O GLOBO - Informática Etc. - Carlos Alberto Teixeira
Artigo: 442 - Escrito em: 2000-02-11 - Publicado em: 2000-02-14

O mais pesado ataque da História

Sites importantes sofreram ofensiva jamais vista, mas ficou uma boa lição para todos eles

Na semana passada, diversos sites sofreram pesadíssimos ataques, afetando Yahoo, Amazon, eBay, E*Trade, Buy.com, CNN e Datek, entre outros. É claro que isso novamente abalou a confiança dos internautas na sua querida Rede. Mas pensando bem, existem assaltos a lojas, roubos, golpes, sabotagens e incêndios criminosos também no mundo real. E nem por isso os estabelecimentos fecham nem os clientes deixam de comprar. Portanto, o comércio eletrônico vai bem, obrigado.

Do ponto de vista técnico, porém, esses ataques foram realmente especiais. Uma excelente cobertura em inglês pode ser encontrada no site da primeira vítima, em <http://fullcoverage.yahoo.com/fc/Tech/Hackers_and_Crackers>. A técnica de ataque usada foi a DDoS, "Distributed Denial of Service" (negação distribuída de serviço), já bem manjada pelos administradores de sistemas. Quando um usuário acessa um servidor na Internet, existe um rápido bate-papo, invisível para nós, travado entre os dois computadores. Essa conversinha tem o nome genérico de "handshaking" (aperto de mão) e se dá em diversos níveis de software. Numa conexão comum, a troca de figurinhas começa com a máquina do usuário enviando uma mensagem para o servidor pedindo-lhe que o autentique, um "Alô, estou aqui!". O servidor responde autenticando o usuário, algo como "Seja bem-vindo". Em seguida, o computador do usuário envia uma última mensagem de protocolo, reconhecendo que foi autenticado. É como um "Obrigado". Só depois disso é que se inicia a conexão propriamente dita, com envio e recebimento de dados por ambas as partes.

No caso de um ataque "denial of service" comum, o computador do usuário envia um número imenso de requisições iniciais de autenticação para o servidor, abarrotando-o. Para piorar, cada uma dessas requisições tem um endereço falso de retorno, de modo que o servidor fica malucão na hora responder com boas vindas a cada uma delas. E mais: a cada tentativa inglória, o servidor dá um tempo de espera antes de tentar novamente enviar a mensagem de reconhecimento para o falso endereço. Depois de algumas tentativas, o servidor desiste e vai tentar atender à próxima requisição. Agora, imagine todo esse procedimento multiplicado por milhares ou milhões de requisições enviadas propositalmente uma após a outra para o mesmo servidor. O resultado óbvio é que o bicho não agüenta e o sistema trava.

Ataques dessa natureza já são figurinha fácil na rede desde 1998 e muitos exemplos deles podem ser encontrados em <www.technotronic.com/denial.html> e <www.rootshell.com>, por exemplo. Mas quem planejou essa operação distribuída é gente de cuca esperta e teve que passar um bom tempo antes instalando secretamente ferramentas de ataque automático em vários computadores pela Internet afora, sem que os donos deles soubessem disso. Três dessas ferramentas avançadas foram descritas por um consultor da Universidade de Washington de nome Dave Dittrich, um mau esquiador, pelo que se vê na foto em <www.washington.edu/People/dad/>. Neste site, sob o tópico "Papers/Articles/Reports", é possível acessar as detalhadas especificações das armas "trinoo" (ou trin00), "Tribe Flood Network" (TFN) e "stacheldraht". Há uma outra arma chamada "Trank", mas ainda não foi devidamente estudada. Se a leitora quiser vasculhar seu próprio site para saber se existe alguma dessas maravilhas escondidas nele, use o serviço grátis de procura em <www.mycio.com/asp_subscribe/trial_zombiecc.asp>.

Segundo Dave, para preparar o ataque, basta roubar uma conta num sistema grande, com muitos usuários, e nele guardar os programas de ataque compilados e prontos para uso. Depois faz-se uma varredura em busca de possíveis alvos, que podem ser qualquer máquina, mas de preferência aquelas rodando Sun Solaris 2.x e Linux. De posse da lista de alvos, cria-se um script de ataque que explore todo um conjunto de vulnerabilidades conhecidas. Faz-se um teste para descobrir quais alvos estão realmente abertos e vai-se plantando as ferramentas de ataque no maior número de contas roubadas possível. Se tudo for feito com cuidado, não ficam pistas. No dia escolhido, é só dar um "enter" e pimba! O ataque começa, desferido por uma só pessoa. Nessas recentes ofensivas, as vítimas eram esmagadas por tráfegos de até 1,3 Gigabits por segundo, que se mantinham por horas a fio. Não há configuração que agüente uma carga assim.

Começaram dizendo que foram os hackers os culpados de tudo. Mas há quem especule que tenha sido o próprio governo americano que engendrou a coisa toda, visando obter maior dotação orçamentária para vigilância de comunicações no ano que vem, conforme foi divulgado num artigo de Leander Kahney da revista Wired, em <www.wired.com/news/politics/0,1283,34285,00.html>. Nesta matéria é mencionado que o governo Clinton atribuiu alta prioridade ao combate aos crimes eletrônicos, tendo alocado US$ 240 milhões para a construção de uma rede de interceptação secreta de informações. Dias depois dessas medidas, os computadores espiões da NSA (National Security Agency) experimentaram travadas inexplicáveis, seguidas dessas recentes tentativas vitoriosas de derrubar sites ligados ao comércio eletrônico.

No final das contas, fica difícil provar quem esteve por trás de tudo isso. Se pegarem um bode expiatório, ele vai comer o pão que o diabo amassou. Mas se foi mesmo um hacker, e se o cara for realmente esperto, não pegam a figura de jeito nenhum.

[ Voltar ]