O maior ataque cibernético poderia ter sido evitado, diz ENISA

8FBC8EF69090855339A78ECDBB27C1E7AB72 A Ag√™ncia Europ√©ia de Seguran√ßa de Redes e Informa√ß√Ķes analisa o maior ataque da hist√≥ria da Internet em mar√ßo de 2013. A ENISA observa que o incidente, por um lado, mostra que existem fraquezas significativas na infraestrutura da Internet, por outro lado, que sua resili√™ncia, como um todo, √© uma caracter√≠stica inerente. O maior ataque cibern√©tico pode ter trazido uma parte dele de joelhos, mas n√£o conseguiu catalis√°-lo, observa a Organiza√ß√£o com sede em Heraklion, Creta.

O alvo do ataque foi a organização sem fins lucrativos Spamhaus.org, que atende empresas <…>

fornecendo servi√ßos de e-mail. A Spamhaus mant√©m uma “lista negra” de servidores conhecidos por enviar mensagens consideradas spam, ou seja, s√£o enviadas em massa e indefinidamente para usu√°rios de todo o mundo, causando inconvenientes √≥bvios e carga de trabalho na infraestrutura do ISP. Embora n√£o exista evid√™ncia, observa a ENISA, acredita-se que o ataque tenha sido obra de um remetente de spam que ŌĆŌĄőĪőĹ estava com raiva quando Spamhaus o bloqueou e decidiu se vingar dele (enquanto questionava seu papel no “o que acontece e o que n√£o acontece na internet”). )

O que aprendemos com o maior ataque cibernético

  • O incidente n√£o afetou a internet em escala global. No entanto, suas consequ√™ncias foram vis√≠veis localmente. A conclus√£o dessa experi√™ncia √© que a Internet pode ter se mostrado “resiliente”, mas n√£o se deve considerar que uma parte da infraestrutura da Internet que serve uma regi√£o ou um pa√≠s tem a mesma resili√™ncia.
  • Esse ataque prova que conflitos com os principais atores privados podem causar impactos significativos na infraestrutura da Internet.
  • Os ataques ficaram muito mais fortes – o ataque de nega√ß√£o de servi√ßo distribu√≠do mais conhecido em 2012 enviou 100 Gigabits de dados por segundo. O ataque de mar√ßo de 2013 atingiu 300 Gigabits por segundo. Nesta escala, at√© os pontos de conex√£o ISP locais em cada pa√≠s (troca de Internet) est√£o “esgotados”.
  • Um golpe que atingiu os pontos de encontro do movimento dom√©stico para o exterior

    Foi um ataque distribu√≠do que negava servi√ßos aos servidores Spamhaus, o chamado ataque DDoS, que come√ßou em 16 de mar√ßo de 2013. Durou uma semana dramaticamente longa e evoluiu para tr√™s fases: o Spamhaus.org foi originalmente segmentado (mant√©m servidores). em Genebra e Londres), depois CloudFlare, uma empresa chamada a lidar com o ataque √† Spamhaus e, finalmente, aos provedores de acesso √† CloudFlare. Na √ļltima fase do ataque, o tr√°fego extremamente alto criado causou problemas no ponto de conex√£o local dos provedores brit√Ęnicos de acesso √† Internet no pa√≠s com o restante da internet, em Londres (London Internet Exchange). O maior ataque cibern√©tico foi sentido pelos usu√°rios no Reino Unido e na Alemanha, mas tamb√©m em outras partes da Europa Ocidental, observa a ENISA.

    Os métodos de ataque são bem conhecidos e os métodos de defesa são bem conhecidos

    Os m√©todos usados ‚Äč‚Äčpara atacar o DDoS s√£o conhecidos h√° anos, assim como os m√©todos usados ‚Äč‚Äčpara lidar com eles, disse Thomas Haeberlen, especialista em seguran√ßa de redes e informa√ß√Ķes, e Rossella Mattioli, diretora de seguran√ßa e resili√™ncia de redes de comunica√ß√£o da ENISA.

