Brasil: abençoado por Deus e reflexivo por natureza

Nesse artigo daremos continuidade ao estudo sobre os ataques de negação de serviço distribuídos (DDoS), após o panorama apresentado (técnicas e mercado existente) no artigo anterior, vamos nos debruçar sobre a atual condição dos ataques de negação de serviço distribuído a partir de serviços de DNS brasileiros. Veremos uma comparação da condição nacional com os demais países e a realidade nacional quanto à sistemas autônomos (AS) e provedores de acesso (ISP) nacionais.

DNS recursivo aberto

O Lab possui em operação uma HoneyNet que, como parte de um pacote de iniciativas de defesa ativa, tem demostrado atividade persistente na porta UDP 53, a porta padrão para a disponibilização do serviço Domain Name System (DNS).

O objetivo do atacante ao realizar esse tipo de varredura sistemática é a identificação de servidores DNS recursivos abertos, os quais permitem amplificar, em dezenas de vezes, o tráfego de ataques de negação de serviço (DoS), além de camuflar a origem do ataque e, possivelmente, atribuir a autoria do ataque a terceiros.

Fontes abertas reforçam a informação obtida por meio dos HoneyPots. Em relatório publicado pela Akamai, provedora global de serviços de hospedagem e proteção a DDoS, demonstrou que no 1º quadrimestre de 2018 os ataques de DDoS volumétricos permaneceram como os mais frequentemente registrados. O relatório da Kaspersky Lab, referente aos 1º trimestre de 2018, demonstrou que os servidores DNS vulneráveis à reflexão e amplificação de DoS estão paulatinamente sendo corrigidos, o que tem provocado a diminuição do uso de reflexão e amplificação de DoS por reflexão de DNS para 13,2% do total de ataques de negação de serviço.

Some-se a isso a crescente oferta de terceirização de ataques de DoS, num processo denominado de DDoS-as-a-Service, por meio do qual há a especialização na prestação de serviços. O DoS pode ser empregada por diferentes ameaças: hacktivismo, concorrência desleal, extorsão ou mesmo como arma cibernética em conflitos internacionais entre estados.

Como consequência disso os servidores DNS que não forem atualizados e corrigidos tendem a ser utilizados de forma mais intensa por atores maliciosos em campanhas de negação de serviço.

Amplificadores de tráfego

Para aumentar o “poder de fogo” de seus ataques e de sua infraestrutura, os fornecedores lançam mão de técnicas de amplificação de tráfego.

O UDP é um protocolo de transporte não orientado à conexão, ou seja, não valida os endereços IP com Three-Way Handshake. A menos que o protocolo da camada de aplicação use contramedidas, um invasor pode facilmente forjar o datagrama de pacotes IP para incluir um endereço IP de origem arbitrária. Quando muitos pacotes UDP têm seu endereço IP de origem forjado para o endereço IP da vítima, o servidor de destino (ou amplificador) responde para o endereço da vítima (em vez do atacante), criando um ataque de negação de serviço (DoS) refletido.

Certas requisições para determinados serviços ou aplicações que rodam sobre o protocolo UDP provocam respostas que são muito maiores do que a solicitação inicial. Um único pacote pode gerar respostas centenas ou até milhares de vezes maiores do que a requisição de origem. Isso é chamado de um ataque de amplificação e pode ser combinado com um ataque DoS reflexivo em grande escala, usando vários amplificadores e visando uma única vítima. Além disso, existem códigos e exploits disponíveis para abstrair a complexidade técnica que envolve a condução desse tipo ataque, o que faz com que um DDoS amplificado e refletido possa ser desferido com relativa facilidade.

O fator de amplificação pode ser calculado como o número de bytes de carga útil UDP que um amplificador envia para atender uma solicitação, em comparação com o número de bytes de carga útil UDP da solicitação. A tabela a seguir apresenta o fator de amplificação de banda por protocolo que utilizado UDP.

