Serviço antispam Spamhaus. (Divulgação)
Diversos veículos de imprensa noticiaram o “maior ataque cibernético da história” nesta quarta-feira (27). A BBC e o New York Times chegaram a dizer que a Internet inteira estava mais lenta devido ao ataque – uma informação bastante absurda, mas que no entanto foi publicada também aqui no Brasil, em sites como o Tecnoblog, que fez um texto recheado de informações incorretas.
É bom deixar claro: a Internet não está em risco. E é muito difícil que um ataque desse tipo interfira com o funcionamento da Internet de maneira prolongada.
Quer uma prova de que tudo está bem? Ora, abra seu navegador web e navegue. Quer outra? o site vítima do ataque, o Spamhaus, está on-line! Se até a vítima do ataque está on-line, por que o resto da Internet estaria sofrendo consequências significativas?
O que é o ‘maior ataque’?
O “maior ataque” que está sendo noticiado é um ataque de negação de serviço distribuído refletido (DRDoS, na sigla em inglês). Ele se aproveita de duas falhas em serviços de internet: a falsificação de origem (“IP address spoofing”) e servidores DNS recursivos abertos. (Um servidor de DNS é um computador que permite a você acessar endereços como “linhadefensiva.org“; se quiser ler mais sobre isso, veja aqui).
Graças ao spoofing de endereço IP, um hacker pode fazer uma solicitação como se fosse qualquer outra pessoa na internet. Isso é um problema, mas não muito grande, porque o protocolo TCP, usado, por exemplo, para acessar sites da internet, faz uma verificação de resposta durante a conexão, que impede a falsificação. No entanto, o DNS usa outro protocolo, o UDP, que não faz essa verificação.
Um servidor de DNS recursivo aberto é aquele que aceita pedidos de qualquer computador na internet, quando ele deveria ser configurado para responder somente alguns internautas (de um determinado provedor ou de uma empresa).
Com isso nas mãos, o que o hacker faz é enviar solicitações em nome do alvo para servidores de DNS. A resposta desses servidores, portanto, será encaminhada ao alvo e não aos computadores do hacker. O truque está em essa resposta ser maior (bem maior) do que a solicitação. Com isso, ocorre um “milagre de multiplicação” e um hacker pode realizar um ataque cem vezes mais pesado do que a conexão que ele possui.
Hackers amplificam o volume de dados usando servidores mal configurados. (Arte/LD)
No “maior ataque” noticiado, foram uados 30.000 servidores DNS recursivos abertos. Com o fator de multiplicação de cem vezes, os hackers transformaram um ataque de 750 Mbps a 3 Gbps em um ataque de 75 a 300 Gbps.
Isso é suficiente para derrubar quase qualquer rede, não apenas um site. O volume de dados é certamente respeitável. No entanto, nenhuma informação foi roubada pelos hackers, já que o ataque de negação de serviço não viabiliza o acesso a informações confidenciais.
Embora seja “o maior ataque de negação de serviço” já registrado, existem outros ataques, como o Stuxnet, que destruiu centrífugas em usinas nucleares no Irã, que certamente são muito mais importantes do que uma tentativa (fracassada) de tirar um serviço antispam do ar.
Dar a este ataque o título de “maior ataque cibernético” oculta os ataques silenciosos que causam prejuízos bem maiores.
A quem interessa o ‘maior ataque’?
A CloudFlare é a empresa que está fornecendo o serviço de proteção usado pela Spamhaus para permanecer on-line. O ataque (e o sucesso da CloudFlare em manter o site on-line) é uma excelente propaganda para a empresa, que é bem jovem: iniciou as operações em setembro de 2010.
Por que ocorreu o ataque?
O Spamhaus mantém uma lista antispam que, por sua tradição, é confiada por administradores de sistemas no mundo todo para bloquear endereços IP que enviam lixo eletrônico. Recentemente, a Spamhaus bloqueou um provedor holandês chamado Cyberbunker. O nome do provedor se deve (segundo ele próprio) ao fato que ele está localizado em um antigo bunker da OTAN.
