O site da sua empresa foi atacado. E agora? O que fazer?

O time responsável pelos servidores de um site sempre sofre quando acontece um ataque virtual. Nessa onda de protestos do grupo de hackers como o Anonymous, por exemplo, tem muita empresa de infraestrutura web tendo que trabalhar dobrado para resolver os danos causados por esses impulsos. E os primeiros momentos da "guerra" exigem ações rápidas para evitar maiores danos.

Existem dois tipos de ataques: os de negação de serviço, conhecidos como DDoS (Denial of Service, na sigla em inglês), e as invasões. Em cada um dos casos, a equipe que coordena os servidores deve agir de uma maneira diferente. Segundo Guilherme Bistolfi, analista de segurança da Ananke, nos ataques de negação, o fluxo de acessos do site muda - ou seja, de repente, um número de "pessoas" muito acima do normal tenta acessá-lo ao mesmo tempo. Portanto, é preciso identificar a causa dessa anormalidade.

Imaginem que o Olhar Digital está sendo atacado. O analista dos nossos servidores avalia de onde estão vindo os acessos, quem são as pessoas que estão acessando e quais as páginas que estão gerando esses acessos. Caso o motivo desse aumento de acessos não seja justificado por uma matéria bombástica (morte do Steve Jobs, por exemplo), eles percebem que estão sendo atacados.

Como os ataques DDoS utilizam uma rede de máquinas zumbis que tentam acessar ao mesmo tempo a página de um site, há uma sobrecarga no servidor que fica, então, impossibilitado de atender a todas as requisições simultâneas de acesso. É o mesmo que você abrir vários programas no seu computador ao mesmo tempo: uma hora, ele vai ficar lento e até travar. Para evitar que o servidor entre em colapso e pare de funcionar, o analista pede para que o seu fornecedor barre os acessos.

"É como se fosse um condomínio em que o prédio é o Data Center e o elevador é o link interno que leva as informações para o térreo (site). O que fazemos é pedir que o fornecedor barre os acessos desses computadores zumbis já na entrada do prédio, assim ele não cai. Imagine se o elevador fica lotado, o que pode acontecer”, brinca.

Já na invasão o esquema é bem diferente. De acordo com Guilherme, quando um hacker invade o site não há alteração do fluxo de acessos e é bem mais difícil identificar o ataque. Isso porque o hacker invade o site explorando uma falha na programação. Por se tratar de algo completamente diferente, as ações tomadas pelos analistas também divergem bastante. O primeiro passo das empresas de Data Center é iniciar um trabalho investigativo para encontrar o erro que foi explorado. "Se o site invadido tiver dados de terceiros o melhor a se fazer é tirá-lo do ar para encontrar com calma a vulnerabilidade e consertá-la", explica.

Na maioria dos casos de invasões, os responsáveis deixam mensagens dentro das páginas avisando que aquele site foi hackeado. Então, segundo Guilherme, o ideal é retirar essa mensagem do ar e monitorar o site para que, quando a pessoa voltar a inserir a mensagem, fique mais fácil de descubrir onde está a falha. "Se houver mensagem e se o site não possuir informações confidenciais, dá para aguardar o hacker invadir de novo e pegá-lo no flagra", comenta.

Ambos os casos são bastante comuns, segundo Guilherme. Mas, os métodos são utilizados em situação diferentes. Enquanto o DDoS tem conseqüência imediata (derruba o site), as invasões deixam seqüelas, especialmente se dados confidenciais do site forem roubados. Grupos como o Anonymous trabalham com as duas modalidades, porém, dependendo da situação eles avaliam qual é a melhor forma. Para fazer retaliações, como o que aconteceu com o site do FBI, eles optam por ataques rápidos e certeiros de DDoS. Já para expor corrupções ou fraudes, eles preferem perder um pouco mais de tempo e encontrar vulnerabilidades nos sites, assim, eles conseguem publicar informações confidenciais.