Nova técnica de hackers quebra recorde de ataque na internet
- Detalhes
- Categoria: Agora 40graus
- Publicado: Sábado, 03 Março 2018 07:49
- Escrito por Redação
Um novo método de ataque de negação de serviço distribuída (DDoS, na sigla em inglês) permitiu que hackers quebrassem o recorde de tráfego gerado em ataques desse tipo. O ataque, realizado contra o site Github, atingiu a marca de 1,35 Tbps, sendo o maior ataque desse tipo já registrado publicamente. A Akamai, que protegeu o Github contra o ataque, confirmou o volume de tráfego nesta quinta-feira (1º).
Ataques de negação de serviço tem por objetivo retirar um site do ar. Na modalidade de DDoS, o método usado para isso normalmente consiste em "inundar" um site com um grande volume de tráfego de dados ou acessos. Se o ataque for bem-sucedido, o site não conseguirá lidar com o volume de acessos falsos e acabará deixando de atender aos acessos legítimos feitos por internautas.
O Github chegou a sair brevemente do ar, mas a Akamai conseguiu dissipar o ataque. O Github publicou um comunicado oficial sobre o incidente e prometeu melhorias em sua rede.
O tráfego gerado pelo ataque ao Github, de 1,3 Tbps, é suficiente para transmitir mais de seis filmes em alta definição e em alta qualidade em um só segundo. Esse nível de tráfego se aproxima dos pontos de interconexão de redes entre provedores. O recorde anterior, de 2016, atingiu 1,2 Tbps e conseguiu derrubar o provedor de internet Dyn, o que deixou indisponível uma série de sites da web, como Netflix, Twitter, Amazon e PayPal.
O tráfego do ataque recente foi gerado usando amplificação através do memcached, um programa utilizado para acelerar o processamento de dados em servidores. Especialistas apostam que outros criminosos devem continuar recorrendo a esse método até que administradores de sistemas protejam suas instalações do memcached. Como a técnica é nova e os primeiros alertas foram divulgados esta semana, muitos sistemas estão vulneráveis.
Como o memcached não é usado em sistemas domésticos, esses computadores não foram envolvidos.
Ataque amplificado
A negação de serviço é um ataque de "força bruta": ele é facilmente detectado, então o objetivo é superar a capacidade da rede de defesa por um período prolongado a ponto de causar incômodos.
Para os criminosos, o desafio para a realização desses ataques é obter o controle de diversos computadores para que estes participem do ataque. O recorde anterior, de 1,2 Tbps, foi atingido pelo vírus Mirai, que criou uma rede mundial de câmeras de segurança infectadas (http://g1.globo.com/tecnologia/blog/seguranca-digital/post/apos-ataque-historico-empresa-chinesa-promete-recall-de-cameras.html) para gerar o tráfego.
Em vez de depender apenas de uma grande rede de sistemas infectados, o ataque de 1,3 Tbps utilizou uma técnica chamada de "amplificação" ou "ataque refletido".
A amplificação é um truque no qual os criminosos enviam certas requisições para serviços específicos na internet. Essas requisições são enviadas em nome do alvo, ou seja, a origem é falsa. O intuito é fazer com que as respostas dessas requisições sejam encaminhadas ao alvo. Se a requisição gerar mais tráfego do que o pedido, o criminoso efetivamente "amplificou" sua capacidade de ataque e os dados foram "refletidos" ao alvo.
É como se você soubesse que, enviando uma pequena carta a um determinado endereço, outras 10 cartas seriam enviadas ao endereço informado no remetente. Logo, bastaria o envio de algumas cartas com remetente falso para que aquele endereço fosse inundado de correspondência, sem que você mesmo tivesse que pagar por tantas cartas.
Na internet, isso é possível porque muitos provedores de internet ainda não adotaram uma regra de tráfego que impede a falsificação de origem de conexões. Alguns programas, como é o caso do memcached, envolvido neste ataque, não verificam a origem de um pedido antes de responder.
Muitos meios de amplificação já foram descobertos e, conforme criminosos se aproveitaram desses meios, os programas envolvidos sofreram mudanças para que respostas deixassem de ser maiores que pedidos sem origem confirmada. Por isso, ataques amplificados tendem a ocorrer em surtos sempre que um novo meio de amplificação é descoberto.
O abuso do memcached para amplificação é considerado novo. Os primeiros ataques foram anunciados no dia 27 de fevereiro. Segundo a Akamai, é possível que este novo recorde logo seja quebrado por novos ataques de amplificação.
O memcached tem o maior potencial de amplificação já registrado, pois o software não foi projetado para ser exposto à internet. Uma requisição de 203 bytes (o equivalente a 203 "letras") é capaz de gerar uma resposta de até 100 MB (aproximadamente 30 "livros"), um fator de amplificação de 500 mil. O fator de amplificação real obtido pelos criminosos, porém, é difícil de calcular. De acordo com a Akamai, há 50 mil sistemas vulneráveis com memcached na internet.
Quem administra sistemas que utilizam o memcached deve se certificar que o software está isolado da rede e não recebe conexões de sistemas não autorizados.
Fonte: G1.com/seguraçadigital