Acredita-se que o ataque seja uma retaliação do grupo que mantém o provedor ao Spamhaus. Caso o Spamhaus fosse derrubado, o serviço de bloqueio deixaria de funcionar e e-mails poderiam continuar sendo enviados pela rede do Cyberbunker.
O caso lembra outro que ocorreu em 2006 com uma empresa antispam chamada Blue Security. O ataque sofrido pela empresa, na época, derrubou serviços de blog como LiveJournal e TypePad, deixando milhares de sites fora do ar. Isso não ocorreu dessa vez.
Por que a internet não quebrou?
Globalmente, 300 Gbps não são capazes de causar grandes prejuízos. Em um nível local, esse volume é suficiente para saturar provedores inteiros. Mas nada aconteceu, por alguns motivos:
- Distribuição: a CloudFlare usa uma rede distribuída para lidar com ataques. Quando o Spamhaus passou a ser defendido pela CloudFlare, os ataques foram quebrados em pedacinhos que não causam nenhum impacto global ou local.
- Buraco negro: apesar disso, a rede da CloudFlare em Londres ainda sofreu um ataque muito forte. A rede local desligou os serviços da CloudFlare, levando as partes do ataque para outro lugar.
Sempre que um ataque de negação de serviço não pode ser tolerado por uma rede local, há duas possibilidades: o endereço alvo vai para o “buraco negro”, o que interrompe o ataque, ou então o ataque é finalmente notado por operadores de telecomunicação e pelos administradores de serviço. Quando o ataque é notado, medidas são tomadas para interromper o abuso da rede, o que, aos poucos, reduz a força do ataque.
O ataque contra a Spamhaus começou no dia 18 de março e se prolongou justamente por sua fraqueza local: os DNSs recursivos abusados no ataque estavam gerando em média apenas 2,5 Mbps de tráfego. Com o ataque “picotado”, os responsáveis pelo ataque podem tentar a sorte e montar a força local de cada ataque, mas isso aumenta as chances de o esquema ser descoberto e tudo ruir de vez para os hackers.
Inverdades
Vale usar esse espaço para corrigir algumas inverdades, conforme publicadas pelo Tecnoblog:
O grupo por trás dos ataques está usando uma botnet gigantesca para tentar tirar a Spamhaus do ar, mas como não conseguiu no primeiro momento, eles mudaram de tática. Agora, o grupo se utiliza de uma falha antiga e já bastante conhecida em servidores DNS. Eles enviam pacotes modificados para tais servidores que, por causa da falha, acabam enviando uma grande quantidade de pacotes para os servidores da Spamhaus, o que pode retirá-los do ar. Um ataque DDoS por DNS.
- As duas táticas não são excludentes: você pode usar uma rede zumbi feita por computadores infectados para, então, amplificar o ataque por DNS. Você pode, ainda, combinar as duas táticas (o que pode estar acontecendo).
- Os “pacotes” (dados) enviados ao DNS não são exatamente “modificados”. É uma solicitação legítima. A única diferença é que o endereço de origem é trocado para o do site alvo.
- Não é uma “falha” em servidores de DNS e sim um erro de configuração. A falha maior está na própria internet, por permitir o envio de solicitações com origem forjada.
Esse tipo de ataque é particularmente efetivo porque o DNS é uma parte essencial da infraestrutura da Internet. Os servidores de DNS não podem simplesmente ser desligados, ou isso tiraria a internet do ar.
- A internet não sairia do ar se o DNS fosse desligado. Teríamos, porém, de saber o número IP dos sites para conectar.
- Os servidores de DNS não precisam ser desligados para parar o ataque. Basta realizar uma modificação de configuração. O CERT.br tem um documento que ensina a fazer essa alteração. Ele é destinado apenas a administradores de sistema, claro.
- O Spamhaus não pode desligar o DNS porque o serviço de bloqueio do Spamhaus utiliza uma tecnologia chamada de DNSBL. Ou seja, o próprio serviço do Spamhaus é prestado por DNS para facilitar a consulta e a configuração dos servidores de e-mail que bloqueiam spam.
