A Internet no mundo inteiro está mais lenta até esta quarta-feira
(27) por conta do que especialistas estão considerando "o maior
ciberataque mundial da história". Um grupo antispamming e uma empresa de
hospedagem entraram em uma verdadeira ciberguerra que afeta toda a rede
e serviços populares, como o Netflix. As informações são
da BBC do Reino Unido. Segundo o site, a maior preocupação de especialistas, no entanto, é
com sistemas bancários e de e-mails - que também podem ser afetados por
essa guerra virtual.
O início de tudo foi um bloqueio feito pelo Spamhaus - grupo antispam
com sede em Londres e Genebra. Ele atua como um filtro que ajuda
provedores de e-mail a barrar mensagens indesejadas (spam). Mas, para
realizar seu trabalho, o Spamhaus mantém uma "lista negra" com
servidores reconhecidamente utilizados para fins maliciosos. Nessa lista
consta a Cyberbunker, empresa de hospedagem holandesa que afirma
hospedar qualquer tipo de conteúdo, contanto que não relacionado à
pornografia infantil ou terrorismo.
Não contente em entrar para essa lista, a Cyberbunker atacou os
servidores do grupo antispam com um ataque distribuído de negação de
serviço (DDoS). Esse tipo de golpe consiste no envio de uma enorme - e
contínua - quantidade de tráfego para o alvo, a fim de derrubá-lo.
Conforme informou o jornal "The New York Times" nesta quarta-feira (27),
com base em informações da CloudFare, empresa que mantém um serviço de
proteção contra esses ataques, a sobrecarga de tentativas de acesso
apresentou um volume médio de tráfego de 75 Gbps e atingiu um pico de
300 gigabits por segundo (Gbps). Com 300 Gbps é possível transferir 37
filmes com qualidade DVD ou 55 CDs de música, em qualidade total, em
apenas um segundo pela internet.
No caso, os servidores do Sistema de Nome de Domínio (DNS) do
Spamhaus foram o alvo. Essa infraestrutura é responsável por traduzir
endereços numéricos no protocolo da internet (Internet Protocol, ou IP)
em domínios como o da própria BBC (bbc.co.uk).
Sven Olaf Kamphuis, porta-voz da empresa de hospedagem, disse por
mensagem que o Spamhaus estava abusando do seu poder de bloqueio e que o
grupo não poderia "decidir o que entra ou não na Internet". No entanto,
ao ser procurada pela BBC para discutir o assunto, a Cyberbunker não
respondeu.
Por sua vez, o Spamhaus supostamente alegou que a Cyberbunker, com a
ajuda de "organizações criminosas" da Europa Ocidental e Rússia, estaria
por trás do golpe.
O chefe-executivo do grupo, Steve Linford, disse que o ataque foi sem
precedentes. "Nós estivemos sob ataque cibernético por mais de uma
semana", disse Linford à BBC. "Mas estamos de pé - eles não conseguiram
nos derrubar. Nossos engenheiros estão fazendo um imenso trabalho para
nos manter firmes - esse tipo de ataque teria derrubado praticamente
qualquer coisa."
Nessa afirmação, o "qualquer coisa" incluiria, inclusive, a
infraestrutura de Internet do governo. "Estes ataques estão atingindo um
máximo de 300 GB/s", disse Linford à BBC. "Normalmente, quando há
ataques contra grandes bancos, estamos falando de cerca de 50 GB/s."
O ciberataque está sendo investigado por cinco ciberforças policiais,
segundo Linford. Ele afirmou, ainda, que não poderia dar mais detalhes
que isso, para proteção das agências - que poderiam ter suas
infraestruturas atacadas também.
Os ataques começaram no dia 18 de março depois que a Spamhaus bloqueou o
provedor holandês "Cyberbunker". O provedor promete hospedar qualquer
conteúdo que não seja pedofilia e terrorismo. Segundo a Spamhaus, os
serviços do Cyberbunker estariam sendo usados por spammers para enviar
e-mails indesejados a milhões de pessoas na internet.
De acordo com a BBC, autoridades policiais em cinco países estão investigando os ataques.
A lista da Spamhaus é confiada por muitos provedores de internet para
diminuir o spam recebido por seus usuários. A inclusão do Cyberbunker à
lista da Spamhaus imediatamente bloqueou os e-mails enviados pela rede
do provedor holandês, impedindo que as mensagens chegassem aos
destinatários. Ao "New York Times", um ativista que supostamente
representa a empresa e os ataques teria dito que o Spamhaus "abusou de
sua influência" ao bloquear o provedor.
O Cyberbunker está localizado em um antigo bunker usado pelas forças da
OTAN. Para aumentar as vendas, a empresa diz em seu site já ter
impedido a entrada de policiais no prédio.
Amplificação dos ataques
Para realizar o ataque de 300 Gbps (300 mil megabits por segundo),
seriam necessárias 300 mil conexões de banda larga, normalmente
restritas a 1 Mbps de envio de dados (upload), mesmo quando a velocidade
de download é maior. Uma alternativa seria o uso de servidores, que
possuem conexões de 100 Mbps ou até de 1 Gbps. No entanto, o ataque
seria facilmente barrado.
Em vez disso, os criminosos usaram uma técnica conhecida como DRDoS ou
"ataque de negação de serviço refletido". Nesse ataque, o hacker envia
uma solicitação pequena, mas que gerará uma resposta grande, e falsifica
a origem da solicitação para ter o endereço alvo. Isso significa que a
resposta, com um volume maior, será enviada para o site vítima do
ataque.
Usando essa técnica, os hackers conseguiram amplificar uma solicitação
de 36 bytes para gerar uma resposta de 3 mil bytes, amplificando a
capacidade de conexão deles em cem vezes.
Para realizar o esse tipo de ataque é preciso encontrar servidores
configurados de forma incorreta, conhecidos pelo termo técnico de "DNS
recursivo aberto". Um total de 30 mil servidores foi usado no ataque, o
que exigiu uma conexão de 2,5 Mbps a 10 Mbps - velocidades baixas que
não chegam a alertar administradores de sistema para o problema - de
cada servidor, segundo a explicação da CloudFlare.
Em escala mundial
Segundo o especialista em segurança cibernética da Universidade de
Surrey, no Reino Unido, o ataque está prejudicando toda a rede mundial.
"Se você comparar o ataque a uma autoestrada, ele está colocando tráfego
suficiente para fechar todas as pistas", disse à BBC.
A empresa de proteção contra ataques DDoS, Arbor Networks, também
afirmou ao jornal que esse foi o maior ataque que já presenciaram. "O
maior ataque DDoS que testemunhamos antes deste foi em 2010, que foi de
100 Gb/s. Obviamente o salto de 100 para 300 é muito grande", disse o
diretor de pesquisa de segurança da empresa, Dan Holden, à BBC,
acrescentando que há a possibilidade de outros serviços sofrerem com o
golpe.
O Spamhaus afirmou ser capaz de lidar com o ataque, já que ele possui
uma infraestrutura distribuída por diversos países. Muitas grandes
empresas da Internet, como o Google, dependem de seus serviços para
filtragem de material indesejado.
De acordo com Linford, essas companhias ofereceram seus recursos para
ajudar na absorção de todo o tráfego gerado com o ataque. "Eles estão
focando em cada parte da infraestrutura da Internet que acham que podem
derrubar", disse à BBC. "A Spamhaus tem mais de 80 servidores espalhados
pelo mundo. Nós construímos o maior servidor DNS."
