23 de jun. de 2011

Ataque hacker foi o maior já sofrido por sites do governo na internet.

O ataque hacker às páginas da Presidência da República, Portal Brasil e da Receita na madrugada desta quarta-feira (22) foi o maior já sofrido pela rede de computadores do governo brasileiro. De acordo com o Serviço Federal de Processamento de Dados (Serpro), o ataque - que não causou danos às informações disponíveis nas páginas - partiu de servidores localizados na Itália.
Para derrubar os sites, os hackers utilizaram sistemas que faziam múltiplas tentativas de acesso ao mesmo tempo, técnica batizada de “negação de serviço” e conhecida pelas iniciais em inglês DDoS (Distributed Denial of Service). O objetivo dessa ação é tornar o serviço indisponível.
A ação foi reivindicada pelo grupo LulzSecBrazil, que teria ligações com o LulzSec, responsável por ataques recentes a empresas de videogame como Sony e Nintendo, às redes de televisão americanas Fox e PBS e a órgãos governamentais americanos como a CIA (agência de inteligência americana) e o FBI (polícia federal), além do serviço público de saúde britânico, o NHS.
Nos ataques a sites do governo brasileiro, foram mais de 2 bilhões de tentativas de acesso em um curto período de tempo. Entre as 0h30 e 3h as páginas ficaram fora do ar por causa do ataque, mas entre a 0h40 e 1h40 foi o período de maior concentração dos ataques e o sistema ficou congestionado.



Durante a tarde, o site da Petrobras também saiu do ar, voltando a funcionar em alguns momentos. No Twitter, hackers do grupo LulzSecBrazil avisaram que a Petrobras seria alvo de DDoS mesmo das páginas saírem do ar. A página da Petrobras já havia ficado indisponível na manhã desta quarta (22) durante alguns minutos. Segundo a assessoria de imprensa da instituição, houve apenas uma instabilidade.
Como justificativa para o ataque, os hackers publicaram mensagens no Twitter criticando o alto preço dos combustíveis no país. “Acorda Brasil! Nao queremos mais comprar combustivel a R$2.75 a R$2.98 e expotar (sic) a menos da metade do preco! ACORDA DILMA!”.


Governo diz que bloqueou tentativa

A Secretaria de Imprensa da Presidência da República divulgou uma nota oficial informando que o Serviço Federal de Processamento de Dados (Serpro) detectou e bloqueou a tentativa de ataque às páginas da Presidência da República, Portal Brasil e da Receita.
"Isso já ocorreu outras vezes, não chega a ser uma novidade. Mas eles não conseguiram ter acesso a nenhuma informação desses sites. Eu não conheço esse grupo de hackers", disse o diretor-superintendente do Serpro, Gilberto Paganotto, em entrevista à agência de notícias Reuters.
Uma fonte do governo informou que na terça-feira durante o dia a presidente Dilma Rousseff foi informada de que havia um movimento estranho de acesso aos sites do governo. Segundo essa fonte, o governo estava de sobreaviso para um eventual ataque que acabou ocorrendo durante a madrugada.
Na nota divulgada nesta quarta-feira, a Secretaria de Imprensa da Presidência informa também que houve um congestionamento das redes e que os sites ficaram fora do ar por cerca de uma hora.
"O Serpro (Serviço de Processamento de Dados) detectou nesta madrugada, entre 0h30 e 3h, uma tentativa de ataque de robôs eletrônicos aos sites Presidência da República; Portal Brasil e Receita Federal. O sistema de segurança do Serpro, onde estes portais estão hospedados, bloqueou todas as ação dos hackers, o que levou ao congestionamento das redes, deixando os sites indisponíveis durante cerca de uma hora", diz a nota.
Ainda segundo o texto da assessoria da Secretaria de Imprensa da Presidência da República, o ataque dos hackers foi controlado e os dados dos sites não foram violados. "O Serpro informa que o ataque foi contido e os dados e informações destes sites estão absolutamente preservados".

Conheça o LulzSec, o grupo hacker que desafiou o governo dos EUA

O “LulzSec” tem atraído algumas manchetes pelos seus ataques a organizações importantes como o senado norte-americano, a CIA (que teve apenas seu site derrubado) e a InfraGard, ligada ao FBI. Mas não para por aí. O grupo distribuiu na internet 62 mil senhas de procedência desconhecida, invadiu rede das produtoras de games Bethesda e Nintendo, atacou também a Sony e até empresas de mídia como a Fox e a PBS.
Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados, etc), vá até o fim da reportagem e utilize a seção de comentários. A coluna responde perguntas deixadas por leitores todas as quartas-feiras.

