Hoje, diversos sites e serviços – incluindo Spotify e Twitter – ficaram inacessíveis devido a um ataque DDoS (negação de serviço distribuída) na Dyn, um importante provedor de DNS.

Detalhes de como isso aconteceu permanecem vagos, mas algo parece certo: nossa internet é assustadoramente frágil em face de ataques cada vez mais sofisticados.

Como destruir a internet
O que aconteceria com a internet se a humanidade desaparecesse?

Basicamente, ataques DDoS funcionam assim: um hacker envia uma enxurrada de pacotes para um alvo – no caso, servidores DNS do provedor Dyn. O servidor fica sobrecarregado com os pacotes e não consegue lidar com o tráfego, tornando-se significativamente lento ou desligando de vez.

É horrível saber que grandes sites como Twitter, Spotify, Reddit, Etsy, Wired e PayPal podem ser colocados offline em um instante. E é importante para todos os usuários de internet entender como esse ataque DDoS interfere na forma como a internet funciona.

Como é a tecnologia?

Servidores de nome de domínio (DNS) agem como a lista telefônica da internet, facilitando pedidos para páginas específicas. Eles se certificam de que você chegue ao lugar certo cada vez que digita um site em seu navegador. Hackers às vezes atacam provedores de DNS para derrubar os sites que eles estão servindo.

Essa é uma visão bem básica; vamos nos aprofundar mais um pouco. Um usuário típico da internet começa em um de muitos computadores (como o seu laptop) em uma grande rede, conectados através de cabos subterrâneos.

Os nós individuais nestas redes se comunicam uns com os outros através de um número conhecido como endereço IP. O DNS é usado para traduzir uma URL (www.gizmodo.com.br) em um endereço IP.

Quando você digita uma URL, o navegador começa a tentar descobrir onde está esse site consultando uma série de servidores – servidores de resolução de nomes, servidores autoritativos, registradores de domínio, e assim por diante. O sistema é precisamente configurado para levar você de barra de endereços a um site sem problemas, e tudo acontece quase instantaneamente.

A qualquer momento em que você está navegando na web, abrindo dezenas de abas, pedindo por um monte de sites diferentes, o computador consulta servidores ao redor do mundo para que você obtenha a informação certa. E isso simplesmente funciona… até não funcionar mais.

Como se quebra o DNS?

Em um ataque DDoS, hackers frequentemente usam computadores infectados para criar uma inundação de tráfego proveniente de muitas fontes diferentes, potencialmente milhares ou mesmo centenas de milhares de dispositivos.

Dessa forma, um hacker pode efetivamente contornar quaisquer bloqueios colocados em um único endereço IP. Isso também torna mais difícil identificar um pedido legítimo comparado ao que vem de um ataque.

No caso de hoje, hackers derrubaram os servidores da Dyn, um host DNS imensamente popular que administra sites como o Basecamp, CNN, Etsy, Github, GrubHub, HBO Now, Imgur, Paypal, Playstation Network, Reddit, Squarespace e Twitter.

A Dyn divulgou esta declaração sobre o ocorrido:

Desde às 11:10 UTC de sexta-feira, 21 de outubro de 2016, começamos a monitorar e mitigar um ataque DDoS contra a nossa infraestrutura Dyn Managed DNS. Alguns clientes podem sofrer um aumento na latência DNS e propagação com atraso durante este tempo. Mais detalhes serão divulgados à medida que obtivermos mais informações.

Quando os servidores da Dyn foram derrubados, os navegadores basicamente não conseguiam descobrir onde ir para encontrar a informação para carregar na tela.

Este tipo de ataque acontece de vez em quando, quando hackers criam um pequeno exército de computadores particulares infectados com software malicioso, algo conhecido como botnet. Quem participa do ataque frequentemente não percebe que o computador foi comprometido, nem que faz parte de um exército de zumbis.

Em 2014, um grupo de hackers chamado Lizard Squad derrubou a Playstation Network e o Xbox Live usando esse método. Em 2015, um vírus trojan chamado XOR DDoS ajudou hackers a criar uma poderosa botnet capaz de derrubar praticamente qualquer servidor ou site.

afzq84ntmddssxerccgg (1)

Por que isso se tornará mais frequente?

Recentemente, nós entramos em um novo paradigma de DDoS. Como observa o especialista em segurança Brian Krebs, a capacidade de sequestrar dispositivos inseguros da internet coisas e transformá-los em um exército massivo para DDoS vem contribuindo para um aumento no tamanho e escala dos ataques recentes.

E, como explica o especialista em segurança Bruce Schneier:

Ao longo do último ano ou dois, alguém vem sondando as defesas das empresas que comandam peças críticas da internet. Isto assume a forma de ataques precisamente calibrados, concebidos para determinar exatamente como essas empresas podem se defender, e o que seria necessário para derrubá-las. Não sabemos quem está fazendo isso, mas parece que é um Estado-nação grande – China e Rússia seriam os meus primeiros palpites.

Alguns pensam que o ataque foi uma conspiração política, como uma tentativa de derrubar a internet para que as pessoas não sejam capazes de ler os e-mails de Hillary Clinton, candidata à presidência nos EUA, que o WikiLeaks vazou. Outros acham que é um ataque russo.

De um jeito ou de outro, este tipo de ataque é profundamente diferente dos ataques DDoS que ganhavam as manchetes antes. Em 2011, hackers do coletivo Anonymous ganharam fama com ataques muito menores do que o lançado hoje à Dyn. Em vez de tirar do ar um site por curtos períodos de tempo, os hackers foram capazes de derrubar uma peça importante do backbone da internet – e isso duas vezes no mesmo dia. É algo enorme.

Se os hackers conseguem comandar botnets extensas para DDoS com mais facilidade, isso significa que a internet como a conhecemos se torna mais vulnerável. Atacar grandes infraestruturas de internet como a Dyn sempre foi uma possibilidade, mas está cada vez mais real – ou seja, alguns de nossos sites favoritos devem passar por mais tempo de inatividade do que o normal.

Estes ataques poderão se prolongar para outros grandes componentes de infraestrutura da internet, causando interrupções ainda mais generalizadas. Este poderia ser o começo de um futuro muito sombrio. O que acontece quando hackers são capazes de derrubar a internet à vontade?

Como é possível se proteger?

É uma pergunta importante. Como podemos evitar ataques como este, que rouba acesso à internet de milhões de pessoas e custa milhões de dólares em receita às empresas?

A resposta é complicada. Assim que as companhias de segurança criam novas maneiras de proteger empresas como a Dyn, hackers chegam a novas maneiras de atacá-las.

No caso da infraestrutura da DNS, no entanto, muitos apontam que a melhor maneira para um site evitar ser derrubado por um ataque em um host é simplesmente se inscrever em vários hosts. Isso é chamado de redundância de DNS, e é provavelmente a razão pela qual alguns sites (como o Pornhub) sobreviveram ilesos ao ataque.

Defender servidores contra ataques DDoS pode ser difícil, mas existem maneiras de prevenir interrupções. De acordo com a Network World, um dos métodos mais comuns utilizados é a amostragem de fluxo, em que o sistema obtém amostras de pacotes e identifica tendências no tráfego da rede. Um dispositivo de análise de fluxo avalia o tráfego e identifica pacotes potencialmente ruins.

Colaborou: William Turton.