15/09/2016 - Durante este ano e talvez também durante o ano passado, alguém vem pondo à prova as defesas das empresas responsáveis por manter em funcionamento pontos críticos da internet. Esses experimentos vêm na forma de ataques bem calibrados, concebidos para verificar com exatidão a capacidade de defesa dessas empresas e o que seria necessário para derrubá-las. Não sabemos quem está fazendo isso, mas tudo indica que seja um país de grande porte. China ou Rússia seriam meus primeiros candidatos.
Antes de mais nada, uma pequena contextualização. Se você quer derrubar uma rede da internet, o modo mais fácil é por meio de um ataque de negação de serviço distribuído (DDoS – Distributed Denial of Service). Como o nome diz, é um ataque concebido para impedir que usuários legítimos tenham acesso ao site. Há algumas sutilezas, mas basicamente significa enviar uma quantidade muito grande de dados para o site de modo a congestioná-lo. Esses ataques não são novos: hackers fazem isso com sites dos quais não gostam e criminosos têm usado essa técnica como forma de extorsão. Há todo um setor da economia, com um arsenal de tecnologias, dedicado à defesa de DDoS. Mas trata-se basicamente de uma problema de largura de banda. Se o atacante tiver um poder de fogo maior do que o do defensor, o atacante ganha.
Recentemente, algumas das maiores empresas que fornecem a infraestrutura básica que mantém a internet funcionando notaram um aumento de ataques DDoS contra elas. O pior de tudo é que elas perceberam um certo perfil nos ataques. Esses ataques são significativamente maiores do que os que elas estão acostumadas a sofrer. Duram mais tempo. São mais sofisticados. E parecem experimentos. Numa semana, por exemplo, o ataque pode começar num determinado nível de força e ir aumentando lentamente antes de parar. E assim continua, com essas características, como se o atacante estivesse procurando pelo ponto exato de falha.
Os ataques também são configurados de forma a mapear todas as defesas da empresa. Há inúmeros modos de lançar um ataque DDoS. Quantos mais vetores de ataque o atacante empregar simultaneamente, mais defesas diferentes o defensor tem de empregar para contê-los. Essas empresas têm notado um número maior de ataques com três ou quatro vetores diferentes. Isso significa que as empresas têm de usar todos os recursos de que dispõem para se defender. Elas não podem esconder nada. São forçadas a mostrar a sua capacidade de defesa ao atacante.
Eu não posso dar detalhes porque essas empresas falaram comigo sob a condição de anonimato. Mas tudo isso é consistente com o que a Verisign tem relatado. A Verisign mantém o registro de muitos domínios de topo mais usados da internet – como .com e .net. Se ela for derrubada, haverá um blackout global de todos os websites e endereços de e-mail na maior parte dos domínios de topo comuns. A cada trimestre, a Verisign publica um relatório de tendências de ataques DDoS. Embora essa publicação não tenha o nível de detalhe que obtive das empresas com as quais conversei, as tendências são as mesmas: “no segundo trimestre de 2016, os ataques continuaram, tornando-se mais frequentes, mais persistentes e mais complexos”.
Há mais ainda. Uma empresa me falou sobre a variedade de ataques de verificação, além dos ataques DDoS: ataques testando a capacidade do defensor de manipular endereços e rotas da internet, visualizando quanto tempo o defensor demora para responder, e assim por diante. Alguém está testando exaustivamente as capacidades de defesa essenciais das empresas que fornecem os serviços críticos da internet.
Quem faria isso? Não parece trabalho de ativista, criminoso ou pesquisador. Mapear a infraestrutura básica é uma prática comum em espionagem e de serviços de inteligência. Não é normal que empresas façam isso. Além disso, o tamanho e a escala desses experimentos – e especialmente a sua persistência – apontam para governos. Parece um cibercomando militar de um país tentando calibrar o seu armamento para o caso de uma ciberguerra. Isso me lembra o programa americano da Guerra Fria, com aviões sobrevoando a União Soviética a alta altitude para forçar a ativação dos sistemas de defesa aérea soviéticos a fim de mapear a sua capacidade.
O que podemos fazer? Na realidade, nada. Não sabemos de onde os ataques vêm. Os dados que eu tenho sugerem a China, a mesma avaliação das pessoas com quem conversei. Por outro lado, nesses tipos de ataques é possível dissimular o país de origem. A NSA, que tem mais vigilância no backbone da internet do que todo mundo junto, provavelmente tem uma idéia melhor mas, a menos que os EUA decidam causar um incidente internacional, não veremos nenhuma manifestação por parte do governo americano.
Mas isso está acontecendo. E as pessoas devem saber.
https://www.schneier.com/
Artigo publicado originalmente no Lawfare.com.
Tradução: Ricardo Hashimoto