Protocolo Fator de Amplificação de Banda Comando Vulnerável
DNS 28 to 54 see: TA13-088A
NTP 556.9 see: TA14-013A
SNMPv2 6.3 GetBulk request
NetBIOS 3.8 Name resolution
SSDP 30.8 SEARCH request
CharGEN 358.8 Character generation request
QOTD 140.3 Quote request
BitTorrent 3.8 File search
Kad 16.3 Peer list exchange
Quake Network Protocol 63.9 Server info exchange
Steam Protocol 5.5 Server info exchange
Multicast DNS (mDNS) 2 to 10 Unicast query
RIPv1 131.24 Malformed request
Portmap (RPCbind) 7 to 28 Malformed request
LDAP 46 to 55 Malformed request
CLDAP [link] 56 to 70
TFTP [link] 60
Memcached [link] 10,000 to 51,000

Fator de amplificação por serviço UDP. Fonte: US-CERT

O DNS é um dos serviços mais explorados para reflexão e amplificação de ataques DoS, sobretudo por ser um protocolo estruturante da Internet e porque há abundância de hosts vulneráveis. 

Identificando um servidor vulnerável

O comando DIG (domain information groper) é um utilitário de pesquisa de DNS disponível para sistemas operacionais Linux e Unix.

No exemplo abaixo vamos executar o comando dig para solicitar o endereço IP atribuído ao domínio google.com.br para o servidor DNS xxxene.sdh.gov.br:

dig +notcp -t A google.com @xxxene.sdh.gov.br
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 30563
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4000
;; QUESTION SECTION:
;google.com. IN A

;; ANSWER SECTION:
google.com. 291 IN A 172.217.30.78

;; Query time: 131 msec
;; SERVER: 189.9.36.xxx#53(189.9.36.xxx)
;; WHEN: Tue May 22 18:14:53 -03 2018
;; MSG SIZE rcvd: 55

O nome do servidor vulnerável e o seu respectivo endereço IP foram sanitizados na resposta. Trata-se de computador do Ministério dos
Direitos Humanos

A resposta do comando deveria ser status: REFUSED ou mesmo não obter qualquer resposta. Entretanto, é possível observar que o domínio google.com foi resolvido para o endereço IP 172.217.30.78 e que a resposta foi entregue com sucesso por meio do protocolo UDP. Logo, esse teste foi suficiente para comprovar que o servidor DNS xxxene.sdh.gov.br (endereço IP 189.9.36.xxx) está vulnerável à amplificação e reflexão de ataques DoS.

Observe que a resposta foi de 55 bytes. Existem várias estratégias para tornar essa resposta muito maior. A mais comum é a utilização de um atributo TXT grande. A título de prova de conceito, ao invés de solicitar apenas o endereço IP, vamos fazer uma nova consulta solicitando todos os atributos do domínio, por meio do parâmetro -t ANY:

dig +notcp -t ANY yahoo.com @xxxene.sdh.gov.br

;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 12997
;; flags: qr rd ra; QUERY: 1, ANSWER: 25, AUTHORITY: 0, ADDITIONAL: 9

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4000
;; QUESTION SECTION:
;yahoo.com. IN ANY

;; ANSWER SECTION:
yahoo.com. 1130 IN A 98.137.246.8
yahoo.com. 1130 IN A 98.137.246.7
yahoo.com. 1130 IN A 98.138.219.231
yahoo.com. 1130 IN A 72.30.35.10
yahoo.com. 1130 IN A 72.30.35.9
yahoo.com. 1130 IN A 98.138.219.232
yahoo.com. 85730 IN NS ns5.yahoo.com.
yahoo.com. 85730 IN NS ns3.yahoo.com.
yahoo.com. 85730 IN NS ns1.yahoo.com.
yahoo.com. 85730 IN NS ns2.yahoo.com.
yahoo.com. 85730 IN NS ns4.yahoo.com.
yahoo.com. 1130 IN SOA ns1.yahoo.com. hostmaster.yahoo-inc.com. 2018052214 3600 300 1814400 600
yahoo.com. 1130 IN MX 1 mta5.am0.yahoodns.net.
yahoo.com. 1130 IN MX 1 mta6.am0.yahoodns.net.
yahoo.com. 1130 IN MX 1 mta7.am0.yahoodns.net.
yahoo.com. 1130 IN TXT "v=spf1 redirect=_spf.mail.yahoo.com"
yahoo.com. 1130 IN AAAA 2001:4998:44:41d::4
yahoo.com. 1130 IN AAAA 2001:4998:58:1836::10
yahoo.com. 1130 IN AAAA 2001:4998:44:41d::3
yahoo.com. 1130 IN AAAA 2001:4998:c:1023::5
yahoo.com. 1130 IN AAAA 2001:4998:c:1023::4
yahoo.com. 1130 IN AAAA 2001:4998:58:1836::11
yahoo.com. 1130 IN CAA 0 iodef "mailto:security@yahoo.com"
yahoo.com. 1130 IN CAA 0 issue "digicert.com"
yahoo.com. 1130 IN CAA 0 issue "symantec.com"