- Mesmo que não fosse necessário o DNS, o volume de dados é grande demais. Derrubaria a rede inteira do Spamhaus, independentemente de existir ou não um servidor DNS no endereço alvo.
O problema é que os servidores DNS não foram feitos para aguentar tanto tráfego e por isso usuários comuns já estão sendo afetados, impedidos de acessar serviços de email ou até mesmo streaming. Por enquanto, não vemos os efeitos desse ataque no Brasil, já que a maioria dos servidores DNS sendo usados para os ataques está concentrado nos EUA, Europa e na Ásia. Mas nada indica que a disputa vai terminar nos próximos dias – a tendência é apenas aumentar.
- DNS não tem nenhuma relação com streaming. O que alguns veículos de imprensa noticiariam foi que o volume de dados do ataque foi tão grande que diversas vias de conexão da internet estavam congestionadas, impedindo qualquer tráfego de passar. O streaming, por exigir muitos dados em tempo real, sofreria primeiro.
- Ninguém foi impedido de enviar e-mail. Caso um e-mail tenha falha no envio, são feitas novas tentativas. O protocolo de e-mail é bastante insistente para entregar uma mensagem e, diferente do streaming, pequenos atrasos não são suficientes para impedir a entrega de e-mail.
- O Brasil tem poucos servidores recursivos abertos, mas caso os cabos de fibra estivessem realmente congestionados, nós brasileiros também sentiríamos os efeitos do ataque ao acessar sites estrangeiros.
Enquanto os provedores de internet tiverem em sua infraestrutura servidores DNS com essa falha, os ataques continuarão acontecendo, ficando cada vez mais intensos. E os clientes desses provedores correm o risco de ficar sem acesso à Internet. A única saída é mesmo corrigir o bug. E de preferência, bem rápido.
- Caso os usuários fiquem sem conexão com a internet, podemos apostar que o problema vai ser rapidamente resolvido.
- Provedores de telecomunicação também devem adotar uma regra chamada BCP-38. A regra basicamente determina que um provedor só deve enviar para fora aquelas solicitações cuja origem está marcada para dentro da rede dele. É como uma agência de Correios em São Paulo rejeitar uma encomenda cujo remetente diz ser de Porto Alegre. Hoje, essa situação acontece o tempo todo na internet para ataques – e nenhuma das “encomendas” (pacotes de internet) são impedidos de trafegar.
Leia mais
- O Maior ataque de negação de serviço (DDOS) da História – 300Gbps (por Sandro Süffert)
Linha Defensiva 
Oi Althieres, ou o membro da equipe que escreveu o texto,
Eu escrevi o post no Tecnoblog. E queria deixar claro alguns pontos.
Fiz o texto com alguma pressa, tentando eu mesmo entender o que aconteceu nesse ataque. E por isso posso ter usado termos que não eram apropriados, simplifiquei demais outros termos, mas acredito que passei a essência da informação mesmo assim.
O fato é que: na área de redes raramente um ISP (ou empresas que lidam com eles, como a Akamai ou Cloudflare) libera informações técnicas precisas sobre QUALQUER tipo de ataque. Então quando isso acontece, sei que é uma coisa séria. E foi assim que interpretei, como um problema sério que aconteceu entre duas empresas e que poderia acontecer de novo.
Talvez seja uma ótima oportunidade para o Cloudflare vender o serviço, sim. Como uma empresa, eles visam o lucro e vão aproveitar a situação se assim quiserem. Mas dizer que a cobertura foi exagerada é, por ironia, um pouco de exagero. Pelo menos da minha parte, mostrei exatamente o que era: um ataque que está dentre os maiores já registrados, que usou a infraestrutura da internet e que pode ter afetado usuários na região.
No meu texto, eu disse que a infraestrutura da internet foi afetada. E pelo que entendi, DNS é uma parte da infraestrutura da internet. E se estão atacando DNS do Tier 1 e os deixando sobrecarregados, sim, ela foi afetada não importa sob qual olhar isso seja visto.