Logotipo usado pelo LulzSec

O LulzSec faz de tudo uma brincadeira. No site oficial, toca o tema da série de TV americana “The Love Boat” (“O Barco do Amor”); por conta disso, o grupo às vezes é chamado de “The Lulz Boat” ou “O Barco do Lulz”. Lulz, por sua vez, é uma gíria que vem de outra gíria usada na internet, o “lol”, sigla em inglês para “rindo muito alto” (“laughing out loud”). Em outras palavras, o nome “Lulz Boat” poderia ser “traduzido” – com muita liberdade – para “O Barco das Risadas” e o LulzSec, “Rindo da Segurança”.
Ainda na página principal, há uma referência à música “Friday”, de Rebbeca Black – hit da internet com mais de 160 milhões de acessos e que foi recentemente removido do YouTube devido a uma disputa judicial. O grupo quer colocar a “diversão” na pauta da segurança digital.
Em outra página, o grupo comenta boa parte das suas ações, revelando dados internos das empresas e organizações já citadas – inclusive uma lista de usuários da InfraGard. O LulzSec desafiou o governo americano, que havia declarado a possibilidade de ataques cibernéticos serem vistos como atos de guerra.

Origem

O que se sabe do LulzSec é o que chega dos inimigos do grupo. Alguns indivíduos que se consideram “ninjas de internet” criaram o blog LulzSec Exposed neste sábado (18) para publicar informações de membros do grupo. Segundo eles, os principais membros do LulzSec seriam Sabu (fundador), Topiary, Kayla, Nakomis, Tflow, Joepie91, Avunit e BarrettBrown.
Membros do LulzSec estariam envolvidos em ataques a um hacker conhecido como Jester, que atuava contra o Wikileaks. Na época, um impostor criou uma conta em nome de Jeste. Nekomis e Topiary seriam os envolvidos nesse episódio.
O LulzSec teria se desprendido do Anonymous após a invasão à empresa de segurança HBGary Federal. O objetivo, segundo o blog LulzSec Exposed, seria conseguir ficar com o crédito pelos ataques, sem enfurecer outras pessoas que estariam ligadas ao “Anonymous” devido aos ataques sem motivo político aparente – como as outras ações do Anonymous tinham sido.
LulzSec Exposed divulgando suposta foto de Sabu, membro fundador do LulzSec
O LulzSec Exposed ainda afirma que “a garota de 16 anos” supostamente envolvida no ataque à HBGary é um homem que se identifica na internet há anos como uma menina de 16 anos. Esse indivíduo usa o nick de “Kayla” e seria canadense.
O blog ainda compartilhou vários “dox” de supostos membros. “Dox”, no jargão usado por esses grupos do “submundo” da internet, significa “documentos” ou “informações pessoais”. Alguns dos dox acompanham mesmo as fotos dos integrantes Sabu, Topiary, joepie91 e Nekomis. O LulzSec tem negado as informações do blog, mas Sabu e Topiary já foram mencionados na conta oficial do Twitter do LulzSec.
O blog agradece muitas pessoas que teriam cedido informações, entre elas o próprio Jester, alvo do episódio que teria ocorrido com dois membros do LulzSec.
Diferentemente do Anonymous, o LulzSec é um grupo fechado de indivíduos, com funções delimitadas. Um grupo de mesmo nome foi aberto no Brasil, após contatos com membros do grupo principal. Entre os alvos do grupo estaria sites do governo. O grupo queria 1 mil seguidores até este domingo (19) para realizar um ataque, no entanto, a meta não foi atingida.
“O Barco dos Lulz”

Dinheiro e fama

Acusações e informações postadas pelo LulzSec Exposed apontam que dinheiro e fama são motivadores do LulzSec. A busca por fama pode ser vista nos ataques a sites conhecidos, na forma que o LulzSec comemorava o número de seguidores no Twitter e nos “desafios” que o grupo faz, como “se conseguirmos 1500 pessoas no canal de bate papo, vamos realizar um ataque”.
O grupo aceita doações por Bitcoin, uma moeda virtual que funciona sem uma entidade central de gerenciamento. O grupo chegou a ter 400 BTCs, o equivalente a US$ 7 mil, em sua conta principal do Bitcoin – não se sabe quanto dinheiro possa ter ido para contas “alternativas”. Eventualmente, esse dinheiro foi usado, e parou numa das contas mais “ricas” do Bitcoin – um sinal de que pode ser um dono de uma rede zumbi ou outro prestador de serviços que o grupo tenha “contratado”. O próprio fato de o grupo ter decidido criar seu próprio rótulo para ficar com o crédito de ataques é um sinal da busca por fama.
O blog LulzSec Exposed afirmou que estaria compartilhando informações com o FBI, e quer ver o grupo “atrás das grades”. No entanto, é difícil saber até que ponto as informações publicadas são verdadeiras – já que o submundo da internet usa desinformação até mesmo para tirar crédito da própria desinformação. Em outras palavras, o importante é ter a sua mentira publicada, mesmo que ela seja apenas uma variação de outra mentira. Quem consegue emplacar a informação falsa é que merece os “lulz”.

Entenda como funciona um ataque de negação de serviço

A "criação artificial de um número elevado de solicitações simultâneas" a um servidor é conhecido como ataque de “negação de serviço”, abreviado pelas iniciais em inglês 
DDoS (Distributed Denial of Service). O objetivo dessa ação é tornar o serviço indisponível.