;; ADDITIONAL SECTION:
ns5.yahoo.com. 85730 IN A 119.160.253.83
ns3.yahoo.com. 85730 IN A 203.84.221.53
ns3.yahoo.com. 85730 IN AAAA 2406:8600:b8:fe03::1003
ns1.yahoo.com. 85730 IN A 68.180.131.16
ns1.yahoo.com. 85730 IN AAAA 2001:4998:130::1001
ns2.yahoo.com. 85730 IN A 68.142.255.16
ns2.yahoo.com. 85730 IN AAAA 2001:4998:140::1002
ns4.yahoo.com. 85730 IN A 98.138.11.157

;; Query time: 181 msec
;; SERVER: 189.9.36.xxx#53(189.9.36.xxx)
;; WHEN: Tue May 22 18:25:02 -03 2018
;; MSG SIZE rcvd: 846

O nome do servidor vulnerável e o seu respectivo endereço IP foram sanitizados na resposta.

Observe que a resposta dessa solicitação foi bem maior do que a consulta anterior. A partir de uma resposta grande, o atacante só precisa forjar o endereço de origem para iniciar a amplificação e reflexão do DoS.

Vejamos agora um caso envolvendo um servidor DNS vinculado ao Poder Judiciário:

dig +notcp -t ANY yahoo.com @xxxx.xxxx.jus.br

;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 5776
;; flags: qr rd ra; QUERY: 1, ANSWER: 20, AUTHORITY: 5, ADDITIONAL: 26

;; QUESTION SECTION:
;yahoo.com. IN ANY

;; ANSWER SECTION:
yahoo.com. 1052 IN AAAA 2001:4998:c:1023::4
yahoo.com. 1052 IN AAAA 2001:4998:c:1023::5
yahoo.com. 1052 IN AAAA 2001:4998:44:41d::4
yahoo.com. 1052 IN AAAA 2001:4998:58:1836::10
yahoo.com. 1052 IN AAAA 2001:4998:44:41d::3
yahoo.com. 10366 IN NS ns5.yahoo.com.
yahoo.com. 10366 IN NS ns4.yahoo.com.
yahoo.com. 10366 IN NS ns2.yahoo.com.
yahoo.com. 10366 IN NS ns3.yahoo.com.
yahoo.com. 749 IN A 98.137.246.8
yahoo.com. 749 IN A 72.30.35.9
yahoo.com. 749 IN A 98.138.219.231
yahoo.com. 749 IN A 72.30.35.10
yahoo.com. 749 IN A 98.137.246.7
yahoo.com. 749 IN A 98.138.219.232
yahoo.com. 680 IN MX 1 mta5.am0.yahoodns.net.
yahoo.com. 680 IN MX 1 mta6.am0.yahoodns.net.
yahoo.com. 680 IN MX 1 mta7.am0.yahoodns.net.
yahoo.com. 1052 IN AAAA 2001:4998:58:1836::11
yahoo.com. 10366 IN NS ns1.yahoo.com.

;; AUTHORITY SECTION:
yahoo.com. 10366 IN NS ns5.yahoo.com.
yahoo.com. 10366 IN NS ns4.yahoo.com.
yahoo.com. 10366 IN NS ns2.yahoo.com.
yahoo.com. 10366 IN NS ns3.yahoo.com.
yahoo.com. 10366 IN NS ns1.yahoo.com.

