6 dezembro 2016
Uma breve história dos ataques DDoS
A abreviação DDoS se tornou parte do léxico ao nível que a forma estendida não é mais escrita em notícias de forma geral. Bem, alguns talvez não saibam o significado, mas todo mundo sabe que ataques DDoS são péssimos e envolvem algo parando de funcionar do nada, deixando o departamento de TI em polvorosa com redes fora do ar e clientes desorientados. Outro fato conhecido é que ataques DDoS são executados por cibercriminosos desconhecidos, misteriosos e da pior espécie.
Ataques DDoS evoluíram rapidamente, fato que você descobrirá ao ler este artigo. Cresceram de forma terrivelmente e se tornaram muito avançados o âmbito da técnica; de tempos em tempos são adotados métodos de ataque completamente incomuns; tem sempre alvos distintos; quebram recordes mundiais pelo posto de pior DDoS de todos os tempos. Todavia, o mundo no qual DDoS estão inseridos evoluiu bem rápido também. Tudo desde a pia da cozinha é online agora: o número de dispositivos ditos “inteligentes” conectados à rede agora ultrapassa absurdamente o número de bons e velhos desktops e notebooks.
O resultado dessas duas evoluções paralelas – dos ataques em si e do ambiente em que ocorrem – trouxe duas frentes igualmente evoluídas: botnets compostas de IP câmeras e roteadores W-Fi viabilizando quebras de recordes em tamanhos de DDoS (Mirai) e grandes ataques DDoS a bancos russos.
Se anteriormente, as botnets eram compostas por computadores zumbis, logo serão feitas de geladeiras, aspiradores de pó, secadoras e cafeteiras zumbis.
E o que vem depois?
Sem dúvida, nada bom. No passado sempre terminou mal para as vítimas envolvidas. Mas o quanto será pior para as vítimas do futuro? Para fazer estimativas mais precisas, precisamos considerar o passado; por meio dele teremos uma melhor ideia do que o futuro nos reserva. Portanto, aqui temos uma pequena revisão da história dos ataques DDoS, para o seu prazer e esclarecimento histórico.
Segue o meu subjetivo Top-8 de ataques DDoS de todos os tempos. “Top” não como em os “melhores”, mas sim os “piores”. Todos os oito causados por uma parte da Internet ou por meio de um grande serviço de internet.
Antes de começar, uma ressalva: nem todos são ataques DDoS completos, tendo em vista o entendimento atual da palavra; contudo, o elemento “distribuído” já estava presente em todos os oitos, o que resultou em interrupção da rede.
1. O worm Morris (1988)
Robert Tappan Morris – criador do primeiro worm de computador na Internet
Quando ainda estudante, Robert Tappan Morris desenvolveu um worm com objetivos de pesquisa (“para medir o tamanho da internet”. Contido, como sempre, havia um erro escondido no código, e como resultado o worm não era capaz de determinar se o sistema era limpo ou infectado (por si mesmo!). No lugar de atacar os computadores uma única vez, o worm se copiava no sistema repetidamente. Como resultado, o sistema caia – todos os 60.000 terminais da rede. A ARPNET infectada – um protótipo da internet – causou um ataque DDoS em si mesma!
Morris se declarou culpado, arrependido e recebeu sentença de 400 horas de serviço comunitário e uma multa de 10.000 dólares.
2. Melissa (1999)
David Smith, criador de Melissa, o vírus de envio de e-mail em massa que deixou a Microsoft e a Intel sem e-mail.
Um simples vírus de e-mail baseado em macro que afetava documentos do Office da Microsoft. Se um usuário abrisse o arquivo, o vírus enviava a si mesmo para 50 contatos da vítima.
