Durante alguns dias em fevereiro de 2000, um solitário hacker conseguiu colocar alguns dos maiores sites da Web de joelhos, usando apenas algumas dezenas de computadores e softwares relativamente primitivos para adulterar simultaneamente Yahoo, eBay, E*trade, Amazon, ZDnet e outros sites durante horas. Ninguém sabia, mas esses ataques seriam vistos nos anos seguintes como os primeiros surtos do que se tornou uma massiva pandemia online.Os ataques propriamente ditos não foram nada divertidos. O hacker, posteriormente identificado como um garoto de 15 anos de Montreal, Michael Calce, usou uma ferramenta de DDoS chamada Mstream para dar instruções a um pequeno exército de computadores que tinha comprometido previamente para enviar enormes quantidades de dados inúteis para os servidores web remotos que eram seu alvo. Porém, a técnica foi absurdamente eficiente: o Yahoo!, que era então o portal e provedor de pesquisas dominante, foi derrubado por cerca de duas horas, depois de receber mais de um gigabit de dados por segundo dos bots de Calce.
Leia mais...
CNN, ZDnet, Dell.com, eBay e outros sites tiveram inundações semelhantes, com variados níveis de sucesso. A especulação inicial na comunidade de segurança e jurídica se concentrou em hackers sofisticados, talvez um grupo estrangeiro tentando se impor sobre o capitalismo americano ou um serviço de inteligência estrangeiro testando os pontos fracos das redes do país.
Michael CalceMichael CalceEm vez disso, as autoridades dos EUA e do Canadá rastrearam os ataques, chegando a Calce, um estudante do ensino médio que costumava trabalhar com o Mafiaboy e obteve o programa de DDoS de um conhecido virtual. Calce gabou-se dos ataques em um canal de IRC e as autoridades descobriram depois que ele precisou acionar menos de 80 computadores, muitos em redes de universidades, para derrubar alguns dos sites mais visitados da Internet.
Estes ataques foram considerados uma novidade, um tipo de exercício interessante que apontava os pontos fracos da segurança dos sites e servia como uma pequena chamada de alerta para os proprietários dos sites sobre os perigos dos negócios online. O termo botnet ainda não era conhecido, e poucas pessoas, mesmo na comunidade de pesquisadores de segurança, tinham ideia de que essas redes de computadores comprometidos se tornariam a única grande ameaça de segurança da década.
Agora, quase dez anos após aqueles ataques, os botnets não são apenas armas de destruição em massa de hackers ativistas e de garotos entediados que criam scripts, mas servem como uma base para o submundo global do crime virtual e estão no coração da explosão dos malwares nos últimos anos, além da onda de ataques de injeções SQL contra sites legítimos.
"Trata-se de um problema muito, muito grande e compreende vários componentes diferentes", declarou Joe Stewart, pesquisador sênior de segurança da SecureWorks e autoridade em botnets e crimes online. "Há muitas outras coisas acontecendo além dos ataques de injeções SQL e DDoS, e as pessoas simplesmente não sabem disso."
Não há números precisos sobre o tamanho do problema dos botnets, mas os especialistas dizem que o número de computadores infectados chega a dezenas de milhões, em qualquer determinado momento. Vários desses computadores pertencem a usuários domésticos com conexões de banda larga relativamente rápidas e pouco ou nenhum conhecimento das ameaças de segurança que ficam à espreita em toda a Web. Esses computadores são presas fáceis para invasores. Porém, nem sempre foi assim.
Nos primeiros dias dos botnets, geralmente os invasores visavam computadores em redes corporativas ou de universidades, que tinham as conexões mais rápidas e máquinas mais poderosas, necessárias para os ataques DDoS. Devido às suas características próprias, as redes das universidades eram abertas, oferecendo aos invasores mais entradas e vias fáceis para a escalada de privilégios e a possibilidade de passar de um computador para outro, plantando softwares de ataque em cada passo desse caminho.
Jose NazarioJose Nazario"O Red Hat [Linux] era, naquela época, o sabor do momento. Havia todos aqueles scripts que podiam ser usados para entrar nos computadores deles", falou Jose Nazario, pesquisador sênior de segurança da Arbor Networks, um dos principais pesquisadores de botnets do mundo. "Esses caras estavam bem perto de criar os worms com aquilo, pois eles faziam verificações e instalações automatizadas, além da autorreplicação. Então, isso tudo ficou realmente interessante."