;; ADDITIONAL SECTION:
ns5.yahoo.com. 188448 IN A 119.160.253.83
ns4.yahoo.com. 188448 IN A 98.138.11.157
ns2.yahoo.com. 188449 IN A 68.142.255.16
ns3.yahoo.com. 191591 IN A 203.84.221.53
mta5.am0.yahoodns.net. 12 IN A 67.195.229.58
mta5.am0.yahoodns.net. 12 IN A 98.137.159.28
mta5.am0.yahoodns.net. 12 IN A 98.136.102.55
mta5.am0.yahoodns.net. 12 IN A 98.137.159.24
mta5.am0.yahoodns.net. 12 IN A 74.6.137.65
mta5.am0.yahoodns.net. 12 IN A 98.137.159.25
mta5.am0.yahoodns.net. 12 IN A 98.136.101.117
mta5.am0.yahoodns.net. 12 IN A 74.6.137.63
mta7.am0.yahoodns.net. 16 IN A 74.6.137.65
mta7.am0.yahoodns.net. 16 IN A 66.218.85.139
mta7.am0.yahoodns.net. 16 IN A 66.218.85.52
mta7.am0.yahoodns.net. 16 IN A 98.137.159.24
mta7.am0.yahoodns.net. 16 IN A 98.137.159.27
mta7.am0.yahoodns.net. 16 IN A 74.6.137.64
mta7.am0.yahoodns.net. 16 IN A 98.137.159.25
mta7.am0.yahoodns.net. 16 IN A 98.136.102.54
ns1.yahoo.com. 188448 IN A 68.180.131.16
ns5.yahoo.com. 188448 IN A 119.160.253.83
ns4.yahoo.com. 188448 IN A 98.138.11.157
ns2.yahoo.com. 188449 IN A 68.142.255.16
ns3.yahoo.com. 191591 IN A 203.84.221.53
ns1.yahoo.com. 188448 IN A 68.180.131.16

;; Query time: 33 msec
;; SERVER: 201.48.156.xxx#53(201.48.156.xxx)
;; WHEN: Tue May 22 22:54:42 -03 2018
;; MSG SIZE rcvd: 946

O nome do servidor vulnerável e o seu respectivo endereço IP foram sanitizados na resposta. Esse host também está vulnerável à amplificação e reflexão de ataques DoS

Diagnóstico de DDoS no Brasil

Diante do cenário descrito, em que a negação de serviço é uma técnica de ataque cibernético persistente ao longo do tempo, utilizada cada vez com maior frequência e volume de banda e, recentemente, empregada por estados em conflitos internacionais, aprofunda-se a necessidade de monitoramento dessa vulnerabilidade que permite que equipamentos situados no espaço cibernético brasileiro sirvam como infraestrutura de ataques de negação de serviço contra alvos nacionais ou internacionais.

Assim, no intuito de diagnosticar o cenário de infraestrutura de negação de serviço disponível no Brasil, o DefCon-Lab conduziu um segundo mecanismo de defesa ativa, a aplicação de técnicas avançadas de coleta em massa por meio de mecanismos convencionais e não-invasivos.

O mapeamento global dos servidores DNS se concentrou em identificar os hosts que apresentaram resposta UDP na porta 53, considerando o espaço amostral do IPV4. Foi solicitada a resolução de nome de domínio para verificar se aceitavam a consulta recursiva a partir de fora da sua rede.

O resultado positivo da consulta recursiva indica que o servidor DNS poderia integrar infraestrutura para realização de campanhas de ataques de negação de serviço.

No caso do Brasil, além da identificação da vulnerabilidade, os endereços foram geolocalizados por meio da base de dados da MaxMind.

Mapeamento dos DNS abertos

Diante do contexto de agravamento dos ataques de DDoS, o DefCon-Lab conduziu uma pesquisa no intuito de contextualizar e revelar tendências sobre o cenário de ataques de negação de serviços no mundo, com ênfase no Brasil. Para tanto foram empregadas técnicas de coleta em massa, que permitem realizar inventário de ativos na internet.

Encontramos mais de 9 milhões de servidores DNS, dos quais cerca de 3.7 milhões (41%) estão suscetíveis a consultas recursivas a partir de qualquer origem.

Total de servidores DNS por país

O Brasil é o 4º país no ranking mundial de servidores DNS com 382.290 hosts, dos quais 149.304 (39%) são recursivos abertos, ocupando a 5ª colocação mundial em números de hosts vulneráveis. Quando considerado globalmente, o resultado brasileiro representa aproximadamente 4% dos DNS suscetíveis a consultas recursivas abertos de toda a internet

Total de servidores DNS recursivos abertos por país

O mapa abaixo ilustra a taxa de servidores  DNS vulneráveis considerando o total de servidores identificados, sendo os valores exibidos no mapa correspondem ao percentual de hosts com DNS recursivo aberto.

