Quando os computadores-zumbis atacam

Às vezes um hacker usa uma rede de computadores-zumbis para sabotar um site ou um servidor específico. A idéia é muito simples: um hacker diz a todos os computadores da sua botnet para contactar um servidor ou site específicos repetidamente. O aumento repentino no tráfego pode tornar o site lento para visitantes legítimos. Às vezes o tráfego é tão grande que derruba o site completamente. Nós chamamos isso de ataque distribuído de negação de serviço (DDoS).

Algumas botnets particularmente ardilosas usam computadores sadios como parte do ataque. Eis como isso funciona: o hacker envia um comando para iniciar o ataque do seu exército zumbi. Cada computador do exército envia uma requisição de conexão eletrônica para um computador inocente chamado refletor. Quando o refletor recebe uma requisição, parece que ele vem não de um zumbi, mas das últimas vítimas do ataque. O refletor envia informação para o sistema-vítima, e eventualmente o desempenho do sistema fica lento ou cai completamente como se inundado por múltiplas requisições não-solicitadas de vários computadores de uma única vez.

ddos

Do ponto de vista da vítima, é como se os refletores atacassem o sistema. Do ponto de vista dos refletores, é como se os sistemas vitimados requisitassem os pacotes. Os computadores-zumbis permanecem escondidos, e até mais fora de vista está o hacker que comanda a botnet.

A lista das vítimas de ataques DDoS incluem nomes conhecidos. A Microsoft, por exemplo, sofreu um ataque DDoS chamado MyDoom. Hackers também atacaram outros grandes sites, como Amazon, CNN, Yahoo! e eBay. No Brasil, a Globo.com sofreu um ataque de negação de serviço durante a final de uma das edições do Big Brother Brasil. Os nomes do DDoS variam de divertidos a inquietantes:

  • Ping of Death (Ping da Morte) - bots criam grande pacotes eletrônicos e os enviam às vítimas.
  • Mailbomb (e-mail bomba) - bots enviam uma quantidade massiva de e-mails, tirando servidores de e-mail do ar.
  • Smurf Attack (Ataque dos smurfs) - bots enviam mensagens aos refletores via protocolo de mensagens de controle da Internet (veja ilustração acima).
  • Teardrop (lágrima) - bots enviam pedaços de um pacote legítimo; o sistema-vítima tenta recombinar os pedaços dentro de um pacote e, como resultado, é derrubado

Quando um exército zumbi inicia um ataque DDoS contra um sistema-vítima, há poucas coisas que o administrador do sistema possa fazer para prevenir a catástrofe. Ele pode escolher limitar a quantidade de tráfego permitido, mas essas restrições legitimam as conexões de Internet bem como os zumbis. Se o administrador puder determinar a origem dos ataques, ele consegue filtrar o tráfego. E como os computadores-zumbis disfarçam seus endereços, infelizmente essa não é a coisa mais fácil de fazer.

Na próxima seção. nós vamos ver outras formas de uso do computador-zumbi.

­Script kiddies
Em 4 de maio de 2001, um garoto de 13 anos usou um ataque de negação de serviço para tirar do ar o GRC.com, o site da Gibson Research Corporation. Ironicamente, o GRC.com trabalha com segurança na Internet. Em 2006, a polícia de Hanói, no Vietnam, prendeu um aluno do segundo ano de faculdade por orquestrar um ataque de DDoS no site da Nhan Hoa Software Company. Ele disse ter feito isso por não gostar do site. Aqui no Brasil, um hacker de 14 anos tirou do ar o site de seguros da Caixa Econômica Federal em 2000 - ano em que ocorreu a maioria dos ataques de DDoS.