|
 Esclarecimento
/ Microlink sofre ataque:
Entre os dias 02/01/2000
e 05/02/2000, a Microlink foi alvo do mesmo tipo de ataque que tirou
do ar a Amazon, Yahoo, Ebay, UoL, Globo, IG, ZipNet, entre outros,
fato que causou diversos problemas em nossa rede neste período.
Conforme noticiado
ontem pela Agência Estado, e hoje por outros veículos
de comunicação, no período de 02/01/2000 e 15/02/2000, um dos
servidores principais da Microlink esteve sob um tipo de ataque
conhecido como DoS, do inglês Denial of Services ("Negação
de Serviços"), o mesmo que atingiu, alguns dias depois, a Amazon,
E-Bay, Yahoo, Uol, ZipNet, O Globo, IG, entre outros, tirando seus
sites do ar.
É importante ressaltar
que este tipo de ataque não é resultado de uma invasão ao sistema,
e sim uma técnica que se aproveita de certas características da
Internet.
Como deve ter sido
percebido pelos usuários, uma série de dificuldades decorreram do
ataque que sofremos, entre eles: navegação lenta, atraso na recepção
de e-mails e uma séria instabilidade em nossa rede. Após a sua identificação,
foram tomadas medidas de emergência para defender a nossa rede,
que surtiram efeito, mas são apenas paliativos. Após o
dia 05/02/2000 o ataque cessou e pudemos retomar nossa configuração
original.
O episódio foi
mantido em sigilo até a presente data, numa tentativa de identificar
a origem do ataque que, no caso da Microlink, vinha
de um dos maiores backbones americanos a UUNET, entrava no Brasil
através da rede da Embratel e atingia nosso servidor através de
nosso link (ligação de alta velocidade com a Internet) com a RNP.
Apesar do ataque
ter sido totalmente documentado e auditado por membros de renome
dos quadros da Internet brasileira, a falta de colaboração da
rede americana UUNET tornou impossível a identificação exata da
origem do mesmo. Mesmo a notificação de todos os órgãos nacionais
e internacionais de segurança de redes - numa tentativa de obter
melhor colaboração da UUNET - não surtiu o efeito desejado. Apesar da total colaboração das redes brasileiras
(RNP e Embratel), devido a falta de empenho da UUNET, tornou-se impossível a identificação do agressor.
Cabe
ressaltar que, naquela data, os envolvidos na ocorrência em questão
mostraram-se muito preocupados com a situação, que poderia sair
de controle a qualquer momento, com grande número de ataques a
sites conhecidos e até a pontos-chave dos backbones Internet.
Confirmando nossas previsões, estes ataques têm se repetido no
Brasil e nos EUA, atingindo sites de grande exposição.
Clipping
Agência Estado
http://www.agestado.com.br/especial/noticias/internet/htm/1382.htm
Provedor
iG é vítima de hackers:
São Paulo - O iG,
provedor de acesso gratuito à Internet, foi a vítima mais recente
dos hackers. Desde as duas horas desta madrugada, os internautas
têm dificuldades em acessar o iG, recebendo mensagem de erro. Segundo
o provedor, não houve violação da segurança. Os hackers teriam disparado
um volume muito grande de tentativas de acesso, tornando o site
indisponível. O UOL, maior provedor de acesso pago do País, também
foi vítima desse tipo de atuação na sexta-feira.
Esse ataque é chamado
pelos especialistas em segurança de Distributed Deny of Service
(DDoS), ou negação de serviço distribuída. Com uma conexão simples,
um hacker pode disparar de várias máquinas - daí o "distribuída"
- milhares de pedidos de acesso a um site. Um provedor médio recebe
entre 200 e 500 pacotes de mensagens por segundo em cada porta de
roteador, mas com uma ação de hackers esse volume pode chegar a
oito mil pacotes por segundo.
"Não tem servidor
nem link que agüente", afirmou o diretor de Tecnologia da Associação
Brasileira de Provedores de Internet do Rio (Abranet-RJ), Marcio
Gomes. A Microlink, provedor de médio porte do Rio e Niterói, onde
Gomes também é diretor de Tecnologia, foi vítima de um ataque DDoS
no início de janeiro. Ele conseguiu identificar que a onda de acessos
à Microlink passava pela rede da UUNet, subsidiária da americana
MCI WorldCom, que é a controladora da Embratel. Mas Gomes disse
não ter conseguido rastrear a origem do ataque por falta de colaboração
da UUNet.