Ver mapa em tela cheia.

Em comparativo do resultado relativo nacional, com 39% de servidores vulneráveis, o Brasil ocupa a 99ª posição na lista dos países que possuem mais servidores DNS vulneráveis, sendo que a média apresentada foi de 41,83% de servidores suscetíveis a consultas recursivas de origens indiscriminadas.

Se descartamos da análises países que apresentem menos de 1.000 servidores DNS (0,1% do total), com vistas a minimizar comparações impróprias entre os países, o Brasil melhora para a 49ª posição relativa, mas ainda assim um resultado muito ruim.

Numa perspectiva regional o resultado brasileiro foi pior que o apresentado pelo Chile (29%), mas melhor do que os demais países sul-americanos.

Embora se trate de vulnerabilidade notória e antiga, os servidores DNS suscetíveis a consultas recursivas identificados no Brasil estão distribuídos entre 2.598 diferentes ISP (sigla em inglês para Provedor de Serviço Internet) brasileiros, o que demonstra a sua pulverização. Esse resultado pode ser explicado pela ausência de entidade nacional dotada de atribuição normativa para monitoramento dessa vulnerabilidade, notificação quando da sua detecção e coordenação de sua solução.

Servidores DNS recursivos abertos por ISP no Brasil. Clique aqui para visualizar as planilhas em tela cheia e com os filtros habilitados.

Além da pulverização entre muitos AS, foi possível observar que os maiores AS brasileiros possuem grande número de equipamentos suscetíveis a consulta recursiva. Os resultados demonstram que há concentração de 60% dos equipamentos vulneráveis em apenas 3 sistemas autônomos brasileiros.

Em mais 97 mil casos foi possível identificar o Dnsmasq como sistema gerenciador do DNS. Por ser customizado para equipamentos com recursos restritos, o Dnsmasq é o software embarcado em muitos roteadores de pequeno porte, o que permite inferir que grande parte dos servidores DNS vulneráveis são de uso doméstico.

Logo, as características dos equipamentos que atualmente se encontram vulneráveis no espaço cibernético brasileiro – dentre os quais equipamentos classificados como IoT – demonstram a complexidade e a escala do tratamento e contenção do problema descrito.

Por outro lado, há evidencias de que em pelo menos 700 casos os equipamentos são utilizados em redes corporativas, ou seja, não refletem usuários domésticos, os quais seriam presumidamente menos cuidadosos com boas práticas de segurança cibernética. Esses casos foram classificados como tal de acordo com os banners obtidos nas consultas e a presença de domínio reverso que indicam o uso de endereço IP estático.

Esse volume elevado de vulnerabilidades nos principais AS brasileiros demonstra que não há interlocução entre eles e as entidades responsáveis pela segurança cibernética brasileira. O saneamento das mesmas se torna encargo exclusivo dos provedores, sem coordenação ou supervisão por entidade pública.

As raízes do problema

O cenário apresentado acima indica que os ativos de informação nacionais estão suscetíveis a serem utilizados como plataforma para ataques de DDoS. A persistência dessa modalidade de ataque pode ser creditada à incapacidade de saneamento de vulnerabilidade notória por parte dos defensores.

Numa perspectiva proativa é possível interpretar os dados atuais como subsídio informacional para tomada de decisão em nível político, de modo que as causas da exposição sistêmica a esse tipo de vulnerabilidade podem ser inferidas.

Em uma análise relativa do resultado brasileiro frente ao demais países que apresentam os melhores resultados, verifica-se que a governança da dimensão cibernética pode ser a principal razão que não permite sanear o presente problema em nível nacional.

Tomando como referência os casos de sucesso identificados, quais sejam, os 22 países cuja proporção de servidores DNS recursivos abertos se mostrou abaixo do desvio padrão global (22%) e possuem ao menos 1.000 hosts com esse serviço habilitado, sendo possível formular hipóteses sobre os motivos da sua menor exposição a essa vulnerabilidade.

