O GLOBO - Informática Etc. - Carlos Alberto Teixeira
Artigo: 226 - Escrito em: 1995-07-17 - Publicado em: 1995-07-24


Esquimó numa fria


O provedor de serviços Eskimo North <[email protected]>, de Seattle, EUA, com cerca de 3.000 usuários assinantes, teve que interromper temporariamente suas atividades após ter sido severamente afetado pelo ataque de um (ou mais de um) cracker, que conseguiu burlar todas as barreiras de segurança do sistema. O intruso acessou a máquina do Eskimo através de um link Internet no estado de Dakota do Norte, mas sua localização real ainda é desconhecida.

O ataque se deu no final do mês passado e resultou, entre outras coisas, na destruição dos arquivos pessoais do administrador do site, Robert Dinse. Foram deletados também arquivos de accounting do sistema (contabilidade de uso das instalações) e foi acessado um arquivo que continha todas as passwords dos usuários do Eskimo North. Após o ataque, o invasor ainda telefonou para o administrador à guisa de gozação.

Dias depois do ocorrido, os usuários do Eskimo ainda não sabiam direito o que havia acontecido. Muitos deles tiveram que se logar a outros provedores de serviço para tomarem pé da situação.

O cracker penetrou na conta root (raiz) de um sistema freenet em Ottawa, Ontario, Canada. O sistema chama-se freenet.carlton.ca e nele foi sorrateiramente instalado um sniffer, programa farejador que, entre outras coisas, capturou códigos de usuários e suas senhas de acesso. Quando um usuário acessava o freenet para dar login no Eskimo North via telnet, o sniffer estava de olho e pescava a password.

O passo seguinte do facínora foi dar um login remoto no Eskimo a partir do site badlands.nodak.edu usando uma das contas roubadas. Assumiu privilégios de root mais uma vez, provavelmente explorando uma falha no bin.mail. Profundo conhecedor de Unix, o infrator alterou diversos utilitários do sistema, fazendo-os parecer que ignoravam a nova situação de vulnerabilidade da configuração. Além disso, mexeu em vários outros módulos do núcleo, afetando todas as máquinas do Eskimo North e, para completar, lá deixou outro sniffer rodando. Com isso, provavelmente, faturou mais um monte de senhas secretas de usuários que entravam no Eskimo e dali davam telnet para outras máquinas a que tinham acesso.

Depois desse inferno e desconfiando então de todos os executáveis do sistema, o administrador pôs-se a recompilar tudo a partir do zero. Bem que poderia baixar backups antigos de fita, mas agindo assim não poderia ter certeza de que o cracker não pudesse ter invadido o sistema antes e introduzido alguma backdoor nos utilitários há mais tempo. Cerca de 50 experts em segurança ofereceram-se para dar suporte ao administrador neste momento difícil. Tomara que um deles não seja o próprio invasor.

O problema é o de sempre, ou seja, existe um alto risco em se transmitir user-id's (identificações de usuário) e senhas de forma não-cifrada através da Internet. Qualquer um que se pendure ao fluxo poderá sugar o tráfego todo. Com um programa filtro não muito complicado, é só pesquisar e encontrar o que se busca.

Para completar a porca miséria, o Robert foi traído por uma unidade de fita backup 8mm, modelo DN8500, que tornou as fitas backup mais recentes ilegíveis. Ele e seus auxiliares foram forçados a recuperar os dados a partir de um backup de março e de registros em papel. Andaram experimentando um drive de fita DAT de 5 Gigabytes, mas também tiveram azar com as fitas. A situação de se ter enormes massas de dados para backupear aflige muito administrador de site por aí. No caso do Eskimo North, com a implantação de um novo servidor Usenet, o tamanho do backup periódico chegará a 100 Gigas.

O pobre Robert Dinse está profundamente consternado, conforme se pode notar em sua home page em www.eskimo.com. Ele pretende promover um esquema de cooperação entre os provedores de acesso Internet de forma a diminuir as chances de novos ataques deste tipo, em que o ofensor sai pulando de site em site, dificultando seu rastreamento. A trabalheira que o pessoal do Eskimo North está tendo não é fácil: é preciso contatar e estudar os casos de 3.000 usuários pagantes, 500 em fase de experiência e 1.500 de contas expiradas ou inativas.

Muitos outros provedores, vítimas de ataques similares, acabaram fechando suas portas porque optaram por colocar o sistema no ar com rapidez, não dando suficiente atenção à melhoria das condições de segurança do site. Com isso, outros crackers iam desfechando novos ataques e acabavam fazendo o administrador pendurar a chuteira. Os assinantes do Eskimo North já foram avisados de que a retomada integral das operações vai demorar, mas, segundo o azarado administrador, quando voltar, o sistema estará tinindo... até o próximo ataque.


[ Voltar ]