O maior ataque cibernético poderia ter sido evitado, diz ENISA

8FBC8EF69090855339A78ECDBB27C1E7AB72 A Agência Européia de Segurança de Redes e Informações analisa o maior ataque da história da Internet em março de 2013. A ENISA observa que o incidente, por um lado, mostra que existem fraquezas significativas na infraestrutura da Internet, por outro lado, que sua resiliência, como um todo, é uma característica inerente. O maior ataque cibernético pode ter trazido uma parte dele de joelhos, mas não conseguiu catalisá-lo, observa a Organização com sede em Heraklion, Creta.

O alvo do ataque foi a organização sem fins lucrativos Spamhaus.org, que atende empresas <…>

fornecendo serviços de e-mail. A Spamhaus mantém uma “lista negra” de servidores conhecidos por enviar mensagens consideradas spam, ou seja, são enviadas em massa e indefinidamente para usuários de todo o mundo, causando inconvenientes óbvios e carga de trabalho na infraestrutura do ISP. Embora não exista evidência, observa a ENISA, acredita-se que o ataque tenha sido obra de um remetente de spam que όταν estava com raiva quando Spamhaus o bloqueou e decidiu se vingar dele (enquanto questionava seu papel no “o que acontece e o que não acontece na internet”). )

O que aprendemos com o maior ataque cibernético

  • O incidente não afetou a internet em escala global. No entanto, suas consequências foram visíveis localmente. A conclusão dessa experiência é que a Internet pode ter se mostrado “resiliente”, mas não se deve considerar que uma parte da infraestrutura da Internet que serve uma região ou um país tem a mesma resiliência.
  • Esse ataque prova que conflitos com os principais atores privados podem causar impactos significativos na infraestrutura da Internet.
  • Os ataques ficaram muito mais fortes – o ataque de negação de serviço distribuído mais conhecido em 2012 enviou 100 Gigabits de dados por segundo. O ataque de março de 2013 atingiu 300 Gigabits por segundo. Nesta escala, até os pontos de conexão ISP locais em cada país (troca de Internet) estão “esgotados”.
  • Um golpe que atingiu os pontos de encontro do movimento doméstico para o exterior

    Foi um ataque distribuído que negava serviços aos servidores Spamhaus, o chamado ataque DDoS, que começou em 16 de março de 2013. Durou uma semana dramaticamente longa e evoluiu para três fases: o Spamhaus.org foi originalmente segmentado (mantém servidores). em Genebra e Londres), depois CloudFlare, uma empresa chamada a lidar com o ataque à Spamhaus e, finalmente, aos provedores de acesso à CloudFlare. Na última fase do ataque, o tráfego extremamente alto criado causou problemas no ponto de conexão local dos provedores britânicos de acesso à Internet no país com o restante da internet, em Londres (London Internet Exchange). O maior ataque cibernético foi sentido pelos usuários no Reino Unido e na Alemanha, mas também em outras partes da Europa Ocidental, observa a ENISA.

    Os métodos de ataque são bem conhecidos e os métodos de defesa são bem conhecidos

    Os métodos usados ​​para atacar o DDoS são conhecidos há anos, assim como os métodos usados ​​para lidar com eles, disse Thomas Haeberlen, especialista em segurança de redes e informações, e Rossella Mattioli, diretora de segurança e resiliência de redes de comunicação da ENISA.

    Ataque eficaz sem dinheiro e recursos

    Essa é a chamada amplificação de DNS, que permite ao invasor lançar um ataque que causará grande tráfego para os servidores de destino, sem a necessidade de recursos apropriados para causar o golpe, ou seja, com poder múltiplo de 1 a 100 (David vs. Golias) . É possível usar um estilingue simples (alguns bytes), pois os servidores DNS podem aceitar solicitações para combinar nomes de endereços da Web com seus equivalentes numéricos e retornar o resultado a um destinatário diferente pelo remetente da solicitação. De fato, as solicitações para os servidores DNS (e existem milhares delas) resultaram no envio de “respostas” particularmente extensas aos servidores de destino, ou seja, com algumas dezenas de bytes do atacante, o alvo foi “atingido” com vários milhares de bytes.

    Exploração da cortesia dos garçons

    Além da amplificação do DNS, outra técnica, também conhecida há anos, foi explorada por invasores. Resolvedores abertos são servidores DNS que são gentis o suficiente para traduzir todos os endereços que recebem, não apenas aqueles que são de sua responsabilidade (por exemplo, cada ISP possui um conjunto diferente de endereços numéricos). Essas boas intenções são exploráveis ​​e podem fortalecer ainda mais os ataques DDoS, como já foi comprovado várias vezes, dizem os especialistas.

    Fomos apanhados despreparados

    A Organização Europeia também conclui que os provedores de serviços de rede não implementam recomendações que abordam esses problemas conhecidos, emitidos há 13 anos (Filtro de ingresso na rede: derrotando ataques de negação de serviço que empregam falsificação de endereços de origem IP http: //tools.ietf.org/html/bcp38). Também foi emitida uma recomendação relevante em 2008 para limitar o fenômeno da operação do servidor DNS, para que um ataque desse tipo não pudesse assumir grandes proporções (Evitando o uso de servidores de nomes recursivos em ataques de refletor http://tools.ietf.org/html/bcp140 )

    Um ataque óbvio à credibilidade dos relatórios do Spamhaus.org

    A agência também descobriu que o método de seqüestro de rota do Border Gateway Protocol (BGP) foi usado no maior ataque da Internet. O objetivo dos invasores era explorá-lo para prejudicar a credibilidade dos relatórios da Spamhaus, pois qualquer endereço IP “limpo” era “infectado” para que pudesse ser considerado pelo serviço como spam. O protocolo refere-se à troca de informações de roteamento no “portal” onde os provedores de acesso se encontram, a fim de criar uma relação de confiança entre os endereços agora conhecidos que existem em cada rede e acelerar sua comunicação (já que as informações de roteamento são conhecidas). Em um ataque de seqüestro, “piratas” assumem o controle de um grupo de endereços de um provedor inteiro, sem, é claro, autorizá-lo e, assim, realizam várias ações, como pesca de dados, envio de spam e assim por diante. A análise mais importante do ataque aqui é que “piratas” podem ser identificados, em contraste com os responsáveis ​​pelos métodos de ataque acima mencionados (amplificação do DNS, resolvedores abertos). A ENISA se refere a uma análise relevante no artigo intitulado “Analisando o spamhaus DDOS sob a perspectiva do BGP” em http://www.bgpmon.net/looking-at-the-spamhouse-ddos-from-a-bgp-perspective /

    Não sabemos quem pode pagar o que

    Talvez a conclusão mais importante da análise da Organização Européia de Segurança seja que não analisamos suficientemente a complexidade e as interdependências, mas também o papel de todos os envolvidos na operação da Internet – cabos, centros de hospedagem de servidores, ISP, troca de internet. No entanto, há muito a ser feito em breve, começando com a implementação das medidas que já foram emitidas há muitos anos.

    Fonte: tech.in.gr