março 28, 2013

[Segurança] O maior ataque de todos os tempos... da última semana

É impossível ver uma notícia como "Organização antispam sofre maior ataque cibernético da história" sem lembrar desta música dos Titãs:
"A melhor banda de todos os tempos da última semana
O melhor disco brasileiro de música americana
O melhor disco dos últimos anos de sucessos do passado
O maior sucesso de todos os tempos entre os dez maiores fracassos"
Segundo informações publicadas no blog da CloudFare, uma empresa que fornece serviço de proteção contra ataques de DDoS, o Spamhaus sofreu uma série de ataques de DDoS que atingiu um pico de 300 Gbps(gigabits por segundo). Até então, o maior ataque conhecido de DDoS tinha chegado a míseros 100 Gbps.
(veja nota adicional no final do post)
Segundo o G1, com 300 Gbps é possível transferir 37 filmes com qualidade DVD ou 55 CDs de música, em qualidade total, em apenas um segundo.

O Projeto Spamhaus é uma organização global sem fins lucrativos dedicada ao rastreamento de Spammers, com o objetivo de identificar redes de origem de mensagens de SPAM e colocá-las em uma "black list" para prevenir o envio de SPAM. A lista da Spamhaus é utilizada por diversos provedores e empresas para diminuir o SPAM recebido por seus usuários.

O ataque contra o Spamhaus começou desde o dia 18 de março, e foi lançado aparentemente pelo Anonymous com o nome de "OpStopHaus". A operação foi divulgada como um protesto contra a publicação de endereços IP pertencentes a provedores, operadoras e redes não conclusivamente ligados ao SPAM. Além disso, o Anonymous alega que o Spamhaus pratica chantagem e extorsão aos ISPs afetados por SPAM, para obrigá-los a proibir o envio de SPAM em suas redes. Coincidência ou não, a operação surgiu depois que a Spamhaus bloqueou o provedor holandês "Cyberbunker", um provedor que promete hospedar qualquer conteúdo que não seja pedofilia e terrorismo. Segundo a Spamhaus, o Cyberbunker estaria sendo utilizado por spammers para enviar e-mails indesejados. Este tipo de provedor é conhecido como "bullet proofing host", pois oferece serviço de hosting para qualquer tipo de conteúdo (incluindo sites criminosos), com a promessa de dificultar qualquer ação policial contra o site.

Segundo o post detalhado disponibilizado pela CloudFare sobre o início dos ataques, os ataques de DDoS contra o Spamhaus foram realizados na camada 3, e a principal técnica utilizada foi o de "DNS reflection", que consiste em enviar vários pedidos de acesso ao arquivo de zona de servidores DNS usando um endereço IP de origem falsificado igual ao da vítima, que irá receber um grande número de respostas para a vítima. No início os ataques eram de 10 Gbps, depois alcançaram um volume médio de tráfego de 75 Gbps vindo de 30 mil servidores DNS, representando uma taxa de amplificação de 100 vezes (ou seja, para cada byte que os atacantes enviavam, a vítima recebia 100 bytes).

Segundo um post mais recente da CloudFare, em 19 de março, o ataque de DDoS aumentou de tamanho e atingou cerca de 90 Gbps. No dia 21 de março o ataque oscilou entre 30 e 90 Gbps atingiu 120 Gbps em 22 de março. Quando os atacantes perceberam que não podiam derrubar o serviço da CloudFlare, eles começaram a atacar os provedores de link Internet deles, os provedor de backbone Tier 1 que fornecem conectividade para um dos provedores Internet da CloudFare e até mesmo gateways que fazem a conectividade entre os bckbones da Internet, conhecidos como Internet Exchange (IX). Um dos provedores de backbone Tier 1 atacados reportou que os ataques alcançaram 300 Gbps de tráfego. Na medida que estes ataques tem aumentado, vários provedores de backbone foram congestionados, principalmente na Europa, afetando centenas de milhões de pessoas.

Ainda que 300 Gbps de tráfego seja um volume impressionante, o ataque só foi possível pois juntou uma combinação perfeita de técnica de ataque e alvo: o ataque na camada 3 usando amplificação de requisições DNS, foi direcionado aos provedores globais de backbone, que tem links com um tamanho tal a ponto de ser atingido por 300 Gbps de dados. Provedores pequenos teriam caído muito antes. Entretanto, da mesma forma que os ataques DDoS pularam de 100 Gbps em 2010 para 300 Gbps nesta semana, nada impede que um atacante com motivação e uma botnet grande o suficiente realize outros ataques maiores no futuro, e em breve este título de "maior ataque da história" poderá passar para outro.





Notas:
  • O Sandro Suffert publicou um excelente post sobre o assunto: "O Maior ataque de negação de serviço (DDOS) da História - 300Gbps"
  • Na verdade os ataques DDoS já superaram a barreira dos 100 Gbps mesmo antes deste ataque ao Spamhaus. Segundo estatísticas divulgadas pelo Gartner, os ataques a bancos americanos realizados recentemente durante a Operação Ababil atingiram um tamanho total de 190 Gbps, sendo que o maior ataque contra um único banco foi de 110 Gbps. Nestes ataques, os atacantes usaram apenas 3.200 dos 9.200 bots que tinham. Ou seja, a coisa poderia ter sido pior. (adicionado em 28/3)
  • O pessoal do Gizmodo fez uma crítica bastante interessante sobre esta história toda. Eles apontaram corretamente que 300 Gbps é um volume de tráfego que não faz nem cócegas perto da quantidade trafegada pelos grandes provedores de backbone, e por isso, não há razão para tantos relatos pseudo-apocalípticos. Eles também questionaram se houve realmente algum impacto por causa destes ataques e criticaram o fato de todas as informações disponíveis terem sido divulgadas pela CloudFare, uma empresa que vende serviços de proteção contra DDoS e, portanto, tem interesse em causar o pânico entre prováveis clientes. Por outro lado, o Richard A Steenbergen publicou uma resposta bem interessante para a Gizmodo, afirmando que o principal impacto foi causado pelo ataque direcionado aos routers IX, e embora os provedores de backbone estejam acostumados a tratar volume de tráfego na ordem de terabytes por segundo, ele não costumam ter uma banda de 300 Gbps "sobrando", pois seria muito caro manter este recurso ocioso. (adicionado em 28/3)
  • Criei um post adicional sobre este assunto: "[Segurança] Mais ainda sobre os ataques de DNS refletido" (adicionado em 28/3)

2 comentários:

Armando Jr. disse...

http://www.linhadefensiva.org/2013/03/o-maior-ataque-cibernetico-e-outro-grande-exagero-da-imprensa/

Armando Jr. disse...

http://www.linhadefensiva.org/2013/03/o-maior-ataque-cibernetico-e-outro-grande-exagero-da-imprensa/

Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.