A CIA (Central Intelligence Agency, ou Agência de Inteligência Americana), PayPal, e centenas de outras organizações registraram nos últimos dias um ataque inexplicável que está bombardeando seus servidores com milhões de requisições, de forma intensiva. Os ataques continuam ainda no dia de hoje, 4 de fevereiro.
Segundo o site SecurityFocus, a ofensiva está concentrando seu poder de fogo no subsistema SSL (secure-sockets layer) dos websites, uma camada de criptografia responsável por prover segurança nas comunicações entre os sites e internautas.
Sempre que se entra em um site seguro, o protocolo lá na barra de endereços do navegador muda de http para http*s*. Esse S no final indica que as requisições HTTP (o protocolo de comunicações entre o browser e o site) estão sendo "envelopadas" em um invólucro criptografado pelo SSL.
Cada vez que uma conexão SSL é aberta, o servidor que hospeda o site e o link de comunicação que o liga à internet ficam um pouco mais carregados. A tática usada pelos hackers consiste em iniciar uma quantidade enorme de conexões SSL, exaurindo assim todos os recursos do servidor e não deixando "sobra" para que visitantes legítimos possam acessá-lo ¿ é o que se costuma chamar de Ataque de Negação de Serviço ou, em inglês, Distribution Denial of Service (DDoS).
Os ataques, que ainda estão acontecendo no momento de publicação desta nota, começaram há cerca de uma semana, e parece ser causado por mudanças recentes feitas em uma ferramenta conhecida como Pushdo, uma espécie de botnet usado para prática de spam.
Pesquisadores da Shadowserver Foundation, um grupo de profissionais de segurança, analisaram os dados das redes das empresas afetadas."O que se vê é um aumento não esperado no tráfego de dados, com muitos milhões de requisições, vindas de milhares de endereços IP diferentes", explicou Steven Adair, um dos voluntários da Shadowserver.
O grupo identificou 315 sites como alvo do ataque, que incluem o cia.gov, paypal.com, além de yahoo.com, americanexpress.com e sans.org. Não ficou claro, contudo, qual motivo levou a botnet Pushdo a desencadear a onda de pedidos.
A maneira como cada um dos PCs infectados participa do ataque, entretanto, pode ser facilmente inferida: primeiro, cada PC inicia algumas conexões SSL simultâneas (uma botnet possui milhares de escravos, logo isso pode facilmente chegar a milhões de requisições ao mesmo tempo).
Depois, através de cada conexão, os PCs participantes enviam informações desnecessárias, desconectam-se e imediatamente repetem todo o ciclo. Segundo os registros armazenados nos servidores sob ataque, as solicitações espúrias não faziam nada além disso.
"Achamos difícil de acreditar que essa quantidade de atividade seria usada com o intuito de se misturar ao tráfego normal dos dados", diz Adair, referindo-se ao fato de que qualquer ataque, mesmo os mais brutos como os de Negação de Serviço, costumam ser mais discretos. "Mas, ao mesmo tempo, não temos total certeza de se tratar mesmo de um ataque de Negação de Serviço".
Ainda não se tem uma solução concreta para o problema. Alterar os endereços IP dos servidores pode proporcionar um alívio temporário. A Shadowserver pede para que profissionais que possuam melhores técnicas de entrem em contato para ajudar. O relatório completo pode ser encontrado a partir do link bit.ly/ShadReport.
Zumbis e botnets
Além do medo tradicional de que o hacker obtenha informações do próprio usuário, invasões a computadores domésticos ¿ e, pelo visto, a servidores também ¿ estão sendo usadas pelos cybercriminosos para um mal maior.
As botnets são redes formadas por computadores infectados por vírus especiais capazes de torná-los "zumbis". Uma vez infectado, um zumbi pode ser controlado a distância por pessoas ou organizações criminosas.
Todos os zumbis podem ser controlados ao mesmo tempo e de forma coordenada, formando um exército manejado por uma única pessoa. Isso pode ser usado para enviar spam com abrangência global e até mesmo para atacar a infraestrutura de internet de países inteiros. Botnets famosas têm um elevado número estimado de zumbis.
A Storm network, por exemplo, controla cerca de 80 mil computadores, enquanto o recente Conficker infectou algo em torno de 15 milhões de máquinas. Os zumbis também podem repassar o software que os infectou, ajudando a escravizar mais PCs sadios.
Hoje, estima-se que o interesse dos criminosos digitais pelos dados de um usuário doméstico seja muito pequeno. A grande motivação desses hackers é formar uma espécie de "legião zumbi" para poder atacar instituições maiores, sejam empresas ou governos.
Fonte: http://tecnologia.terra.com.br
Nenhum comentário:
Postar um comentário