As ferramentas escolhidas por essa primeira leva de invasores compreendia um pequeno grupo de programas criados especificamente para executar ataques DDoS contra um único alvo. Um exemplo é o Mstream. O Trinoo, Tribe Flood Network, Shaft and Stacheldraht, em sua maioria, foram criados para serem executados em sistemas baseados em Unix que tinham sido comprometidos previamente por meio de alguma outra exploração.
Muitas vezes, as infecções iniciais eram realizadas aproveitando vulnerabilidades em um dos diversos serviços remotos, frequentemente deixados em execução nestes computadores, como o RPC ou o FTP.
A partir de então, os ataques seguiam basicamente um roteiro padrão. O hacker usaria uma conta roubada de uma rede de universidade ou corporativa como uma zona de aterrissagem para ferramentas de ataque, credenciais roubadas de outras máquinas na rede, listas de outras contas comprometidas e computadores na rede a serem rastreados. Em seguida, o invasor verificaria a rede, procurando outros computadores com vulnerabilidades que pudessem ser exploradas, comprometendo esses computadores e plantando uma cópia da ferramenta de DDoS pré-compilada.
Em uma análise do Trinoo realizada em 1999, Dave Dittrich, pesquisador da Universidade de Washington, descobriu que os invasores mudavam com frequência a maneira de ocultar a existência de uma infecção de bot em um computador. Em alguns casos, os hackers plantariam um rootkit em um computador comprometido, especialmente se a máquina estivesse atuando como master, direcionando o tráfego para outros bots, a fim de disfarçar a infecção. Ele também descobriu um método mais traiçoeiro para evitar a detecção.
"Devemos observar que, em muitos casos, os masters foram instalados em hosts de servidor de nome principal de provedores de Internet que normalmente têm um tráfego de pacotes extremamente grande e muitas conexões TCP e UDP, ocultando assim de forma eficiente qualquer atividade ou tráfego relacionado ao trinoo, que provavelmente não seria detectado. Por estarem envolvidos servidores de nome principal, existe uma tendência dos proprietários a não desconectar o sistema da Internet, mesmo quando recebem relatórios sobre a suspeita de atividades relacionadas à negação de serviço", escreveu Dittrich.
Esse padrão foi repetido muitas vezes, tudo pela Internet, criando pequenas redes particulares de computadores controlados por invasores que podiam ser acionados a qualquer momento. E era exatamente isso que acontecia.
Alguns meses após os ataques sobre os sites da CNN, eBay e outros, os ataques DDoS se tornaram um problema grave na Internet. Hackers com todos os níveis de habilidade e com as motivações mais diversas entraram em canais IRC, comprando (ou baixando) softwares de invasão e fazendo a festa.
"Esse foi o lançamento de uma corrida do ouro nessa área", disse Nazario. "Em um ano, todo mundo podia ter um botnet. Caras que não conseguiam nem soletrar IRC, quanto mais usar um, tinham botnets. Esses jovens que cresceram no meio das mensagens eletrônicas não tinham nem ideia do que estavam fazendo no IRC. Mas eles ouviam que qualquer idiota podia fazê-lo e resolviam que também podiam. E assim aconteceu. Qualquer um pode ver esse espaço aberto e, de repente, existe a pressão dos botnets fáceis de usar; tudo se desenvolveu a partir daí."
A próxima etapa lógica foi a criação de ferramentas de ataque amigáveis, e havia muitos programadores disponíveis, com sede de poder.
"Rapidamente começamos a ver programas de ataque com uma interface do Windows, nos quais bastava apontar e clicar, sendo possível obter as opções desejadas", informou Nazario. "Era possível dizer: gostaria deste e daquele módulo; por favor, criptografe-os, incluir truques antiverificação e clicar em compilar. E pronto!"
Desde que começou após os ataques de Calce, em 2000, essa corrida só se tornou mais vigorosa, e não dá sinais de que vai diminuir. Os ataques DDoS são uma ameaça constante nos últimos dez anos e, provavelmente, as inovações dos softwares e das técnicas de ataque manterão essa tendência.
