A F5 acaba de anunciar os resultados da pesquisa “Regional Threat Perspectives, Fall 2019: Latin America”, levantamento realizado pelo F5 Labs a partir de eventos mapeados durante os últimos meses de 2019. O relatório mostra que a presença da América Latina no mapa mundial de ataques é bastante expressiva: 37% de todo o tráfego malicioso do mundo é gerado por países desta região.
O Brasil sai na frente como ponto de origem de ataques digitais contra a América Latina; em segundo lugar vêm a Venezuela, seguida pela Itália. Os outros países da região que se destacaram no levantamento da F5 são a Costa Rica (sétima posição), a Argentina (décima primeira posição) e Colômbia (décima sexta posição).
O endereço IP representa um dispositivo (computador ou equipamento de rede, tradicional ou virtual) conectado à Internet. O IP de origem pode informar a localidade de onde partiu o ataque e, conforme o nível da investigação, chega a revelar o nome (razão social) da empresa de onde o malware foi disparado. A porta de comunicação, por outro lado, dá acesso a uma aplicação específica – e-mail, navegador Web etc. – que utiliza os recursos de dispositivos conectados à Internet. A porta em situação vulnerável é alvo de ataques, sendo descoberta por meio de scans.
“A América Latina também é alvo de ataques de outras nações: EUA, Holanda, Moldávia, China e Rússia invadem sistemas na nossa região”, diz Hilmar Becker, country manager da F5 Networks Brasil. O Brasil ataca tanto a América Latina como outros continentes. “Tráfego malicioso disparado de endereços IP do Brasil foi identificado nas redes de todos os países do mundo; isso mostra a agressividade do código dos ataques gerados no Brasil”. Venezuela e Argentina, por outro lado, somente atacam a América Latina.
A pesquisa chegou ao detalhe de identificar o nome e o país de origem das empresas donas dos endereços IPs que são a fonte dos ataques digitais. “As operadoras de Telecom, presentes em todo o contexto mapeado pelo F5 Labs, informam a razão social das empresas para quem entregam endereços IP. Essa regra traz visibilidade sobre qual seria a empresa de onde surge o ataque”, detalha Becker.
Na lista das 50 maiores fontes de ataques digitais (empresas), o Brasil tem sete organizações identificadas. A Coréia do Sul apresenta o mesmo número de empresas. Todas as empresas brasileiras da lista produzida pelo F5 Labs são identificadas como LTDA (limitada), ME ou Eirelle. Dentro da legislação brasileira, essas classificações costumam identificar empresas pequenas ou que pertencem a apenas uma pessoa.
“Ainda assim, é importante ter cautela na hora de identificar os culpados pelos ataques”, ensina Becker. Os gestores das empresas onde se originam esses ataques nem sempre possuem ciência dessas atividades. É possível que a fonte de ataques seja um equipamento comprometido, sob controle de hackers. Criminosos digitais podem, ainda, mascarar o IP real de origem com o uso de proxies. Isso é feito para que apareça como responsável do ataque um IP que, na verdade, não teria nada com isso.
Criminosos buscam portas de comunicação em configuração default
O outro lado da atividade criminosa – a realização de scans para identificar portas de comunicação em situação vulnerável – também foi mapeada pela pesquisa da F5 Networks. “Há um claro foco dos criminosos digitais em identificar portas padrão SMB 445 – uma das portas mais usadas em ambientes corporativos, comum em drives de computadores e de dispositivos de rede – com falhas de segurança”, diz Becker. O grande objetivo costuma ser a extração de informações críticas como dados sobre clientes, detalhes estratégicos sobre novos produtos etc.
Muitas portas são configuradas de forma default, numa política em que se privilegia o acesso ao recurso aberto pela porta e somente num segundo momento – em alguns casos, depois de um ataque – configura-se restrições a esse acesso. “Essa política muitas vezes deixa as empresas expostas a ataques, já que toda configuração default é uma informação pública”, alerta Becker. Isso vale para identidade (user name) e senhas de acesso. “Para vencer esse desafio é fundamental rever a política de senhas de dispositivos e de gerenciamento de identidades da empresa usuária”.
Ambientes SoHo também estão sob ataque
Em ambientes SoHo (Small Office, Home Office), o alvo dos criminosos digitais são portas 8291, muito comuns em roteadores domésticos. O mesmo perfil é compartilhado pelas portas 7547, muito usadas por ISPs para gerenciar roteadores de pequeno porte. Se configurações default estão presentes no mundo corporativo, isso é ainda mais comum no universo SoHo. “Nesse segmento, o grande objetivo dos criminosos digitais é utilizar portas em situação de vulnerabilidade para organizar ThingBots”, ressalta Becker.
O resultado disso são fenômenos como a BotNet Mirai, de 2016, que fez história ao escravizar milhões de dispositivos IoT e utilizá-los em um dos maiores ataques volumétricos (DDoS) da história. A Mirai segue produzindo estragos, agora em versões atualizadas. Para os experts do F5 Labs, a infraestrutura IoT é um dos alvos preferenciais dos criminosos digitais na América Latina.
O relatório mostra, ainda, que uma das portas mais visadas é a MySQL 3306, presente tanto em ambientes com grandes bases de dados (de aplicações tradicionais às milhares de Web Applications sendo lançada no mercado) como em dispositivos IoT.
“Grandes portais Web – de Internet Banking e e-Commerce a portais de notícias –, são alvo de ataques em que portas vulneráveis permitem o acesso a bases de dados SQL, algo que produz estragos muito grandes”, diz Becker. O uso das portas MySQL 3306 por criminosos é prejudicial para os negócios porque as empresas desejam que seus negócios digitais estejam acessíveis para os clientes; dentro deste contexto, a filtragem do tráfego pode ser desafiadora.
Web Application Firewalls: segurança sem o bloqueio massivo de portas
Essa vulnerabilidade segue presente mesmo quando a empresa usuária utiliza firewalls de rede tradicionais, que tendem a bloquear a porta para evitar acessos. Isso pode deixar do lado de fora clientes, investidores etc. Uma solução para esse impasse é utilizar WAFs (Web Application Firewalls) como o F5 ASM. Essa tecnologia usa inteligência artificial para “ler” as demandas da aplicação que suporta o negócio, identificar o que é um acesso válido – dando vazão a isso – e bloquear o que é um ataque. “O acesso à base de dados SQL passa a acontecer a partir de um critério mais refinado, sem que portas de acesso sejam bloqueadas de forma massiva”, explica Becker.
Trata-se de uma gestão caso a caso em que entra em cena, também, o F5 IP Intelligent Service, um serviço que mapeia a internet 24x7x365, classificando IPs em diferentes categorias de risco. Isso é feito com base em atividades maliciosas geradas a partir desses IPs. A integração entre o F5 IP Intelligent Service e o F5 ASM produz uma abordagem de segurança inteligente, em que o acesso à porta não é bloqueado, mas, mesmo assim, a integridade dos dados está garantida.
A inteligência F5 também atua no centro da nuvem – os grandes datacenters – protegendo o acesso a portas que dão vazão a milhões de acessos e transações por segundo. Isso é feito com o firewall F5 Advanced Firewall Management (AFM), que também usa o F5 IP Intelligence Service para estar atualizado. “A soma dessas tecnologias e serviços garante a continuidade da economia digital, algo crítico para o crescimento do Brasil em 2020”, resume Becker.