"Com certeza, esses
ataques vão se proliferar", afirmou. Segundo o diretor de Tecnologia
da Abranet-RJ, a inexistência de regulamentação da Internet obriga
os vários usuários a algum tipo de colaboração para não violar a
credibilidade da rede. "Não existe solução técnica", declarou. A
origem de ações do tipo DDoS pode estar em qualquer lugar do mundo,
segundo Gomes. Isso quer dizer que os ataques ao iG e ao UOL podem
ter sido originados nos Estados Unidos, mas controlados do Brasil.
Uma solução "paliativa",
na avaliação de Gomes, é a utilização de filtros para canais com
os Estados Unidos. Mas como 80% do tráfego de visita a sites brasileiros
passam pelos EUA, essa opção significaria perder visibilidade no
exterior.
Renata
de Freitas
Jornal do Commércio
http://www.jornaldocommercio.com.br/internet/materia4.htm
O iG, provedor
de acesso gratuito à Internet, é a vítima mais recente dos hackers.
Desde as duas horas da madrugada de ontem, os internautas têm dificuldades
em acessar o iG, recebendo mensagem de erro. Segundo o provedor,
não houve violação da segurança. Os hackers teriam disparado um
volume muito grande de tentativas de acesso, tornando o site indisponível.
- Não tem servidor
nem link que agüente - afirmou o diretor de Tecnologia da Associação
Brasileira de Provedores de Internet do Rio (Abranet-RJ), Marcio
Gomes. - Com certeza, esses ataques vão se proliferar - afirmou.
Segundo o diretor de Tecnologia da Abranet-RJ, a inexistência de
regulamentação da Internet obriga os vários usuários a algum tipo
de colaboração para não violar a credibilidade da rede. "Não existe
solução técnica", declarou. A origem de ações do tipo DDoS pode
estar em qualquer lugar do mundo, segundo Gomes. Isso quer dizer
que os ataques ao iG e ao UOL podem ter sido originados nos Estados
Unidos, mas controlados do Brasil.
Uma solução "paliativa",
na avaliação de Gomes, é a utilização de filtros para canais com
os Estados Unidos. Mas como 80% do tráfego de visita a sites brasileiros
passa pelos EUA, essa opção significaria perder visibilidade no
exterior.
Ataque
O ataque usado contra a Microlink foi um tipo de DDoS (negação de
serviços) conhecido como SynFlood e usa uma das características
da transmissão de dados pela Internet em seu funcionamento. Simplificando,
quando alguém quer visitar um página Web, por exemplo, seu computador
envia um sinal (pacote SYN) pela rede requisitando uma conexão com
o endereço em questão para começar a receber os dados. O servidor
que hospeda a página do endereço requisitado responde com uma confirmação
(pacote ACK) avisando que a conexão está estabelecida.
O Syn Flood usa
esta característica da Internet e começa a enviar um número centenas
ou milhares de vezes maior de pacotes SYN para o servidor sob ataque,
até que o mesmo fique congestionado ao ponto de não conseguir mais
responder as requisições e entre em pane. No momento, e até que
tenhamos uma política de maior colaboração entre os grandes backbones
internet de todo o mundo, este tipo de ataque não pode ser impedido
sem prejudicar os serviços do servidor em questão.
Cabe ressaltar
que o ataque por SYN Flood não é uma invasão do sistema, mas um
DoS (Denial of Service) executado remotamente. Não comprometendo desta forma
os dados armazenados na rede atacada.
Auditores
Entre os auditores e envolvidos nas negociações entre as redes estavam:
Prof. Marcos Tadeu Von Lutzow Vidal - consultor da Microlink e professor
da UFF, Alexandre Leib Grojsgold - Coordenador do Centro de Operações
da RNP, Nelson Ramos Ribeiro - Coordenador do POP-RJ da RNP, Paulo
Cabral Filho - Coordenador Técnico do POP-RJ da RNP, Marcio Pinheiro
Gomes - Diretor de técnico da Microlink e diretor de tecnologia
da Abranet-RJ, Ricardo Maceira - Gerente de Serviços Embratel, Evandro
Loures Linhares - Analista de Suporte de Redes e serviços Embratel.
Agradecimentos
Agradecemos aos nossos clientes pelas manifestações de apoio
e compreensão, mesmo sem saber o motivo principal, num momento difícil
pelo qual passamos e que foi totalmente alheio a nossa capacidade
técnica.
Às redes RNP e
Embratel pela total colaboração no sentido de se identificar e isolar
o ataque.
Atenciosamente,
Administração
Microlink
|