É aí que talvez você pergunta onde está a parte DDoS desse ataque…
Bem, esses 50 e-mails enviados de cada vítima causavam nada mais do que uma gigantesca epidemia, que saiu completamente do controle: o ataque distribuído se espalhou ao redor do mundo. Não havia um alvo em particular; bem isso se o alvo não fosse o sistema global de e-mail! A macro conseguiu aumentar o tráfego de e-mail globalmente de maneira considerável, e forçou muitas empresas a desligar seus servidores de e-mail.
O autor do vírus também foi preso, julgado e processado.
3. O ataque DDoS a Amazon, eBay, Dell, CNN e Mais (2000)
A parte do DDoS é talvez seja mais latente nesse aqui, por mais que tenha causado grande dano, o criminoso por trás dele praticamente não foi punido.
Eis o que aconteceu: um hacker de 15 anos autointitulado MafiaBoy derrubou quase todos os principais portais da internet, incluindo o Yahoo!, naquele tempo o principal mecanismo de pesquisa (O Google inda estava começando). O dano financeiro causado por MafiaBoy foi estimado em 1,2 bilhões de dólares.
A razão pela qual ele fez isso não foi nada fora do comum para a época: ele queria mostrar para o cibermundo o quanto ele era legal. Não tinha qualquer interesse em dinheiro. Tratava-se simplesmente do ego de um adolescente que ganhou essas proporções por conta da vulnerabilidade da internet.
Por conta de ser menor de idade, a corte canadense o sentenciou a oito meses em detenção juvenil.
Mais uma do tempo antes do cibercrime como conhecemos, e, portanto, não tinha como alvo lucrar. Nesse caso tratava-se de maldade por si só.
O Code Red atacava computadores com o servidor web IIS da Microsoft. Deixava uma mensagem que dizia “Hackeado pelos chineses” e conseguiu derrubar até a Casa Branca.
O worm fez três coisas:
a) Substituiu o conteúdo útil de uma página com a seguinte frase:
b) Distribuía-se ao longo de novos servidores web;
c) Executava ataques DDoS em endereços web pré-definidos – o que incluiu a Casa Branca, que foi derrubada em um momento pré-definido, de acordo com o escrito no código.
Reconhece-se que foi capaz de afetar mais de um milhão (!) de servidores web ao redor do mundo, por exemplo, uma porção considerável da internet como um todo. No fim, vivia apenas na memória dos computadores vítima, sem criar qualquer tipo de arquivo.
Quem escreveu o Code Red e porque ainda é um mistério.
O que era particularmente interessante sobre o Code Red é que a vulnerabilidade que foi explorada no servidor web por um worm foi corrigida pela Microsoft um mês antes do ataque. A lição: nunca deixe uma atualização para depois.
5. SQL Slammer (2003)
Esse é um malware dos pequenos, mas perigosos – em todos os seus 376 bytes (sem “kilo”, “mega” ou “giga”). Em janeiro de 2004, ele conseguiu infectar centenas de milhares de servidores do mundo em 15 minutos, aumentando o tráfego global em 25%, deixando a Coreia do Sul sem internet ou telecomunicações (!) por diversas hora. Além disso, o buraco no servidor do Microsoft SQL 2000 que foi explorado havia sido corrigido não um mês, mas seis meses antes!
Em seguida, descobriu-se que havia muitos erros e sistemas informáticos no mundo que sofreram danos sérios. Naquela manhã de sábado ninguém mais de que nosso (agora) maior especialista Aleks Gostev, que estava na KL apenas há um mês, estava sozinho em um turno no fim de semana. Lembro-me bem de seu batismo no combate contra detecção de ameaças e nunca esquecerei dele.
O aumento no tráfego foi algo como isso.
Entre outras coisas essa epidemia interrompeu 13.000 ATMs do Bank of Amercia, e, mesmo que indiretamente, deixou 50 milhões de pessoas no nordeste dos EUA sem eletricidade em agosto de 2003.