"Esses ataques DDoS ainda funcionam e funcionarão por muito tempo, enquanto houver uma disparidade entre o que os invasores têm e o que nós tempos à nossa disposição", declarou Nazario.
Esta é a primeira de uma série de reportagens do Threatpost sobre as origens, o crescimento e os efeitos da epidemia dos botnets.
Leia mais...
CNN, ZDnet, Dell.com, eBay e outros sites tiveram inundações semelhantes, com variados níveis de sucesso. A especulação inicial na comunidade de segurança e jurídica se concentrou em hackers sofisticados, talvez um grupo estrangeiro tentando se impor sobre o capitalismo americano ou um serviço de inteligência estrangeiro testando os pontos fracos das redes do país.
Michael CalceMichael CalceEm vez disso, as autoridades dos EUA e do Canadá rastrearam os ataques, chegando a Calce, um estudante do ensino médio que costumava trabalhar com o Mafiaboy e obteve o programa de DDoS de um conhecido virtual. Calce gabou-se dos ataques em um canal de IRC e as autoridades descobriram depois que ele precisou acionar menos de 80 computadores, muitos em redes de universidades, para derrubar alguns dos sites mais visitados da Internet.
Estes ataques foram considerados uma novidade, um tipo de exercício interessante que apontava os pontos fracos da segurança dos sites e servia como uma pequena chamada de alerta para os proprietários dos sites sobre os perigos dos negócios online. O termo botnet ainda não era conhecido, e poucas pessoas, mesmo na comunidade de pesquisadores de segurança, tinham ideia de que essas redes de computadores comprometidos se tornariam a única grande ameaça de segurança da década.
Agora, quase dez anos após aqueles ataques, os botnets não são apenas armas de destruição em massa de hackers ativistas e de garotos entediados que criam scripts, mas servem como uma base para o submundo global do crime virtual e estão no coração da explosão dos malwares nos últimos anos, além da onda de ataques de injeções SQL contra sites legítimos.
"Trata-se de um problema muito, muito grande e compreende vários componentes diferentes", declarou Joe Stewart, pesquisador sênior de segurança da SecureWorks e autoridade em botnets e crimes online. "Há muitas outras coisas acontecendo além dos ataques de injeções SQL e DDoS, e as pessoas simplesmente não sabem disso."
Como isso aconteceu?
Não há números precisos sobre o tamanho do problema dos botnets, mas os especialistas dizem que o número de computadores infectados chega a dezenas de milhões, em qualquer determinado momento. Vários desses computadores pertencem a usuários domésticos com conexões de banda larga relativamente rápidas e pouco ou nenhum conhecimento das ameaças de segurança que ficam à espreita em toda a Web. Esses computadores são presas fáceis para invasores. Porém, nem sempre foi assim.
Nos primeiros dias dos botnets, geralmente os invasores visavam computadores em redes corporativas ou de universidades, que tinham as conexões mais rápidas e máquinas mais poderosas, necessárias para os ataques DDoS. Devido às suas características próprias, as redes das universidades eram abertas, oferecendo aos invasores mais entradas e vias fáceis para a escalada de privilégios e a possibilidade de passar de um computador para outro, plantando softwares de ataque em cada passo desse caminho.
Jose NazarioJose Nazario"O Red Hat [Linux] era, naquela época, o sabor do momento. Havia todos aqueles scripts que podiam ser usados para entrar nos computadores deles", falou Jose Nazario, pesquisador sênior de segurança da Arbor Networks, um dos principais pesquisadores de botnets do mundo. "Esses caras estavam bem perto de criar os worms com aquilo, pois eles faziam verificações e instalações automatizadas, além da autorreplicação. Então, isso tudo ficou realmente interessante."
As ferramentas escolhidas por essa primeira leva de invasores compreendia um pequeno grupo de programas criados especificamente para executar ataques DDoS contra um único alvo. Um exemplo é o Mstream. O Trinoo, Tribe Flood Network, Shaft and Stacheldraht, em sua maioria, foram criados para serem executados em sistemas baseados em Unix que tinham sido comprometidos previamente por meio de alguma outra exploração.
Muitas vezes, as infecções iniciais eram realizadas aproveitando vulnerabilidades em um dos diversos serviços remotos, frequentemente deixados em execução nestes computadores, como o RPC ou o FTP.