Você pode não achar, mas eu acho que ter um servidor DNS recursivo aberto é uma falha. Eles precisam ser configurados corretamente e enquanto não forem, ataques como esse vão continuar acontecendo. No final, é questão de semântica: o que é que define uma falha para você?
Outra coisa: eu nunca disse que o DNS tem a ver com streaming, disse sim que usuários podem ser afetados e impedidos de acessar serviços como serviços de email e [serviços de] streaming como o netflix. Deixei bem claro na parte “impedidos de acessar”, nunca disse que os serviços parariam de funcionar ou que usuários seriam impedidos de enviar emails. Houve um erro de interpretação da parte de quem escreveu o texto.
Sobre a parte do “Caso os usuários fiquem sem conexão com a internet, podemos apostar que o problema vai ser rapidamente resolvido.”, tenho que dizer que isso aconteceria de verdade em um mundo surreal e bucólico. No Brasil, vemos casos diários (eu mesmo vejo, na lista [caiu]) de problemas de conexão que se arrastam por horas a fio antes da empresa responsável consertar. Você pode apostar o quanto quiser, eu não arrisco um tostão furado.
Agradeço por ter apontado o que seriam “inverdades” no meu texto. Concordo com algumas delas. Mas o autor do texto mesmo cometeu erros de interpretação que eu fiz questão de apontar nesse comentário.
Como esse mesmo texto disse, 300 Gbps é um volume muito grande. E é o maior já registrado. Achei, e continuo achando, que é motivo para virar notícia.
Enfim, eu disse no começo do texto, usei sim, termos que podem não ter sido ideais e vou até corrigir o post original. Mas a essência dele, a informação de que um ataque aconteceu e que foi um dos maiores já registrados, é o que importa.
CurtirCurtir
Basicamente, você diz que fez o texto com base em achismo, deu uma informação errada, e culpa a pressa e a falta de informação autoritativa. Ou seja, você fez exatamente o mesmo que o resto da imprensa e errou junto com todo mundo.
Exceto por alguns sites já de tecnologia (como The Register), praticamente todo mundo errou parecido.
Isso não está correto. Não existe “DNS de Tier 1”, existe root DNS, que é outra coisa e são distribuídos mundialmente para não dar problema e eles não foram atacados. O ataque não sobrecarregou DNS; sobrecarregou por volume de dados.
Não é questão de semântica. Não existe problema no DNS. O problema é o UDP e conexões de saída não filtradas. Ataques DRDoS não precisam de DNS – qualquer serviço em UDP pode funcionar. O DNS é mais conveniente, porque é também o mais comum e o que permite maior fator de amplificação.
Para um administrador de sistema, uma falha de software (que exige atualização ou workaround) e um erro de configuração (que não vai trazer prejuízos e impedir abuso do serviço) são bastante diferentes.
Seu texto claramente diz que “O problema é que os servidores DNS não foram feitos para aguentar tanto tráfego e por isso usuários comuns já estão sendo afetados, impedidos de acessar […] até mesmo streaming”. “Por isso” estabelece relação de causa. Ou seja, você disse que tem a ver sim, mesmo que não quisesse dizer isso.
E mais uma: não existe essa de “servidores DNS não foram feitos para aguentar tanto tráfego”. O DNS é um serviço bastante leve e um servidor pode atender muita gente. O problema de tráfego, ainda mais nesse volume, é na REDE, não no serviço atacado. Você não acha um roteador que aguenta mais do que 100 Gbps. Não importa qual o servidor que está conectado a ele se até o roteador engasga.
“Horas a fio”. Se tudo nessa vida fosse resolvido em horas, e não dias ou meses, não teríamos tantos problemas no mundo. Isso também significa que, até muita gente ler seu texto (especialmente porque os problemas que aconteceram foram no final de semana e na segunda-feira), os fatos já não eram verdades.