    Ataque eficaz sem dinheiro e recursos

    Essa √© a chamada amplifica√ß√£o de DNS, que permite ao invasor lan√ßar um ataque que causar√° grande tr√°fego para os servidores de destino, sem a necessidade de recursos apropriados para causar o golpe, ou seja, com poder m√ļltiplo de 1 a 100 (David vs. Golias) . √Č poss√≠vel usar um estilingue simples (alguns bytes), pois os servidores DNS podem aceitar solicita√ß√Ķes para combinar nomes de endere√ßos da Web com seus equivalentes num√©ricos e retornar o resultado a um destinat√°rio diferente pelo remetente da solicita√ß√£o. De fato, as solicita√ß√Ķes para os servidores DNS (e existem milhares delas) resultaram no envio de “respostas” particularmente extensas aos servidores de destino, ou seja, com algumas dezenas de bytes do atacante, o alvo foi “atingido” com v√°rios milhares de bytes.

    Exploração da cortesia dos garçons

    Al√©m da amplifica√ß√£o do DNS, outra t√©cnica, tamb√©m conhecida h√° anos, foi explorada por invasores. Resolvedores abertos s√£o servidores DNS que s√£o gentis o suficiente para traduzir todos os endere√ßos que recebem, n√£o apenas aqueles que s√£o de sua responsabilidade (por exemplo, cada ISP possui um conjunto diferente de endere√ßos num√©ricos). Essas boas inten√ß√Ķes s√£o explor√°veis ‚Äč‚Äče podem fortalecer ainda mais os ataques DDoS, como j√° foi comprovado v√°rias vezes, dizem os especialistas.

    Fomos apanhados despreparados

    A Organiza√ß√£o Europeia tamb√©m conclui que os provedores de servi√ßos de rede n√£o implementam recomenda√ß√Ķes que abordam esses problemas conhecidos, emitidos h√° 13 anos (Filtro de ingresso na rede: derrotando ataques de nega√ß√£o de servi√ßo que empregam falsifica√ß√£o de endere√ßos de origem IP http: //tools.ietf.org/html/bcp38). Tamb√©m foi emitida uma recomenda√ß√£o relevante em 2008 para limitar o fen√īmeno da opera√ß√£o do servidor DNS, para que um ataque desse tipo n√£o pudesse assumir grandes propor√ß√Ķes (Evitando o uso de servidores de nomes recursivos em ataques de refletor http://tools.ietf.org/html/bcp140 )

    Um ataque óbvio à credibilidade dos relatórios do Spamhaus.org

    A ag√™ncia tamb√©m descobriu que o m√©todo de seq√ľestro de rota do Border Gateway Protocol (BGP) foi usado no maior ataque da Internet. O objetivo dos invasores era explor√°-lo para prejudicar a credibilidade dos relat√≥rios da Spamhaus, pois qualquer endere√ßo IP “limpo” era “infectado” para que pudesse ser considerado pelo servi√ßo como spam. O protocolo refere-se √† troca de informa√ß√Ķes de roteamento no “portal” onde os provedores de acesso se encontram, a fim de criar uma rela√ß√£o de confian√ßa entre os endere√ßos agora conhecidos que existem em cada rede e acelerar sua comunica√ß√£o (j√° que as informa√ß√Ķes de roteamento s√£o conhecidas). Em um ataque de seq√ľestro, “piratas” assumem o controle de um grupo de endere√ßos de um provedor inteiro, sem, √© claro, autoriz√°-lo e, assim, realizam v√°rias a√ß√Ķes, como pesca de dados, envio de spam e assim por diante. A an√°lise mais importante do ataque aqui √© que “piratas” podem ser identificados, em contraste com os respons√°veis ‚Äč‚Äčpelos m√©todos de ataque acima mencionados (amplifica√ß√£o do DNS, resolvedores abertos). A ENISA se refere a uma an√°lise relevante no artigo intitulado “Analisando o spamhaus DDOS sob a perspectiva do BGP” em http://www.bgpmon.net/looking-at-the-spamhouse-ddos-from-a-bgp-perspective /

    N√£o sabemos quem pode pagar o que

    Talvez a conclusão mais importante da análise da Organização Européia de Segurança seja que não analisamos suficientemente a complexidade e as interdependências, mas também o papel de todos os envolvidos na operação da Internet Рcabos, centros de hospedagem de servidores, ISP, troca de internet. No entanto, há muito a ser feito em breve, começando com a implementação das medidas que já foram emitidas há muitos anos.

    Fonte: tech.in.gr