A partir de então, os ataques seguiam basicamente um roteiro padrão. O hacker usaria uma conta roubada de uma rede de universidade ou corporativa como uma zona de aterrissagem para ferramentas de ataque, credenciais roubadas de outras máquinas na rede, listas de outras contas comprometidas e computadores na rede a serem rastreados. Em seguida, o invasor verificaria a rede, procurando outros computadores com vulnerabilidades que pudessem ser exploradas, comprometendo esses computadores e plantando uma cópia da ferramenta de DDoS pré-compilada.
Em uma análise do Trinoo realizada em 1999, Dave Dittrich, pesquisador da Universidade de Washington, descobriu que os invasores mudavam com frequência a maneira de ocultar a existência de uma infecção de bot em um computador. Em alguns casos, os hackers plantariam um rootkit em um computador comprometido, especialmente se a máquina estivesse atuando como master, direcionando o tráfego para outros bots, a fim de disfarçar a infecção. Ele também descobriu um método mais traiçoeiro para evitar a detecção.
"Devemos observar que, em muitos casos, os masters foram instalados em hosts de servidor de nome principal de provedores de Internet que normalmente têm um tráfego de pacotes extremamente grande e muitas conexões TCP e UDP, ocultando assim de forma eficiente qualquer atividade ou tráfego relacionado ao trinoo, que provavelmente não seria detectado. Por estarem envolvidos servidores de nome principal, existe uma tendência dos proprietários a não desconectar o sistema da Internet, mesmo quando recebem relatórios sobre a suspeita de atividades relacionadas à negação de serviço", escreveu Dittrich.
Esse padrão foi repetido muitas vezes, tudo pela Internet, criando pequenas redes particulares de computadores controlados por invasores que podiam ser acionados a qualquer momento. E era exatamente isso que acontecia.
Alguns meses após os ataques sobre os sites da CNN, eBay e outros, os ataques DDoS se tornaram um problema grave na Internet. Hackers com todos os níveis de habilidade e com as motivações mais diversas entraram em canais IRC, comprando (ou baixando) softwares de invasão e fazendo a festa.
"Esse foi o lançamento de uma corrida do ouro nessa área", disse Nazario. "Em um ano, todo mundo podia ter um botnet. Caras que não conseguiam nem soletrar IRC, quanto mais usar um, tinham botnets. Esses jovens que cresceram no meio das mensagens eletrônicas não tinham nem ideia do que estavam fazendo no IRC. Mas eles ouviam que qualquer idiota podia fazê-lo e resolviam que também podiam. E assim aconteceu. Qualquer um pode ver esse espaço aberto e, de repente, existe a pressão dos botnets fáceis de usar; tudo se desenvolveu a partir daí."
A próxima etapa lógica foi a criação de ferramentas de ataque amigáveis, e havia muitos programadores disponíveis, com sede de poder.
"Rapidamente começamos a ver programas de ataque com uma interface do Windows, nos quais bastava apontar e clicar, sendo possível obter as opções desejadas", informou Nazario. "Era possível dizer: gostaria deste e daquele módulo; por favor, criptografe-os, incluir truques antiverificação e clicar em compilar. E pronto!"
Desde que começou após os ataques de Calce, em 2000, essa corrida só se tornou mais vigorosa, e não dá sinais de que vai diminuir. Os ataques DDoS são uma ameaça constante nos últimos dez anos e, provavelmente, as inovações dos softwares e das técnicas de ataque manterão essa tendência.
"Esses ataques DDoS ainda funcionam e funcionarão por muito tempo, enquanto houver uma disparidade entre o que os invasores têm e o que nós tempos à nossa disposição", declarou Nazario.
Esta é a primeira de uma série de reportagens do Threatpost sobre as origens, o crescimento e os efeitos da epidemia dos botnets.
Esta é a primeira de uma série de reportagens do Threatpost sobre as origens, o crescimento e os efeitos da epidemia dos botnets.
fonte: Threat Post - Serviço de Notícias de Segurança do Kaspersky, em 09 de Dezembro de 2009
http://threatpost.com/pt_br/origem-da-epidemia-de-botnets
0 comentários:
Postar um comentário
Só não vale xingar a mãe ou puxar cabelo nos comentários =)