O ataque foi dirigido a empresas que administram a infraestrutura da internet, o que amplificou seu efeito (Flavio Takemoto / SXC)
Maurício Grego
Publicado em 28 de março de 2013 às 15h13.
São Paulo — O maior ataque cibernético da história da internet parece ter dado uma trégua na tarde de quarta-feira, depois de deixar a rede lenta em muitos países. Mas especialistas alertam que agressões ainda mais intensas podem acontecer e paralisar partes da internet no mundo.
Esse ataque marcou a inauguração de uma nova tática. Em vez de mirar diretamente seu alvo, os criminosos alvejaram a infraestrutura da rede, o que aumentou muito a intensidade da agressão. O episódio fez acender o sinal amarelo para muitas empresas que operam serviços de datacenter e de telecomunicações. A dificuldade em combater esse tipo de agressão e identificar os responsáveis mostra que não é fácil evitar esse tipo de problema.
O ataque começou tendo como alvo uma empresa europeia de combate ao spam, a Spamhaus. Mas acabou se multiplicando e afetando até serviços populares, como a Netflix. Na Europa, ele causou lentidão no acesso à rede para milhões de usuários.
Não se sabe, com certeza, quem está por trás desses ataques. A Spamhaus mantém listas atualizadas de servidores que enviam spam. Essas listas são vendidas a produtores de software de segurança e a provedores da internet. São usadas pelos programas antispam para filtrar os e-mails. A empresa, é claro, é odiado pelos spammers.
Nas últimas semanas, houve uma briga entre a Spamhaus e a companhia de serviços de datacenter holandesa CyberBunk, que acusa a Spamhaus de tê-la incluído indevidamente na lista de spammers. A Spamhaus, por sua vez, diz que a CyberBunk está por trás dos ataques, mas não há provas disso.
Nesse tipo de agressão digital, um grupo de hackers instala programas malignos em milhares de computadores, formando o que se chama de botnet. Esses computadores passam a ser controlados à distância. Num momento determinado, recebem ordem de disparar solicitações ao servidor-alvo, sobrecarregando-o.
É o que se chama de ataque de negação de serviço distribuído (DDoS na sigla em inglês). No dia 18, quando o bombardeio digital começou, a Spamhaus contratou a empresa de segurança americana CloudFlare para ajudá-la na defesa. A CloudFlare, então, também se tornou alvo dos agressores.
O fluxo de dados em seus servidores chegou a 100 gigabits por segundo, o que já caracterizava aquele ataque como um dos maiores já registrados até então. Os especialistas em segurança distribuíram a carga entre vários data centers para administrá-la melhor.
“Isso nos permitiu mitigar o ataque sem que ele afetasse a Spamhaus ou qualquer outro cliente nosso”, diz, no blog da empresa, o CEO Matthew Prince. Alguns dias depois, porém, os criminosos mudaram de tática. Eles passaram a alvejar as operadoras de telecomunicações que prestam serviços à Spamhaus e à CloudFlare.
Os computadores que formam a botnet começaram a enviar solicitações aos servidores de DNS, que fazem a tradução dos endereços da internet. Os servidores foram enganados para que mandassem as respostas dessas solicitações aos computadores alvo. Isso só foi possível porque os servidores de DNS estavam mal configurados.
Essa estratégia amplificou o ataque. Como os servidores de DNS contam com muito mais banda de comunicação que os computadores domésticos, eles são capazes de gerar tráfego várias vezes maior. “Um dos provedores nos disse que eles registraram mais de 300 Gbps de tráfego”, diz Prince.
O problema dos servidores de DNS mal configurados já era conhecido. O Grupo de Resposta a Incidentes de Segurança para a Internet Brasileira (CERT.br) mantém um extenso documento que detalha o problema e fornece recomendações para evitá-lo.
O site Open DNS Resolver Project diz ter catalogado 27 milhões de máquinas mal configuradas. Delas, 25 milhões oferecem riscos significativos. "Era uma bomba pronta para explodir", diz Prince.
Ele também afirma que um ataque ainda mais intenso pode acontecer e paralisar grande parte da internet. “O que é preocupante é que, em comparação com o que é possível, este ataque pode se mostrar relativamente modesto”, diz ele. Resta esperar que as empresas que administram servidores de DNS sejam mais cuidadosas.