Michael Stanton

WirelessBrasil

Ano 2001       Página Inicial (Índice)    


04/06/2001
Os zumbis e seus mestres malevolentes

Ao longo de 1999, a comunidade de segurança em redes foi surpreendido pelo crescimento do número de incidentes de DDoS (Distributed Denial of Service), nos quais um sítio Internet seria o alvo de um tráfego de mensagens tão intenso, oriundo de diferentes origens, que não teria condições de atender ao seu tráfego de usuários legítimos, privando estes dos seus serviços. A privação ou negação de serviço (DoS - Denial of Service) é um fenômeno observado em outros contextos. Engarrafamentos de trânsito pode fazer-nos perder a hora de uma consulta marcada, de uma prova ou da partida de um avião. Excesso de demanda na rede de telefonia poderá tornar impossível completar um telefonema, mesmo quando o terminal chamado estiver desocupado. A característica essencial é que seria possível atender a solicitação se não houver a sobrecarga no acesso causada por terceiros.

DoS em redes de computadores pode ser causado propositadamente, atacando os pontos fracos da infra-estrutura de serviços. Uma técnica que tem sido explorada é solicitar a um servidor WWW a abertura de uma sessão de consulta, o que requer enviar-lhe uma mensagem, e deixar o servidor "pendurado", aguardando inutilmente o envio da própria consulta (uma segunda mensagem). Cada sessão assim iniciada empata uma parte da capacidade de resposta do servidor, e o envio repentino de centenas de pedidos de abertura de sessão poderia deixar o servidor catatônico, reduzido a meramente esperar inutilmente o prosseguimento das sessões iniciadas. Este ataque, chamado de "inundação de SYNs", ataca um serviço específico (o WWW) do computador alvo. A princípio, os demais serviços seriam pouco afetados. Porém, se conseguíssemos gerar um tráfego muito intenso na conexão entre o servidor e a Internet, poderíamos engarrafar todos os serviços de rede prestados por este servidor, e também os outros no mesmo local físico. Outros ataques tentam fazer justamente isto, através do envio de uma enxurrada de mensagens, individualmente legais, para o alvo. Tais mensagens podem ser geradas simplesmente usando o comando "ping" disponível em todos os computadores ligados à Internet.

Acontece que uma única máquina sozinha dificilmente geraria um tráfego suficientemente intenso para causar uma DoS de um servidor WWW. Porém, se pudessem ser arregimentadas centenas de máquinas para lançarem um envio coordenada, o tráfego gerado por este conjunto poderia simplesmente soterrar o acesso ao alvo, rendendo-o incapaz de receber tráfego normal. Este é a característica de DoS distribuída, ou DDoS. Uma fonte muito boa de informações sobre DDoS é devida a David Dittrich, da Universidade de Washington (staff.washington.edu/dittrich/misc/ddos).

DDoS foi primeiro comentada na imprensa geral em fevereiro de 2000, e imediatamente foram reportados incidentes afetando sítios comerciais. A situação só tem piorado desde então, com um aprimoramento nos métodos de ataque, em sua freqüência, e na visibilidade dos alvos. Nas últimas semanas foram alcançados, por exemplo, os sítios da CERT (Computer Emergency Response Team - www.cert.org, um dos principais centros de proteção da segurança da Internet, e da Casa Branca (www.whitehouse.gov), sede do governo norte-americano. Neste período, também foi alcançado o sítio da Gibson Research Corporation, de Steve Gibson, um especialista em segurança de redes. Depois de algumas semanas de estudo do fenômeno, Gibson acaba de publicar um excelente ensaio descrevendo e analisando o que lhe aconteceu (grc.com/dos/grcdos.htm), o que pode surpreender pela riqueza dos detalhes.

O suplício do Gibson começou no dia 4 de maio, quando a GRC se tornou o alvo de uma ataque de DDoS, originado por um garoto de 13 anos. Este "script kiddie" (literalmente, garotinho semi-alfabetizado em programação) havia resolvido atazanar a vida (e o negócio) de Gibson por achá-lo responsável por ter usado este termo para rotular gente como ele. No mundo subterrâneo dos hackers é fácil encontrar ferramentas para montar um ataque DDoS, e este foi o caminho do algoz da GRC. O ataque DDoS é realizado a partir de uma tropa de zumbis, comandados por um mestre. Zumbi é o termo para um computador subvertido, controlado remotamente. A subversão pode ocorrer de várias formas, sendo entre as mais comuns adaptações dos vírus ou vermes espalhados nos últimos tempos pelo correio eletrônico, como o "I Love You" (coluna de 7 de junho de 2000) ou o QAZ (coluna de 30 de outubro de 2000). Hoje em dia este meio é usado para espalhar moléstias mais sinistras.

