A arquitetura do ataque relembrou um dos gargalos do funcionamento da própria internet: o foco foi na empresa Dyn, que administra domínios de sites, o conhecido sistema DNS. Mas atacar sistemas de DNS é um tanto conhecido, o que tornava aquele ataque um prenúncio do futuro complicado que a segurança da informação enfrentará diz respeito a como o ataque foi feito. Ou mais especificamente: que tipos de dispositivos o desencadearam.
Os especialistas só descobriram depois, mas naquele dia o malware Mirai mostrou sua cara e protagonizou o maior ataque DDoS da história. O vírus passou meses criando uma botnet —uma rede de computadores sequestrados por malware que podem receber comandos futuros de um controlador — poderosíssima e logo depois concentrou o poder dela contra alvos pré-determinados.
O Mirai não sequestra computadores ou smartphones, mas sim eletrodomésticos da gama de produtos conhecidos como internet das coisas (IoT): câmeras digitais, gravadores de DVR, geladeiras, lâmpadas, e especialmente câmeras, todos com conexão à internet.
Segundo a Dyn, a botnet tinha ao menos 100 mil componentes e operou com capacidade de 1,2Tbps, força capaz de derrubar praticamente qualquer servidor do planeta. Esse número coloca a rede Mirai como duas vezes mais poderosa que qualquer ataque DDoS já feito na história, segundo estudiosos da própria Dyn.
“O Mirai foi apenas a ponta de um iceberg”, contou ao R7 o consultor Michel Araújo, da F5, especializada em segurança. Segundo ele, com a proliferação de aparelhos conectados, a quantidade de ataques como esses devem se multiplicar.
Internet das Coisas
Eletrodomésticos são especialmente vulneráveis porque ninguém liga muito para a segurança deles. Existem até sites com streaming de câmeras aleatórias pelo mundo, inclusive câmeras de bebês dormindo. O Mirai vasculha redes e tenta as combinações padrão de senhas desses dispositivos e sequestra os que consegue. Em meses, a rede se tornou gigantesca e protagonizou um ataque jamais visto.
O relatório mais recente da F5, publicado em junho, coloca o Brasil no mapa dos ataques da Internet das Coisas, o que deve causar preocupação em quem possui um dos modernos dispositivos conectados.
Segundo Michel, a modalidade de servidor Comand & Control é a que mais cresce no Brasil, principalmente em São Paulo e no Rio de Janeiro. Um servidor do tipo permite a um hacker controlar uma rede com comandos simples e camuflados. Alguns podem até ser configurados na casa dos criminosos.
O processo de construção de uma rede baseada em internet das coisas é relativamente simples, segundo o analista.
“A primeira fase envolve os hackers vasculhando uma rede insegura em busca de câmeras, modens e roteadores. Pelo menos metade dos dispositivos IoT estão inseguros e com senha e usuário padrão”, afirma Michel. “A segunda fase é infectar esses dispositivos e associá-lo à rede para ser usada no futuro”.
Enquanto o Mirai mal foi investigado, outra botnet cresce com uma velocidade estonteante: a Persirai, também especializada em câmeras, principalmente modelos baratos fabricados na China. Segundo um relatório recente da Trend Micro, mais de mil modelos de câmeras possuem a vulnerabilidade explorada pelo malware.
Cerca de 3,43% dessas câmeras infectadas estão no Brasil. Mas a relação brasileira com crimes cibernéticos se amplia quando se analisa a presença dos servidores que controlam essas redes. A F5 coloca o Brasil como o quarto país com maior número de Comand & Control, atrás apenas do Reino Unido, Itália e Turquia.
O aumento do número de servidores implica que as gangues cibernéticos estão cada vez mais profissionais e autoridades policiais enfrentarão problemas maiores para lidar com elas. Para se ter uma ideia, o trojan Zeus era controlado por pelo menos 12 gangues ao redor do mundo, com 160 servidores comand & control capazes de ordenar ataques.
No futuro, é bastante provável que botnets como a Mirai e Persirai se tornam muito maiores. Em 2017, a F5 detectou um aumento de 280% de câmeras comprometidas, o que significa que o próximo ataque do tipo pode ser ao menos três vezes maior.
“São 8,4 bilhões de dispositivos IoT hoje no mundo: roteadores, geladeiras e câmeras. Em 2020, estima-se que esse número chegue à 20 bilhões de dispositivos”, aponta Michel.
Segundo ele, é preciso pensar que esses dispositivos não podem apenas ser parte de botnets, mas colocar a própria vida de dos usuários em risco.
“Imagina um carro hackeado. Ou sensores de usinas nucleares e termelétricas. O terrorismo pode ser levado à outro nível”, completa o especialista. “Os hackers também estão se tornando mais profissionais. Há coisas possíveis que nem os analistas ainda previram”.
Como se proteger
As dificuldades quanto ao futuro aumentam porque não existe padronização ou fabricantes preocupados com segurança.
“Não existe a mínima padronização de segurança. Vários fabricantes são chineses que vendem milhões de câmeras por mês”, diz Michel.
Ainda que os usuários estejam assustados, é possível tomar medidas relativamente simples para evitar problemas maiores.
A primeira e principal é mudar a senha padrão de qualquer dispositivo conectado à internet. O principal deles é o roteador fornecido por sua operadora de internet, que pode comprometer todos os outros aparelhos.
Apesar de câmeras serem o grosso das botnets atuais, qualquer aparelho pode ser alvo de malwares futuros. Então, além de trocar a senha, é importante também manter sempre o sistema atualizado. Sempre que uma atualização estiver disponível, é bom efetivá-la.
Os fabricantes deveriam ter preocupações similares. Michel aponta que medidas simples poderiam evitar a proliferação tão grande dessas redes. Uma delas é impedir que os aparelhos operem com senhas padrão, convidando os usuários a trocá-la no primeiro uso.
Outra é a instalação de protocolos que dificultam a detecção desses aparelhos pelos scripts dos hackers, ou ainda sistemas antivírus que previnem do dispositivo ser controlado remotamente.
Mas enquanto os fabricantes não se preocupam com isso, os profissionais de segurança esperam quando um novo Mirai entrará em ação.
R7