Sobre os últimos ataques DDoS

Os mais recentes ataques DDoS, dirigidos a sites governamentais Americanos e Sul-coreanos, trouxeram novamente o problema da negação de serviço aos cabeçalhos (ainda há pouco falávamos sobre isto no DSF). O impacto, aparentemente, não foi grave: não foram atingidos serviços críticos. E desta vez, tal como tem vindo a acontecer com maior frequência, os ataques foram suportados por máquinas em botnets.

Este facto constitui, parece-me, o aspecto mais relevante, aquele que merece a maior atenção e que levanta as questões principais: como reforçar a segurança das estações e, com isso, evitar o seu "recrutamento"? Como alertar a consciência e melhorar o comportamento das pessoas em face do problema do software malicioso? Em ambos os casos, ao contrário do que seria desejável — e mais fácil — a solução passa mais por decisões de carácter processual (e até económico) do que técnico.

Não há uma silver bullet para resolver estas questões. No entanto, mesmo sabendo que a componente técnica é apenas uma parte do problema, há controlos que podem ser reforçados. Por exemplo, conhecendo a permeabilidade das configurações-base que são definidas à saída da loja, poderíamos definir um conjunto de controlos mínimos que, ao serem activados logo no início, reduzissem a superfície exposta. Exemplos? Meia dúzia. Bom, meia dúzia mais três:

  1. Firewall activa, sem excepções;
  2. Actualizações automáticas do sistema operativo e aplicações;
  3. Execução em contexto sem privilégios — contas de utilizadores;
  4. Inibição da instalação automática de plugins, e.g. ActiveX;
  5. Inibição da execução de macros em ferramentas de produtividade;
  6. Inibição da execução automática de media — auto-runs;
  7. Execução exclusiva de programas instalados;
  8. Instalação de programas apenas em modo privilegiado, e, claro,
  9. Antivírus / anti-spyware / anti-malware.

Estes controlos incidem apenas na componente técnica; na componente processual, que passa pelo reforço das práticas dos utilizadores, penso que o esforço deve ser canalizado para a consciencialização e aconselhamento sobre os riscos e os melhores controlos — É imperativo investir na consciencialização das pessoas para as ameaças e os riscos que estão presentes: enquanto as pessoas não compreenderem o problema, não vão mudar os comportamentos. Sugestões? Estas são mais difíceis: escolher um conjunto que seja, de facto, eficaz e exequível, é um trabalho que fica para um dos próximos posts ; ) ... mas o vosso contributo é bem vindo. Sugestões, anyone?