Um zumbi, ao ser ligado à Internet, entra em comunicação com seu mestre, freqüentemente através de um canal sigiloso de IRC (Internet Relay Chat), e aguarda instruções. Os zumbis preferidos são aqueles com ligação permanente à Internet, pois estão sempre aos postos. Um mestre pode ter sob seu comando centenas ou até milhares de zumbis, e tipicamente opera num outro sistema invadido, para cobrir o rastro do hacker coordenador do ataque. Ao receber a ordem do hacker, o mestre comanda o ataque da sua tropa de zumbis, que começam a bombardear o alvo. No caso da GRC, o bombardeio foi realizado por 474 zumbis, todos usando Windows, e cada um deles estaria aparentemente dedicando toda sua banda de acesso à Internet para este ataque durante muitas horas. O resultado foi o efetivo desligamento da GRC da Internet, pois a saturação do seu enlace de acesso pelo tráfego DDoS simplesmente não deixava passar nenhum tráfego útil.

O artigo de Gibson descreve como conseguiu barrar a inundação, com a colaboração do seu provedor Internet, que passou a interceptar o tráfego inconveniente no seu roteador, antes dele entrar no enlace de acesso da GRC. Também conta como investigou o que havia ocorrido, para ver como poderia ser combatido no futuro. Sua análise é preocupante, pois admite francamente que no momento os anjos estão perdendo aos diabos de goleada. Na opinião dele, simplesmente não há defesas existentes na Internet de hoje que resistam a um ataque determinado de garotinhos malvados, e que a situação vai piorar muito antes de melhorar, pois, segundo afirma, as novas versões de Windows (W2K ou XP) oferecem condições ainda mais favoráveis para servir de zumbis eficientes.

O problema básico é que para poder se defender de ataques DDoS requer uma mobilização maior da comunidade Internet. Os pontos fracos abundam: a conversão em zumbis de máquinas ligadas à Internet é de relativa simplicidade, por causa do número enorme de vítimas em potencial e a falta de proteção adequada contra tal subversão. Mas o que mais complica a defesa contra tais ataques é a impunidade de que gozam seus autores. Primeiro, porque a sua identificação é dificultada por detalhes da própria tecnologia. Cada mensagem na Internet possui um endereço de origem, que é usado para enviar respostas. Porém, as mensagens empregadas em ataques DDoS não são respondidas, e portanto sequer precisam vir com o endereço de origem correto, o que impossibilitaria identificar sua origem (isto ainda é possível com versões antigas de Windows). De qualquer maneira, desta forma seria descoberto apenas o zumbi e não seu controlador. Outras propostas em discussão são dos provedores Internet realizarem a verificação do tráfego que eles enviam para a Internet. Se os provedores primeiro checassem que os endereços de origem fossem válidos, isto poderia reduzir o uso de endereços de origem falsos.

Em segundo lugar, este provedores poderiam reconhecer e interceptar fluxos de mensagens anômalas, como os enviados por um zumbi num ataque DDoS, onde há uma seqüência longa de mensagens semelhantes enviadas ao mesmo destino. Na prática, os provedores não se empenham neste sentido, e às vezes cooperam pouco com os esforços dos outros para identificar os sistemas que provocam problemas alheios. Às vezes parece que os provedores se satisfazem desde que funcionam seus backbones e entra sem atrasos sua receita mensal. Estamos falando basicamente de crimes cometidos por estes delinqüentes, mas a polícia nem sempre tem condições ou incentivos para investigá-los. Segundo Gibson, o FBI (polícia federal dos EUA) só se interessa em crimes que causam um prejuízo mínimo de US$ 5.000, e estima em US$200.000 o custo de realizar e levar uma investigação até um tribunal, o que o leva a escolher com cuidado os casos em que concentra seus esforços, ainda mais quando os perpetrantes são menores de idade, e, portanto, inimputáveis.

O ensaio de Gibson termina com alguma esperança. Primeiro, mostra como se pode testar se um PC está funcionando como zumbi, utilizando o comando netstat para verificar atividade de rede. Depois sugere fortemente o uso de uma produto de parede corta-fogo (firewall) para proteger o PC contra contágios da Internet. In particular, recomenda fortemente o produto ZoneAlarm da Zone Labs (www.zonelabs.com), que se mostrou eficaz em interceptar e identificar a comunicação entre zumbi e mestre na máquina de teste. (Existe uma versão "freeware" de ZoneAlarm, e foi esta a versão testada por Gibson.) Finalmente, Gibson promete desenvolver uma ferramenta que demonstrará a falta de caso com que provedores Internet tratam o assunto de segurança coletiva, para forçar um realinhamento da posição destes membros fundamentais da comunidade Internet.

É com a coluna desta semana que inicio o segundo ano de contribuição a este espaço denominado Sociedade Virtual, voltando novamente ao assunto, tão batido por mim aqui, da insegurança da Internet. Faço votos que logo passemos a ver este assunto já encerrado como uma fase inicial e passageira da história das comunicações digitais, e espero que isto realmente venha a acontecer em alguns poucos anos, no máximo. Queria agradecer a paciência dos leitores ao longo deste primeiro ano de convivência, e também seus comentários recebidos, que estão sempre bem-vindos.