Um ataque de negação de serviço em um servidor de e-mail o incapacitaria de processar novas mensagens, da mesma forma que um servidor web não poderia mais servir páginas de internet. Um ataque DDoS é como formar um grupo de pessoas para ocupar uma loja, sem comprar nada, para impedir que os clientes de verdade entrem e sejam atendidos. Nesta quarta-feira (22), a assessoria de imprensa da Presidência da República confirmou ter sofrido um congestionamento das suas redes, o que deixou os sites da Presidência da República, do Portal Brasil e da Receita Federal indisponíveis durante a madrugada. Em 2009, clientes do Speedy, da Telefônica, tiveram dificuldades de acessar sites por causa de ações externas – provocadas por hackers – que desestabilizaram os servidores DNS (Servidor de Nome de Domínio, em português). Ataques DDoS são normalmente difíceis de contornar, porque as solicitações maliciosas, com o intuito de sobrecarregar o serviço, costumam chegar de vários computadores diferentes. Não dá para simplesmente bloquear o acesso dos computadores ao servidor, porque são muitos.DDoS: Sobrecarregando um sistema

Em um ataque de negação de serviço, um hacker controla computadores para sobrecarregar um servidor. No entanto, às vezes os acessos dos próprios usuários já é suficiente para derrubar o serviço 

A metodologia base do ataque de negação de serviço distribuída não é difícil de ser entendida: o criminoso cria um fluxo interminável de solicitações falsas ao computador alvo, de tal maneira que ele fique sobrecarregado e impedido de atender às solicitações dos usuários verdadeiros.
Esse ataque é comumente realizado pelas chamadas redes zumbis, da qual fazem parte computadores infectados com um determinado tipo de praga digital. Os computadores infectados ficam sob o controle do criminoso, que ordena a realização dos acessos falsos que irão sobrecarregar o sistema alvo. Embora bastante “brutos”, esses ataques têm sido refinados para que o objetivo de derrubar o alvo seja atingido mais rapidamente e com uso de menos recursos da 'rede zumbi'. Alguns DDoS têm motivação política, enquanto outros são claramente criminosos, por atingirem sites de empresas antivírus ou se envolverem em esquemas de extorsão para exigir pagamento dos donos dos sites para que o ataque seja encerrado. Já os ataques que partem de milhares de sistemas para derrubar um alvo são difíceis de lidar. Mesmo profissionais experientes e com os recursos adequados serão desafiados por ataques muito fortes, nos quais muitas máquinas estão envolvidas.

Proteção

O uso de filtros e configurações de rede avançadas dispersam as conexões maliciosas, permitindo que o alvo continue atendendo as solicitações legítimas.
Um tipo de defesa é feita nos roteadores e "switches" da internet -- equipamentos responsáveis por determinar o “caminho” que cada conexão segue. No caso de um ataque, eles são configurados para bloquear os endereços de origem ou, se for muito forte, do alvo, para que a rede inteira não seja afetada. Os roteadores geralmente são conectados em várias redes, tendo à sua disposição uma conexão suficientemente rápida para suportar alguns ataques.

Outra solução contra os ataques de DDoS é uso de servidores de proxy reverso (em que um computador fica de ponte para outro) ou mesmo cache (quando uma informação fica armazenada em um computador para não ter de solicitá-la novamente). Nessa configuração, existe um sistema complexo entre o computador que está sendo atacado e a internet. Esse sistema é responsável por filtrar o tráfego indesejado e passar ao sistema verdadeiro apenas o que for necessário. A Akamai, a Prolexic Networks e a GigeSERVERS são algumas empresas que oferecem esse tipo de serviço. Para resistir ao ataque, esses serviços fazem uso de várias técnicas. Uma delas são filtros avançados; em outra, os computadores que servem de escudo estão distribuídos por todo o planeta. Isso dispersa os acessos maliciosos, dividindo o ataque, possibilitando que o mesmo seja enfrentado em pequenas quantidades em vários locais – muito mais fácil do que fazer uma única rede aguentar tudo sozinha. Apesar disso, ataques de negação de serviço distribuída não deixam de ser um problema. Foram usados, diversas vezes, como exemplos da fragilidade da rede. Assim como o spam, o DDoS necessita da colaboração entre administradores de redes no mundo todo. Ao contrário de outras atividades maliciosas da rede, o DDoS é facilmente percebido, mas mesmo assim algumas empresas operadoras de redes não demonstram interesse em fazer algo a respeito e facilitar a vida de quem é atacado. Para os usuários domésticos, ataques DDoS não costumam ser um problema muito grave. A maioria dos usuários não será atacada, a não ser que se relacionem com as pessoas erradas na rede. No entanto, como a força do ataque é pequena nesses casos, é muitas vezes possível anulá-los reconectando-se à Internet, porque isso dará ao sistema um novo endereço IP, diferente daquele que o indivíduo mal-intencionado está atacando.