24/03/2024

Oi lidera em lista com sistemas que podem ser usados em ataques

O maior ataque de negação de serviço registrado, ocorrido na semana passada, movimentou um volume de dados que pode ter chegado a 300 Gbps, uma quantidade suficiente para transmitir 55 CDs de música em apenas um segundo. Os hackers só conseguiram chegar a esse número porque abusaram de computadores com um erro de configuração, conhecida no linguajar técnico como “servidor de DNS recursivo aberto”. Projetos que catalogam os sistemas desse tipo na internet apontam que a Oi detém uma das redes com mais servidores problemáticos. Em uma das listas, o bloco de rede Telesc pertencente à Oi, está no topo, entre todas as redes do mundo.

As listas foram criadas pelo Measurement Factory, que faz esse trabalho desde 2006, e pelo Open Resolver Project. A metodologia dos projetos e os resultados diferem: enquanto o Measurement Factory enxerga 108 mil servidores abertos para abuso, o “Open Resolver Project” vê mais de 25 milhões no mundo todo.

Na lista do Measurement Factory, 3.186 desses servidores estão na rede Telesc, pertencente à Oi, o que coloca a rede em primeiro lugar. Na lista do Open Resolver Project, a mesma rede Telesc da Oi está em 25º lugar com 228.180 servidores abertos, e a rede Telemar, também da Oi, aparece com mais 93.301 servidores, somando 321.481 servidores e superando a rede única da GVT, que aparece em 22º lugar com 233.639 servidores.

Esses servidores mal configurados não são mantidos diretamente pelas operadoras de telecomunicação, mas responsáveis por redes de computadores são orientados a eliminar esses servidores que podem ser abusados. Procurada pelo #Minha Operadora, a operadora informou que não tem essa responsabilidade. “A Oi esclarece que é responsável exclusivamente por prover serviços de conectividade à internet e não realiza qualquer tipo de monitoramento ou interferência na configuração dos equipamentos de seus clientes”, afirmou a empresa.

A rede da Oi ficou na primeira posição na lista pela primeira vez na metade de outubro de 2012. Até 2011, o líder na lista era a The Planet, rede de centros de dados dos Estados Unidos. Depois, a Terra Networks Chile ficou em primeiro lugar. Agora, é a Telesc.

Outras operadoras brasileiras também aparecem nas listas, mas com menos sistemas. Na lista da Measurement Factory, Embratel tem 462, e a rede Telesp, da Vivo, 18. A lista completa do Open Resolver Project ainda não está disponível.

Entenda melhor
O DNS (Domain Name System) é a “lista telefônica” da internet. Assim como telefones, computadores têm apenas números. Graças ao DNS, não precisamos decorar os números dos computadores para acessar um site, como “minhaoperadora.com.br”. Um “servidor de DNS” é um computador que age como “serviço de 102″ dos outros computadores conectados à internet, ele é consultado para responder “qual o número do minhaoperadora.com.br?”

Um servidor de DNS precisa atender apenas alguns computadores. Por exemplo, uma empresa pode ter um servidor de DNS apenas para o escritório. Um provedor mantém um servidor de DNS apenas para seus clientes. O servidor de DNS recursivo aberto não tem essa limitação: ele responde consultas de qualquer computador na internet.

Isso é um problema porque o DNS funciona com um protocolo chamado UDP (User Datagram Protocol). O UDP tem a vantagem de ser mais leve e mais rápido, mas ele tem uma desvantagem: ele não verifica a origem de uma comunicação. Isso significa que é possível enviar uma consulta a um servidor de DNS como se fosse qualquer outro endereço da internet, e a resposta do DNS (que não estava limitada a alguns poucos computadores) será enviada a essa origem falsificada.

O que os hackers fazem é criar uma consulta que terá uma resposta muito grande do servidor de DNS e forjar a origem como se ela fosse o site alvo. Ocorre então uma multiplicação: o hacker consegue enviar uma consulta pequena (de 30 bytes, por exemplo), mas gerar para o alvo do ataque um tráfego cem vezes maior (3000 bytes, ou 3 KB).

Isso significa que uma conexão ADSL doméstica, que tem 1 Mbps de velocidade, é suficiente para gerar um ataque de 100 Mbps usando essa técnica.
A lista da Measurement Factory foi iniciada em 2006. Quando a lista começou a ser feita, a soma dos servidores encontrados era de 329,7 mil. Hoje, a lista soma 108 mil. No início de março, eram 111 mil. O ataque noticiado na semana passada, que começou no dia 18 de março, não parece ter acelerado a queda: já no dia 18, eram 109,5 mil servidores. Na quinta-feira (28), a conta fechava em 108,2 mil.
Se inscrever
Notificar de
guest
0 Comentários
Feedbacks embutidos
Ver todos os comentários