Vídeo: 🚀 Изучаем ПАТЧ 25.11.2020 - Ускоренный варп в Хай-секах, нерф НПЦ элиток - EVE Echoes (Novembro 2024)
O CyberBunker opera com um bunker desativado da OTAN; daí o nome. A empresa afirma ser "o único verdadeiro provedor de hospedagem independente do mundo" e permite que os clientes hospedem anonimamente "qualquer conteúdo que eles gostem, exceto pornografia infantil e qualquer coisa relacionada ao terrorismo".
Essa promessa aparentemente se mostrou atraente para um ou mais grupos de spammers, pois o SpamHaus rastreou um tráfego significativo de spam até o CyberBunker. Eles entraram na lista negra do CyberBunker e, assim, cortaram esses spammers de quase dois milhões de caixas de entrada. Em retaliação, o CyberBunker lançou o que foi chamado de maior ataque cibernético de todos os tempos.
Ataque Amplificado
O CyberBunker tentou desligar o SpamHause com um ataque sério de DDoS (Negação de Serviço Distribuída). A SpamHaus entrou em contato com a empresa de proteção na Web CloudFlare para obter ajuda. O CloudFlare determinou que os atacantes estavam usando uma técnica chamada reflexão de DNS para gerar quantidades impressionantes de tráfego da Web nos servidores da SpamHaus.
O sistema de nomes de domínio é um componente essencial da Internet. Os servidores DNS convertem nomes de domínio legíveis por pessoas como www.pcmag.com em endereços IP como 208.47.254.73. Os servidores DNS estão em toda parte e seu nível de segurança varia. Na reflexão do DNS, o atacante envia a muitos resolvedores de DNS inseguros uma pequena solicitação de DNS que gera uma grande resposta, falsificando o endereço de retorno para o da vítima.
Em uma postagem no blog da semana passada, o CloudFlare relatou que mais de 30.000 resolvedores de DNS estavam envolvidos. Cada solicitação de 36 bytes gerava cerca de 3.000 bytes de resposta, ampliando o ataque em 100 vezes. No auge, o ataque atingiu o SpamHaus com até 90 Gbps de solicitações de rede irrelevantes, sobrecarregando os servidores do SpamHaus.
Dano colateral
O CloudFlare conseguiu mitigar o ataque usando uma tecnologia que eles chamam de AnyCast. Resumidamente, todos os datacenters mundiais da CloudFlare anunciam o mesmo endereço IP, e um algoritmo de balanceamento de carga direciona todas as solicitações recebidas para o datacenter mais próximo. Isso efetivamente dilui o ataque e permite que o CloudFlare bloqueie qualquer pacote de ataque de alcançar a vítima.
Esse não foi o fim, no entanto. De acordo com o New York Times, os atacantes voltaram seus olhos diretamente para o CloudFlare, em retaliação. O Times citou o CEO da CloudFlare, Matthew Prince, dizendo: "Essas coisas são essencialmente como bombas nucleares. É tão fácil causar tantos danos". O artigo também observou que milhões de usuários se encontraram temporariamente incapazes de acessar determinados sites devido ao ataque em curso, mencionando especificamente a Netflix como exemplo.
CloudFlare elaborou sobre esse dano estendido em um novo post hoje. Primeiro, os atacantes foram atrás do SpamHaus diretamente. Em seguida, eles concentraram seu ataque no CloudFlare. Quando isso não funcionou, eles moveram o ataque para "fornecedores dos quais o CloudFlare compra largura de banda".
O post da CloudFlare afirmou: "O desafio dos ataques nessa escala é que eles correm o risco de sobrecarregar os sistemas que vinculam a própria Internet". E, de fato, esse ataque escalado aos provedores de largura de banda de nível superior causou problemas significativos de conectividade para alguns usuários, principalmente na Europa.
Não Escondido
De acordo com o Times, um porta-voz da CyberBunker assumiu o crédito pelo ataque, dizendo: "Ninguém jamais designou a Spamhaus para determinar o que vai e o que não sai na Internet. Eles trabalharam nessa posição fingindo combater o spam".
O site CyberBunker se orgulha de outros desentendimentos com reguladores e órgãos policiais. Sua página de história afirma que "as autoridades holandesas e a polícia fizeram várias tentativas de entrar no bunker à força. Nenhuma dessas tentativas foi bem-sucedida".
Vale a pena notar que o SpamHaus na verdade "não determina o que acontece na Internet". Como as perguntas frequentes da empresa apontam, os provedores de e-mail que assinam as listas negras do SpamHaus podem bloquear e-mails provenientes de endereços na lista negra; Isso é tudo.
A proteção é possível
Felizmente, há uma maneira de acabar com esse tipo de ataque. A Força-Tarefa de Engenharia da Internet publicou uma análise das Melhores Práticas Atuais (BCP-38) descrevendo como os provedores podem impedir a falsificação de endereços de origem IP e, assim, derrotar ataques como a reflexão do DNS.
O CloudFlare adotou algumas táticas de "nome e vergonha", publicando os nomes dos provedores com o maior número de servidores DNS não seguros. Segundo um post do CloudFlare, após quatro meses, o número de resolvedores de DNS abertos caiu 30%. O Open Resolver Project lista 25 milhões de resolvedores inseguros. Infelizmente, como observa o post da CloudFlare, "os bandidos têm a lista de resolvedores abertos e estão ficando cada vez mais descarados nos ataques que desejam lançar".
O sistema DNS é absolutamente essencial para o funcionamento da Internet; ele precisa da melhor proteção que podemos oferecer. Mais fornecedores precisam fechar as brechas de segurança que permitem esse tipo de ataque. Um dos objetivos declarados do CloudFlare é "tornar o DDoS algo sobre o qual você só lê nos livros de história". Nós podemos esperar!