RNP > RNP na mídia > 2009

Brasil estaria preparado para um ataque cibernético de larga escala?

O Globo

24.08.2009

RIO - Entrevista com Alexandre Grojsgold, diretor de operações da Rede Nacional de Ensino e Pesquisa (RNP - www.rnp.br ), em colaboração com o Centro de Atendimento a Incidentes de Segurança (CAIS/RNP - www.rnp.br/cais ), grupo de segurança dessa organização.

Estaríamos preparados para um DDoS pesado?

A.G.: É difícil afirmar. Não há como saber se todas as operadoras de telecom no país são preparadas para combater este tipo de ataque, trata-se de uma questão que envolve vários fatores - de recursos tecnológicos, tratamento de incidentes de segurança.

Ataques de negação de serviço (DDoS) buscam gerar um tráfego tão intenso na rede a ponto de congestioná-la, tornando-a inutilizável por certo período de tempo. O ataque contra a Estônia envolveu uma botnet - rede de computadores infectados que aceitam comandos - de tamanho considerável, o que tornou o ataque ainda mais distribuído e difícil de ser contido. Em termos de tráfego, as medidas da Arbor Networks (arbornetworks.com) indicaram quase 100 Mbps em certos momentos.

Existem equipamentos no mercado capazes de identificar e filtrar tráfego de rede excessivo, que acreditamos estarem sendo usados pelas operadoras. Além disso, a colaboração entre grupos de segurança (CSIRTs) no país, como o Centro de Atendimento a Incidentes de Segurança, o CAIS, da RNP, tem se fortalecido muito nos últimos anos, o que certamente contribuiria para uma resposta multilateral no combate a este problema.

Entretanto, ataques de negação de serviço podem ser muito bem articulados, podendo ser iniciados de forma simultânea a partir de milhões de sistemas, o que dificultaria bastante a possibilidade de um combate efetivo a este problema por parte das operadoras.

Se algum grupo de crackers decidisse parar a nossa internet brasileira, conseguiria?

A.G.: Acreditamos ser improvável que isto aconteça. A própria natureza da internet, organizada em unidades autônomas, é descentralizada. No Brasil não é diferente.

É bom lembrar que a Estônia não é um bom exemplo de parada de internet, especialmente em comparação com o Brasil. O território da Estônia é quase 200 vezes menor que o nosso. Além disso, é um país com um nível acima do normal de informatização, desde o cidadão até o governo, o que agravou o impacto daquele ataque. Sendo um país de dimensões menores, a quantidade de provedores é menor, o que consequentemente limitou as opções de reação a um ataque dessa magnitude. Durante o período do ataque a Arbor Networks, por exemplo, mediu 128 ataques DDoS únicos contra a Estônia, 115 deles do tipo ICMP flood (http://n1sun.tk) - um tipo bem primário de ataque.

Outro fato importante diz respeito à motivação dos ataques. O ataque contra a Estônia partiu em grande parte da Rússia por motivações políticas. No momento não temos conflito semelhante no Brasil.

Dada a quantidade de operadoras de telecom presentes no país, é dificil imaginar um ataque orquestrado que sobrecarregasse a infraestrutura de todas ao mesmo tempo, parando a internet brasileira por completo.

A RNP, por exemplo, conta com múltiplas conexões internacionais para troca de tráfego e estabeleceu uma infraestrutura bastante distribuída no país, o que lhe permite, no caso de ataque em um determinado ponto da rede, escoar o tráfego através de uma rota alternativa.

Assim, a possibilidade de se "parar a Internet" é remota. No entanto, o que pode acontecer é um provedor com um número grande de usuários ser vítima de um ataque tão bem estruturado que cause instabilidade nos serviços por ele oferecido. Temos um caso recente de um grande provedor de internet banda larga, em que o acesso dos seus clientes foi prejudicado por algumas horas.

Que mecanismos temos funcionando o tempo todo para nos proteger?

A.G.: As equipes técnicas e de segurança de grandes operadoras são responsáveis por monitorar e intervir quando ataques em grande escala ocorrem. Existem equipamentos hoje especializados em analisar o tráfego de rede e gerar alarmes quando algum ataque acontece. A comunicação e parceria entre grupos de segurança de redes é uma constante também, e auxilia bastante no processo.

Que mecanismos poderiam ser acionados caso desconfiássemos que um ataque assim estivesse começando?

A.G.: Para as equipes de segurança e de redes de operadoras de telecom, podem ser utilizados filtros de redes, redirecionamento de tráfego ou mesmo o contato com os provedores das redes atacantes. Todos estes mecanismos podem contribuir para a mitigação ou encerramento do ataque.

Para usuários de computadores, é imprescindível comunicar imediatamente o provedor de internet contratado. Quanto antes o ataque for identificado, mais cedo o problema pode ser amenizado ou resolvido.

fonte: http://oglobo.globo.com/tecnologia/mat/2009/08/24/brasil-estaria-preparado-para-um-ataque-cibernetico-de-larga-escala-767290606.asp