isso de forma falsa ou é possível que a própria câmera cometa os ataques”, diz ele. “Há indicadores de que existem dispositivos IoT aqui, em escala”, disse, para a platéia.

O ataque não usa reflexão ou amplificação, por isso todo o tráfego consiste de requisições HTTP legítimas, que foram as que sobrecarregaram o site de Krebs. “Não é tráfego junk”.

Muitas coisas sobre o ataque ainda são desconhecidas, como quem está por trás dele e qual método os botmasters usaram para infectar os bots individuais.

Andy Ellis acredita que outros provedores Akamai tenham reportado ataques semelhantes, ainda que menores, a partir da mesma botnet. “Muitos deles são voltados para sites de jogos, e Krebs tem escrito sobre tais ataques, portanto, pode haver uma conexão entre uma coisa e outra”, diz ele.

Krebs tweetou sobre o ataque após a Akamai interromper a proteção ao seu site. “Eu realmente não posso culpar a Akamai por sua decisão. Provavelmente, isso lhes custou muito dinheiro hoje”, escreveu ele.

No link do texto original abaixo (em inglês) também é possível assistir a um vídeo sobre o tema.

Fonte: Network World

21