O Mês de Segurança é um conjunto de celebrações que acontece anualmente durante todo o mês de setembro, com o intuito de fomentar a cultura de segurança da informação e divulgar amplamente as ações promovidas pelas instituições que aderirem.
O Dia Internacional de Segurança em Informática é um evento anual voltado ao usuário final de computadores, que tem como objetivo promover boas práticas relacionadas à segurança da informação.
Os ataques de negação de serviço ou Denial of Service (DoS) ocorrem quando um atacante tenta impedir um usuário legítimo de acessar um determinado serviço. Exemplos de formas de realizar este ataque incluem sobrecarregar um dispositivo ou rede local com um grande volume de tráfego, o que consiste em um ataque de flooding, interromper conexões entre duas máquinas, impedir um determinado usuário de acessar um serviço ou interromper o acesso a este serviço, entre outros. Caso seja bem sucedido, um ataque de DoS pode impedir totalmente a conectividade para uma determinada máquina ou até mesmo para toda uma rede local. Existem diferentes formas de realização de um ataque de DoS, como o DoS distribuído (Distributed Denial of Service – DDoS) e a reflexão de DDoS (Distributed Reflected Denial of Service – DRDoS).
Os ataques de DDoS seguem o mesmo princípio dos ataques de DoS e causam os mesmos efeitos. Um ataque de DDoS consiste, na verdade, em uma série de ataques de DoS ocorrendo simultaneamente e direcionados ao mesmo alvo. Geralmente, máquinas que participam de um ataque de DDoS o fazem sem que seus usuários e os administradores da rede estejam cientes. Isto ocorre quando a máquina está infectada com algum tipo de malware que realiza o ataque. Diversos serviços podem ser explorados para ataques de DDoS. Serviços frequentemente explorados para este tipo de ataque são DNS e NTP.
O ataque de DRDoS é uma forma de ataque de DDoS. Este ataque é caracterizado pelo modo como o atacante opera, enviando requisições para diversos servidores de diversos serviços como se fosse à vítima do ataque, isto é, o endereço IP de origem dos pacotes das consultas é o endereço IP da vítima do ataque, porém os pacotes partem do atacante (i.e. spoofing). Os servidores que recebem estas requisições, por sua vez, assumem que as requisições partiram da vítima do ataque, em função do spoofing de pacotes, e enviam as respostas para a mesma. Para realizar ataques de DRDoS, o atacante geralmente explora vulnerabilidades nos servidores que fazem com que estes permitam consultas externas.
No caso do DNS, o risco de ataque está em servidores DNS recursivos, quando é permitido que qualquer máquina na Internet realize consultas a estes servidores. Quando há servidores DNS recursivos abertos a consultas para toda a Internet, atacantes podem realizar consultas forjadas, geralmente a domínios falsos publicados pelo próprio atacante, tendo como endereço IP de origem o endereço IP da vítima. Desta forma, os atacantes podem fazer com que as respostas das consultas, que geram um grande volume de dados, sejam todas redirecionadas à máquina vítima do ataque.
Solução »
Consultas NTP mode 6 com o comando READVAR e mode 7, com o comando MONLIST permitem que sejam consultadas variáveis internas do NTP, que retornam informações como versão do NTP, sistema operacional do servidor, peers, entre outras. Estas consultas podem ser exploradas por ataques de DDoS, onde o atacante gera uma grande quantidade de tráfego através de consultas NTP mode 6 ou mode 7 para diversos servidores com pacotes UDP mascarados, tendo como endereço IP de origem o IP do alvo do ataque .
Solução »
Assim como ocorre com o DNS e o NTP, o SNMP também pode ser explorado para ataques de DRDoS. A vulnerabilidade a ataques de DRDoS existe quando dispositivos na rede permitem consultas pública de gerenciamento através do protocolo SNMP. O atacante, então, realiza consultas nestes dispositivos como se fosse a vítima, através do spoofing de pacotes.
Solução »
O serviço NetBios é comumente explorado para ataques de DRDoS. A vulnerabilidade ocorre quando existem hosts com este serviço habilitado permitindo consultas externas. O atacante, então, realiza consultas nestes dispositivos como se fosse a vítima, através do spoofing de pacotes.
Solução »