Em 2007, o governo da Estônia resolveu mover o Soldado de Bronze de Tallinn, construído no local de diversos túmulos de guerra, do centro da capital para o cemitério militar de Tallinn. A estátua é um memorial aos soldados soviéticos caídos na Segunda Guerra Mundial na luta contra as tropas nazistas. A comunidade falante de russo da Estônia se opôs fortemente contra a mudança, o que não parou por aí, levando a dois motins e prisões em massa. Esse é o contexto.
Foi mais ou menos quando o monumento foi movido que um DDoS histórico foi lançado contra diversas empresas da Estônia. Não foi o maior da história, mas foi o primeiro em que o uso de botnets por um criminoso ameaçou a segurança nacional de um país: parte da Internet da Estônia foi praticamente derrubada. Bancos, provedores de internet, jornais, sites governamentais… tudo deixado sem movimento. Dizem que a Rússia estava por trás de tudo, mas ninguém conseguiu confirmar isso. Apenas sabíamos que botnets criminosos foram usadas, além de entusiastas.
A lição do ataque na Estônia: cibercrime se tornou uma ameaça possível para segurança nacional, e o mundo digital construído revelou-se extremamente vulnerável.
7. DDoS no Sul da Rússia (2007)
Esse é um DDoS bem menos conhecido, mas não menos importante. No verão de 2007, na região russa de Krasnodar, as cidades de Adygea e Astrakhan ficaram apenas com internet intermitente, caia e voltava repetidamente. No fim, a razão era que o DDoS havia derrubado a maior provedora de internet da região.
Naturalmente, houve pânico, com engenheiros correndo feito loucos, roteadores – cérebros em chamas, clientes ensandecidos – até os VIPs – começando a perguntar quando a internet voltaria, a polícia se perguntando quem era o responsável que deveria ser preso e porquê.
Os ataques vieram em ondas por um mês inteiro, chegando a 10 gigabytes por segundo em 2007. O ataque foi realmente pitoresco: usaram botnets, mas usaram sites de troca de arquivos, o que não tinha precedentes fora de projetos de pesquisa. Quem estava por trás do ataque nunca foi descoberto.
O DDoS foi um momento fundamental para a Rússia. A internet inteira da região estava sendo ligada e desligada como um lâmpada e ninguém podia fazer nada sobre: antes do incidente ninguém dava atenção as ameaças DDoS; muito pelo contrário: eram tratadas como ameaças agudas demais para serem levadas a sério. Tecnologias apareceram, e as empresas de telecomunicações começaram a instalar novos kits especializados. Fizemos nossa parte também, desenvolvendo nossa própria solução de segurança.
8. DDoS político na Rússia (2011-2012)
Entre dezembro de 2011 e março de 2012, havia muita tensão política na Rússia: tanto o parlamento de Duma e as eleições presidenciais estavam ocorrendo, e foram acompanhadas de diversas demonstrações políticas. Em cima disso tudo ocorreu um duelo entre forças DDoS opostas. Tanto sites de oposição quanto pró-governo sofreram ataques. Foi a primeira vez na Rússia que métodos cibercriminosos foram usados para fins políticos.
O que esperar do futuro?
Ataques DDoS não pararam em 2012. Na verdade, pelo contrário: uma indústria de comércio de DDooS cresceu. A motivação para isso é clara: dinheiro, cibercrime, ataque a serviços. Hacktivistas também estão nessa, bem como cibercriminosos em geral.
Hoje é difícil de imaginar uma epidemia como o Slammer (mas hoje com tantos dispositivos “inteligentes” conectados à internet e trocando dados, qualquer coisa pode acontecer). Mas os caras malvados não vão desistir, ataques DDoS à Internet das Coisas são prova disso. Nossa dependência da internet e dispositivos smart só aumenta, e com ela o potencial de maiores danos resultantes de qualquer ataque.
Por enquanto, o mundo está estático – um pouco no passado obscuro, um pouco no futuro perigoso. Entre os dois um presente alarmante. Ainda há razões para ser otimista, contudo, temo que ainda veremos muitos ataques DDoS por aí.