> Alguém aqui do grupo já sabe algo a respeito do novo gap que causou apagão
> do speedy? Houve uma espécie de reflexo no GVT segunda feira de manhã, mas
> não demorou muito. Alguém sabe se foi realmente um hackeamento, como alega a
> telefônica?

 

Vamos usar um metáfora de outro setor da economia, a pecuária. Se você colocar vacas num pasto sem cerca, as vacas irão sair do pasto, correto ? O pecuarista pode alegar que as vacas sairam por vontade própria, o que não deixa de ser verdade... mas basta observar outras fazendas para notar que esse é um fato conhecido desse segmento produtivo, e que todas as outras tem cercas.

 

Os ataques que derrubaram o serviço da Telefónica, os (D)DoS - (DoS - Denial of Service, DDoS Distributed DoS), são frequentes desde o ano 2000, quando assolaram grandes portais como CNN, Yahoo e UOL. Desde então eles nunca pararam, variando apenas de intensidade e frequência... é um fato conhecido deste segmento e parte dos fatores usados na engenharia de backbones Internet.

 

A Telefónica conscientemente deixou de adquirir ferramentas de controle de detecção e mitigação de DDoS para backbones do nível de tráfego que ela tem (ex: Arbor PeakFlow, Cisco Guard), e sub-dimensionou nós de serviço como roteadores e firewalls; não foram os DNS propriamente ditos que não resistiram aos ataques, mas o
caminho até eles.

 

 

Ataques são capazes de travar ou sobrecarregar sistemas.
Speedy teria sido alvo de ataques a servidor de DNS.

 

A Telefônica divulgou nota nesta quinta-feira (9) para explicar as dificuldades de acesso enfrentadas pelos clientes do Speedy nesta semana. Segundo a empresa, ações externas - provocadas por hackers - desestabilizaram os servidores DNS (Servidor de Nome de Domínio, em português). “Essas ações externas caracterizam-se pela criação artificial de um número elevado de solicitações simultâneas aos servidores DNS", explica a empresa.
 
A "criação artificial de um número elevado de solicitações simultâneas" a um servidor é conhecido como ataque de “negação de serviço”, abreviado pelas iniciais em inglês DDoS (Distributed Denial of Service).

 

O objetivo da negação de serviço é “negar” o serviço, ou seja, torná-lo indisponível.
Um ataque de negação de serviço em um servidor de e-mail o incapacitaria de processar novas mensagens, da mesma forma que um servidor web não poderia mais servir páginas de internet.
Em um PC doméstico, o ataque de negação de serviço pode resultar no congelamento do sistema ou no travamento de um dos aplicativos. 

 

Ataques DDoS são normalmente difíceis de contornar, porque as solicitações maliciosas, com o intuito de sobrecarregar o serviço, costumam chegar de vários computadores diferentes. Não dá para simplesmente bloquear o acesso dos computadores ao servidor, porque são muitos.

 

O servidor DNS é especialmente vulnerável a isso, porque usa o protocolo UDP (User Datagram Protocol), que não verifica o "remetente" da conexão.
Os criminosos eletrônicos podem, portanto, forjar o endereço de origem do ataque, de modo que fica difícil saber sua origem.

 

Brechas
É comum a utilização do termo “negação de serviço” para classificar vulnerabilidades de segurança que não permitem a invasão do sistema, mas que, quando exploradas, impossibilitam o uso do computador. Uma das falhas mais clássicas do gênero é o “Ping da Morte”.

 

O “ping” é um programa legítimo, normalmente usado para testar a conexão até outro computador da rede.
O “ping da morte” recebia esse nome pelo seu efeito de travar o sistema que o recebia imediatamente. Tratava-se de um ping muito grande, com os quais os sistemas não conseguiam lidar.

 

Vários softwares eram vulneráveis ao ping da morte: Windows, Unix (inclusive Linux) e equipamentos de rede.
Muitos foram corrigidos até o final da década de 90, mas o problema ainda assombra alguns sistemas, como o Solaris 10, em que uma brecha exatamente igual foi corrigida em janeiro de 2007.

 

O ping da morte é o exemplo histórico de uma falha de segurança do tipo “negação de serviço”: não é necessário muito esforço para inutilizar o sistema remoto. Vulnerabilidades assim são encontradas com frequência, embora não sejam tão tecnicamente simples como o “ping”. 

 

DDoS: Sobrecarregando um sistema
A metodologia base do ataque de negação de serviço distribuída não é difícil de ser entendida: o criminoso cria um fluxo interminável de solicitações falsas ao computador alvo, de tal maneira que ele fique sobrecarregado e impedido de atender às solicitações dos usuários verdadeiros.

 

Esse ataque é comumente realizado pelas chamadas redes zumbis, da qual fazem parte computadores infectados com um determinado tipo de praga digital. Os computadores infectados ficam sob o controle do criminoso, que ordena a realização dos acessos falsos que irão sobrecarregar o sistema alvo.

 

Embora bastante “brutos”, esses ataques têm sido refinados para que o objetivo de derrubar o alvo seja atingido mais rapidamente e com uso de menos recursos da 'rede zumbi'. Alguns DDoS têm motivação política, enquanto outros são claramente criminosos, por atingirem sites de empresas antivírus ou se envolverem em esquemas de extorsão para exigir pagamento dos donos dos sites para que o ataque seja encerrado.  

 

Proteção
No caso das brechas de segurança, a proteção é instalar as atualizações do sistema e dos aplicativos que têm uma vulnerabilidade de negação de serviço.

 

Já os ataques que partem de milhares de sistemas para derrubar um alvo são difíceis de lidar. Mesmo profissionais experientes e com os recursos adequados serão desafiados por ataques muito fortes, nos quais muitas máquinas estão envolvidas.

 

Um tipo de defesa é feita nos roteadores e "switches" da internet -- equipamentos responsáveis por determinar o “caminho” que cada conexão segue. No caso de um ataque, eles são configurados para bloquear os endereços de origem ou, se for muito forte, do alvo, para que a rede inteira não seja afetada. Os roteadores geralmente são conectados em várias redes, tendo à sua disposição uma conexão suficientemente rápida para suportar alguns ataques.

 

Outra solução contra os ataques de DDoS é uso de servidores de proxy reverso (em que um computador fica de ponte para outro) ou mesmo cache (quando uma informação fica armazenada em um computador para não ter de solicitá-la novamente). Nessa configuração, existe um sistema complexo entre o computador que está sendo atacado e a internet. Esse sistema é responsável por filtrar o tráfego indesejado e passar ao sistema verdadeiro apenas o que for necessário. A Akamai, a Prolexic Networks e a GigeSERVERS são algumas empresas que oferecem esse tipo de serviço. 

 

Para resistir ao ataque, esses serviços fazem uso de várias técnicas. Uma delas são filtros avançados; em outra, os computadores que servem de escudo estão distribuídos por todo o planeta. Isso dispersa os acessos maliciosos, dividindo o ataque, possibilitando que o mesmo seja enfrentado em pequenas quantidades em vários locais -- muito mais fácil do que fazer uma única rede aguentar tudo sozinha.

 

Apesar disso, ataques de negação de serviço distribuída não deixam de ser um problema. Foram usados, diversas vezes, como exemplos da fragilidade da rede. Assim como o spam, o DDoS necessita da colaboração entre administradores de redes no mundo todo. Ao contrário de outras atividades maliciosas da rede, o DDoS é facilmente percebido, mas mesmo assim algumas empresas operadoras de redes não demonstram interesse em fazer algo a respeito e facilitar a vida de quem é atacado.