O grupo dos 22 países que apresentou menor exposição a vulnerabilidade do DNS recursivo aberto é heterogêneo, não sendo reconhecível padrão geográfico ou político-econômico.

A lista dos países, distribuídos de acordo com o continente é a seguinte:

  • África: Seychelles;

  • Ásia: Singapura, Hong Kong, Israel e Qatar;

  • Europa: Alemanha, Bélgica, Chipre, Eslovênia, Estônia, França, Holanda, Irlanda Lituânia, Luxemburgo, Macedônia, Reino Unido e Suécia;

  • América do Norte: Belize, Canadá, Estados Unidos e Ilhas Virgens Britânicas.

De posse desse conjunto de 22 países foi possível observar que em 18 deles há um modelo de governança claro e funcional para a dimensão cibernética, no qual a divisão de atribuições é explícita. Neles, entidades públicas são afetadas com a competência de coordenação e supervisão de entidades públicas e privadas com a finalidade de garantir a segurança e soberania cibernética.

Dos quatro países em que não se pode observar se há ou não modelo claro de governança – Belize, Ilhas Virgens Britânicas, Macedônia e Seychelles – destaca-se o fato de serem países diminutos territorialmente (dois deles insulares), o que sugere alta concentração de servidores de DNS em poucas instituições.

Há variação quanto a natureza civil ou militar das entidades responsáveis pela governança nacional na área cibernética, contudo se observou a presença de conselhos de nível nacional – dotados de competência deliberativa e normativa – associados a entidades públicas responsáveis pela operacionalização dessas normas e diretrizes.

Lista de países com baixa quantidade de servidores DNS recursivos abertos e que possuem um modelo de governança claro e funcional para a dimensão cibernética

Assim, uma hipótese verossímil para o melhor resultado apresentado pelos 22 países supramencionados parece ser a existência de instrumentos de governança cibernética claramente estabelecidos em nível nacional.

Quanto às atribuições das entidades públicas responsáveis pela governança cibernética nesses 18 países, observou-se que a maioria possui mandato normativo explícito para as seguintes ações em redes e ativos de informação nacionais:

  • Diagnóstico/identificação de vulnerabilidades;

  • Avaliação de riscos cibernéticos;

  • Notificação de incidentes;

  • Estabelecimento de recomendações de boas práticas de segurança;

  • Verificação da aderência às boas práticas de segurança estabelecidas.

Necessidade de uma entidade responsável pela governança cibernética nacional 

Diante da realidade brasileira na qual se diagnosticou a ampla exposição de ativos de informação à exploração de ataques de DDoS (39% do total), bem como de copiosos exemplos em que a presença de uma entidade responsável pela governança cibernética nacional proporcionou resultados expressivos em termos de defesa e segurança cibernética, forçoso concluir que uma nova ação de governança cibernética em nível nacional deve ser adotada.

No caso brasileiro foi possível observar a concentração da vulnerabilidade em grandes provedores de conexão, fato que evidencia a insuficiência dos atuais mecanismos de governança cibernética, pois mesmo os grandes provedores não atendem boas práticas de configuração em suas redes. Presumidamente eles seriam mais acessíveis e aderentes a medidas preventivas e boas práticas de segurança cibernética.

Embora não exista entidade central responsável pela governança cibernética nacional, existem diversas partes interessadas no ecossistema de segurança cibernética nacional, dentre as quais se destacam:

  • O CTIR Gov (Centro de Tratamento de Incidentes de Segurança de Redes de Computadores da Administração Pública Federal), por sua vez, possui atribuição setorial, restrita ao tratamento de incidentes apenas da Administração Pública Federal.

    O cenário de vulnerabilidades apresentado extravasa a esfera federal – incluindo o Poder Judiciário, o Poder Legislativo, o Ministério Público e as Forças Armadas –, as esferas estadual e municipal e, na sua maior parte identificado na iniciativa privada, totalmente fora do escopo de atuação dessa entidade. Trata-se, portanto, de um problema de amplitude nacional que não pode ser alcançado por uma entidade dotada de competência setorial (parcela do setor público).

  • O CAIS – Centro de Atendimento a Incidentes de Segurança – vinculado à Rede Nacional de Ensino e Pesquisa (RNP) seria outra parte interessada com longa tradição no tratamento de incidentes. Contudo, assim como o CTIR Gov, a sua abrangência operacional tem caráter setorial.