É motivo para virar notícia. Mas tem gente achando que o ADSL aqui no Brasil está mais lento por conta desse ataque. O que é uma coisa bem incorreta. Não houve lentidão prolongada na rede mundial, apenas alguns problemas locais.
CurtirCurtir
Conheço dois blogueiros da área de segurança que também escreveram dois artigos grandes sobre os ataques, as pressas mas com a preocupação de fornecer uma informação rápida e precisa sobre o acontecido.
A pressa não pode ser usada como desculpa. Todos os jornalistas que cobriram o assunto tiveram pouco tempo para fazê-lo.
Quase ninguém havia dado atenção para o caso até o dia 28/3, quando aconteceram os maiores ataques e a CoudFare lançou o seu segundo post no blog deles sobre o assunto. Neste momento, todas as mídias se alimentaram das informações da CloudFare para divulgar o acontecido, mas souberam usar uma fonte muitíssimo rica em detalhes, que foi a própria CloudFare (com dois posts extensos e detalhados tecnicamente). Alguns, como a Gizmodo, criticaram com razão a isenção da CloudFare em divulgar o problema, mas ninguém tem como questionar o detalhamento técnico da explicação da CloudFare sobre o que aconteceu. Ou seja: as precisas e detalhadas informações estavam disponíveis para todos.
A maioria dos jornalistas exagerou ao dar um tom catastrófico, como se este ataque tivesse parado a Internet, mas eu não vi nenhum artigo descrevendo o acontecido com tantas barbaridades quanto ao que já foi apontado aqui.
CurtirCurtir
Em minha opinião, qualquer crime, como o ataque cibernético de ontem, deve ser repreendido seriamente pelas autoridades policiais.
Por outro lado, como usuário de sistemas de e-mail marketing, já fui várias vezes prejudicado pelos bloqueios autoritários e inconstitucionais impostos por ‘empresas’ como a SpamHaus, Barracuda, etc..
Parece que o maior objetivo destas ‘blacklists’ é proteger as grandes empresas que monopolizam o mercado de e-mail marketing com preços que chegam a custar 10 vezes mais do que um preço razoavelmente justo.
Como resultado, pequenos empreendedores, como eu, que tentam fazer seu próprio e-mail marketing, se tornam reféns destas empresas e têm suas iniciativas privadas limitadas por critérios de bloqueios que no mínimo são obscuros, pois além de não serem transparentes, são praticados arbitrariamente e sem aviso prévio, sem proporcionar a menor chance de defesa e nos impedindo de entregar e-mails legítimos.
Portanto, por uma internet sem monopólios e mais democrática, sou a favor que empresas como a SpamHaus também sejam investigadas para se verificar se não há a existência de práticas criminosas, como abuso de poder.
Afinal, monopólio é um crime tão prejudicial à sociedade quanto o terrorismo cibernético!
CurtirCurtir
Ninguém “impõe” o uso do Spamhaus. Administradores de sistema configuram a Spamhaus nos servidores. Eles acham que a Spamhaus representa bem a opinião deles.
Portanto, é bem provável que seu “e-mail marketing” tenha sido bloqueado corretamente.
Se você alguma vez enviou um e-mail sem que uma pessoa tenha especificamente se cadastrado com double opt-in para recebê-lo, seu “e-mail marketing” é o que chamamos de spam.
CurtirCurtir
Caso queira entender melhor o meu ponto de vista, sugiro que aprecie jurisprudência desenvolvida a respeito no link a seguir sobre o assunto “Blacklists Inconstitucionais”:
http://revistavisaojuridica.uol.com.br/advogados-leis-jurisprudencia/57/artigo208987-4.asp
CurtirCurtir
Chamar a Spamhaus de “agente sem credibilidade”, entre outras informações incorretas no texto, mostra quanto o Dr. Milagre não sabe do que está falando. Essas organizações atuam com transparência e seguem padrões que são aceitos por aqueles que configuram seus servidores para usar essas listas. Isso não acontece por acaso. É uma decisão consciente dos administradores: são os próprios administradores – os mesmos que administram os servidores de e-mail de envio e recebimento, que usam essas listas. Pense nisso: o administrador está exigindo dos outros a mesma regra que coloca para si – um servidor que envia e-mail, recebe e-mail também.
