O GLOBO - Informática Etc. - Carlos Alberto Teixeira
Artigo: 453 - Escrito em: 2000-05-04 - Publicado em: 2000-05-08


Novo ataque em vista


Mstream será a nova ferramenta de ataques DDoS

Eu me rendo. Muito embora o dedinho já caia automaticamente no Shift na hora de escrever o nome da grande rede, estarei a partir de hoje grafando internet asim mesmo, começando com minúscula. Imaginem quantas vezes se digita a palavra "internet" no mundo inteiro em um dia. O somatório mundial do tempo perdido teclando Shift para digitar o "i" maiúsculo é um desperdício inaceitável. Depois da supressão do hífen de "email", esta é, portanto, minha nova iniciativa no sentido de simplificar a vida.

Mas não era sobre nada disso que pretendia escrever hoje. Apenas coloquei este preâmbulo pois já ia eu grafando internet como antigamente e lembrei de comunicar minha decisão à leitora tão querida. Meu tema hoje na verdade é a promiscuidade, esse contato íntimo tão esquisito que muitas vezes se dá entre os hackers do underground informático e certos cientistas e investigadores. No início da década de 1990, por exemplo, as maiores fábricas de virus ficavam na Bulgária e na União Soviética, como se vê em <www.claws-and-paws.com/virus/papers/bulgfact.shtml>. Nestes tempos, em que começaram a surgir os temíveis virus polimórficos <www.bocklabs.wisc.edu/~janda/polymorf.html>, um certo cientista búlgaro chamado Vesselin Vladimirov Bontchev <bontchev@complex.is> chamou a atenção por ser o mais gabaritado estudioso da matéria, descobrindo os meandros dos algoritmos mutantes MtE. Acredita-se até hoje que os fabricantes dos virus mais temíveis eram justamente os alunos do Dr. Bontchev. Não que esteja eu desconfiando do notável sábio, mas que é estranho, lá isso é. Has hoje em dia o Vess <http://sun.soci.niu.edu/~rslade/vess.htm> já está em outra, contratado pelo famoso islandês, meu amigo Fridrik Skulason <frisk@complex.is>, produtor do software antivirus F-Prot. Ambos já são velhos conhecidos da leitora mais antiga, como se vê em <www.oglobo.com.br/arquivo/info/cat/073.htm>, <www.oglobo.com.br/arquivo/info/cat/103.htm> e <www.oglobo.com.br/arquivo/info/cat/129.htm>. Pelo menos para o legendário búlgaro, a promiscuidade acabou.

Atualmente, o fenômeno destrutivo que mais atormenta a comunidade da internet são os ataques DDoS (Distributed Denial of Service), que assolaram grandes sites como Yahoo!, Amazon, CNN, E*Trade e outros, em fevereiro passado. Já apareceu uma nova ferramenta de ataques distribuidos chamada "Mstream", que aparentemente reúne o poderio das avassaladoras Trinoo, TFN2K e Stacheldraht. O Mstream, apesar de ainda estar aparentemente numa fase primária de desenvolvimento, será capaz de desfechar ataques ainda mais poderosos utilizando um número menor de bases. Apenas para refrescar a memória da leitora, para levar a termo um ataque DDoS, o hacker invade vários sites pouco seguros e planta neles programas ofensivos que ficam esperando um comando seu ou uma data de gatilho. Quando chega o momento da ofensiva, todos os programas descarregam simultaneamente um volume arrasador de dados sobre o site vítima e ele não agüenta o rojão. Resultado: o sistema cai.

O ambiente universitário é um campo fértil para o aparecimento de hackers muito bem preparados. Os ataques de fevereiro, por exemplo, já vinham sendo profetizados muitos meses antes por professores e sysamdins que andavam ouvindo zumzumzum pelos corredores. Um desses cobras é o David Dittrich <dittrich@cac.washington.edu>, sysadmin da Universidade de Washington, que efetuou uma detalhada análise do Mstream, em pareceria com outros feras. Dave encontrou uma cópia do Mstream em pleno desenvolvimento numa máquina rodando Linux numa grande universidade americana que ele não quis dizer qual foi. Aqui está novamente aquela velha promiscuidade acontecendo. O cara que escreve a ferramenta destrutiva está bem pertinho do sujeito que vai desvendando o mistério. Isso me cheira muito mal. Novamente, não estou dizendo que o Dave está com o rabo preso, mas a proximidade entre mocinho e bandido deixa uma pulga atrás da orelha.

O código-fonte do Mstream foi postado anonimamente em 29 de abril passado nas listas <vuln-dev@securityfocus.com> e BUGTRAQ. Como o fonte já está na boca do povo, os hackers discípulos já o andaram alterando, fazendo com que existam na praça diferentes versões do código maligno. O Mstream causa danos não apenas ao site vítima, mas também ao site invadido de onde partem os ataques. A técnica usada pelos adminstradores para evitar ataques como os de fevereiro chama-se "egress filtering", mas mesmo assim, o roteador da rede onde foi encontrado o Mstream, que servia 18 sub-nets, ficou inoperante depois dos testes.

O Mstream fica instalado no servidor agente e se esconde do sistema, aguardando apenas uma password, que pode ser "N7%diApf!" ou "sex", para entrar em ação. Apesar de ainda estar em pré-Beta e bem buguento, o programa é até bem feitinho, oferecendo um menu de comandos e um help para os vândalos que o utilizarem no campo. Os comandos mais drásticos são "stream" (ataque a um único IP) e "mstream" (múltiplos streams).

Agora, só nos resta esperar pelo primeiro ataque. Em sua impecável análise <http://staff.washington.edu/dittrich/misc/mstream.analysis.txt>, Dave afirma que não há defesas contra o Mstream: "Estamos todos ferrados". Segundo ele, exagerado como quê, a saída é "comprar terras no estado de Montana, fazer estoque de comida não perecível e armas semi-automáticas". Talvez para viver como o Unabomber vivia antes de ser pego.


[ Voltar ]