  • O CERT.br (Grupo de Resposta a Incidentes de Segurança para a Internet brasileira) contribui de forma relevante e indispensável para a formação de pessoal qualificado no tratamento de incidentes no Brasil. Contudo, as atribuições institucionais que possui não permitem alcançar um problema dessa dimensão. Dentre as atividades conduzidas pela entidade destaca-se a seguinte: “IV – promover estudos e recomendar procedimentos, normas e padrões técnicos e operacionais, para a segurança das redes e serviços de Internet, bem assim para a sua crescente e adequada utilização pela sociedade”.

    Observa-se que não há cogência aos procedimentos, normas e padrões técnicos e operacionais, apenas recomendação. Igualmente não há autoridade para realizar a coordenação de ações entre diferentes entidades públicas e privadas para atingimento de parâmetros mínimos de segurança e não há a atribuição de notificar vulnerabilidades detectadas na escala identificada pelo presente relatório.

Existem outras entidades públicas e privadas que possuem grupos de resposta e tratamento de incidentes (ex: entidades financeiras), contudo, são especializados e com atuação ainda mais limitada em abrangência que os anteriores. São capazes de atuar com propriedade em setores produtivos peculiares, sem, contudo, conduzir ações em nível nacional.

Nenhuma das entidades citadas possui a atribuição legal, os recursos humanos ou materiais, tampouco a experiência institucional para condução de diagnóstico e tratamento de ocorrências sistêmicas presentes em ambiente público e privado dessa amplitude.

O saneamento de um cenário tão agudo quanto o apresentado requer da entidade escolhida para tal missão a capacidade de atuar em uma escala sem precedentes, em parceria com diversos setores públicos e privados, auxiliando a coordenação e integração entre as múltiplas entidades envolvidas.

Demanda a capacidade técnica de atuar sobre redes que não estão sobre a sua tutela – sob o controle de diferentes entidades públicas e privadas – de modo proativo e numa escala nacional, o que certamente demandará grande quantidade de pessoal dotado de conhecimento técnico em seus quadros.

Conclusão

No caso de ataques de negação de serviço por reflexão UDP, o atacante sai duplamente favorecido, pois além de ter o tráfego amplificado em várias vezes, ele também ganha camadas de anonimização, uma vez que o endereço IP que chega no alvo é o do servidor que refletiu o tráfego. 

Observa-se uma crescente oferta de terceirização de ataques de DoS, num processo denominado de DDoS-as-a-Service, por meio do qual há a especialização na prestação de serviços criminosos. O DoS pode se apresentar de diferentes formas: hacktivismo, concorrência desleal, extorsão ou mesmo como arma cibernética em conflitos internacionais entre estados.

O Brasil possui 149.304 (39% do total) servidores DNS recursivos abertos. O país ocupa a 5ª colocação mundial em números de servidores vulneráveis à recursão e amplificação de DoS. 

A atual conformação da governança cibernética brasileira não se mostra suficiente para sanear problemas dessa envergadura, o próprio resultado de 39% de equipamentos que aceitam consultas recursivas é evidência disso. A distribuição entre atores privados e públicos dessa vulnerabilidade torna urgente a ponderação sobre uma reorganização institucional.

Embora existam no Brasil centros de coordenação, tratamento e respostas a incidentes em nível nacional, eles estão restritos em sua atuação a setores específicos, não são dotados de recursos materiais e atribuição institucional para coordenar ações entre múltiplos atores públicos e privados em âmbito nacional. Tais fatores explicariam a persistência e a amplitude de uma vulnerabilidade antiga e notória como os servidores DNS recursivos abertos no cenário nacional.

Uma alternativa seria a indicação de uma entidade que assuma as funções de supervisão e coordenação em nível nacional que:

  • Atue de forma proativa na identificação de vulnerabilidades sistêmicas;
  • Reduza a incidência ameaças cibernética ao impedir o uso de infraestrutura brasileira como plataforma de ações cibernéticas ofensivas; e
  • Salvaguarde a soberania brasileira sobre a dimensão cibernética por meio da proteção de ativos de informação de interesse nacional.