Não se trata de “justiça paralela”: eu, como administrador, decido confiar na Spamhaus/Spamcop, porque conheço os padrões que eles usam. Se você foi bloqueado por eles, talvez por erro, confio que esse erro será corrigido, pois existem meios para isso; se você foi bloqueado por eles por violar os padrões que eles estabeleceram, fico é muito contente por não receber o “e-mail marketing” enviado.
Ora, você tem o direito de enviar seu conteúdo. Eu, como provedor de serviço de e-mail, tenho o direito de decidir não recebê-lo. Meus clientes, se discordam de mim, tem o direito de procurar outros. Se não procuram, é porque concordam com o serviço prestado.
Tanto é que o caso citado pelo texto, da e360 Insight, acabou com apenas US$ 3 (3 dólares, seis reais, etc) de “indenização” por parte da Spamhaus, e a e360 teve que pagar os custos da apelação (ou seja, no fim das contas, saiu mais caro para eles).
http://www.techdirt.com/articles/20110903/00560215803/e360s-11-million-win-against-spamhaus-now-reduced-to-just-3-not-3-million-just-3.shtml
O legal é que já se teve essa mesma discussão uns 8 anos atrás, quando as empresas antivírus passaram a detectar spywares como vírus. As empresas de spywares alegaram que isso prejudicava os negócios deles. As empresas antivírus alegavam que era decisão dos clientes e que eles estavam atendendo ao que o mercado exigia. As empresas de spyware perderam.
CurtirCurtir
E, finalmente: todos temos liberdade de expressão, mas ninguém tem obrigação de nos ouvir.
CurtirCurtir
Show de bola esse post, pena que não tenho tanto conhecimento para agregar algum conteúdo, mas fico bastante contente pela postura do Altieres Rohr em nos mostrar sem muitas delongas, o que realmente ocorreu.
Abraços
CurtirCurtir
Obrigado. informação bem dirigida é preciosa.
CurtirCurtir
Talvez o pior trecho seja este aqui, que vocês destacaram: “O problema é que os servidores DNS não foram feitos para aguentar tanto
tráfego e por isso usuários comuns já estão sendo afetados, impedidos de
acessar serviços de email ou até mesmo streaming.”
O ataque DDoS não foi direcionado aos servidores DNS, mas sim a alguns provedores de backbone e roteadores que fazem a interconexão entre alguns destes provedores. Por isso, a reportagem errou muito feio ao afirmar que os usuários prderam acesso a e-mail ou streamming por causa de muito tráfego nos servidores DNS.
Os usuários que foram afetados, o foram por excesso de tráfego de dados nestes provedores ou roteadores específicos. Os links ficaram entupidos, por assim dizer. Não houve até o momento nenhum reporte de servidor DNS que falhou, ou que foi impactado ou interrompido por causa dos ataques ao Spamhauss.
Por fim, eu gostei da frase citada pela Heather Brooke, do The Guardian: “It’s not just what you print that makes you an authoritative and trusted source for news, but what you don’t print.”
CurtirCurtir
A citação é perfeita. Para uma publicação, especialmente uma publicação moderna, não existe pressão maior do que a pressão para publicar a mesma coisa que todos os outros estão publicando. Para a maioria dos leitores, a impressão que fica é que aquela publicação foi “deixada para trás”.
A única solução que vejo é quebrar o silêncio sobre aquilo que não se publica – como o Gizmodo fez, como fizemos aqui. Infelizmente, existe uma “regra” no jornalismo de que “não é legal” falar da concorrência.
Buscando aquele alívio que se tem quando se descobre que uma doença tem nome, digo: isso tem nome. Chama-se mimetismo midiático.
CurtirCurtir
Existe um documento em português para configuração de servidores de DNS para evitar o problema que foi usado neste ataque.
CurtirCurtir
dns charger zumbi, ddos zumbi.
CurtirCurtir