Blog

Ataques de negação de serviço e o caso GitHub

Escrito por

6 de março de 2018

No dia 28 de fevereiro o site Github foi alvo de um dos maiores ataques DDOS (negação de serviços) da história. O ataque utilizou uma vulnerabilidade do memcached, sistema distribuído utilizado para acelerar sites dinâmicos que utilizam banco de dados, esse serviço basicamente têm a função de criar um cachê de dados na RAM para reduzir o número de vezes que uma fonte de dados externa (como um banco de dados) deva ser acessada. E foi justamente essa funcionalidade e facilidade de cacheamento na RAM que foi utilizada para causar um gigantesco ataque de negação de serviço.

O que é o github?

O Github oferece funcionalidades extras aplicadas ao GIT, um dos vários Sistemas de Controle de Versão de arquivos para programadores e que permite desenvolver projetos onde diversas pessoas podem contribuir simultaneamente, sendo possível editar e criar novos arquivos, possibilitando que alterações não sejam sobrescritas em uma construção de código simultânea, por exemplo. Uma das principais aplicações do Git é justamente esta, permitir que um arquivo possa ser editado ao mesmo tempo por pessoas diferentes. O GitHub é como uma rede social para desenvolvedores e programadores, sendo muito utilizada por desenvolvedores de todo o mundo, oferecendo diversas funções como feeds de atualizações e notícias, seguidores e um gráfico com dados de como os desenvolvedores estão contribuindo nas versões de seus repositórios.
Um dos primeiros usuários da plataforma foi Linus Trovalds, onde ele desenvolveu o kernel do Linux e precisava de um repositório seguro, funcional e cooperativo para que o código ficasse pronto rápido e de modo colaborativo. Ou seja, o github é um dos maiores repositórios colaborativos do mundo para programadores, possuindo papel essencial no desenvolvimento de diversas aplicações ao redor do mundo e passou semana passada por um dos maiores ataques de negação de serviços da história.

Ataques DDOS (negação de serviço)

Um ataque de negação de serviço (DDoS) é constituído como um ataque em que vários computadores atacam um alvo, como um servidor, site ou outro recurso de rede e os sobrecarregam, causando uma negação de acesso do serviço para usuários do alvo atacado. A grande quantidade de mensagens, solicitações de conexão, solicitações de acesso ou pacotes malformados para o sistema de destino faz ocorrer uma enorme diminuição da velocidade do sistema levando até a possíveis falhas e desligamentos, negando o serviço a usuários ou sistemas legítimos.
Ou seja, o atacante cria uma quantidade gigantesca de solicitações de acesso no alvo fazendo com fique sobrecarregado e não consiga atender às solicitações dos usuários reais. Esse método de ataque durante muito tempo era conhecido por operar através das botnets (redes zumbis) que são constituídas muitas das vezes por computadores infectados com alguma espécie de malware. Os computadores ficavam no controle dos invasores, possibilitando a realização dos acessos falsos para sobrecarregar o sistema atacado. Entretanto, esse ataque com números surpreendentes utilizou uma nova metodologia.

Memcached e a vulnerabilidade utilizada

A descoberta de novos vetores de amplificação que permitem amplificações muito grandes raramente acontecem. Essa nova vulnerabilidade, entretanto, encontra-se nessa categoria. Se 2018 ainda não estava emocionante o suficiente na aŕea de segurança da informação, diga olá para um novo tipo de ataque de negação de serviço: amplificação UDP (User Datagram Protocol) via servidores e executando o memcached, o sistema de cache de código aberto anteriormente mencionado. O memcached é utilizado apenas em computadores que não estão conectados à internet, já que não exigem autenticação. Porém, segundo a Akamai mais de 50.000 servidores estão vulneráveis na internet, sendo possível serem utilizados para realizar ataques DDOS poderosos. Como apontado pela CloudFlare após passarem por um ataque semelhante os efeitos podem ser catastróficos: “15 bytes de solicitação podem gerar uma resposta de 134 KB enviada para o alvo. Este é um fator de ampliação de 10 mil vezes! Na prática, vimos uma solicitação de 15 bytes resultar em uma resposta de 750 KB (é uma amplificação de 51.200x)”.Dados em bits por segundo

Conclusão

Por causa da enorme capacidade de gerar ataques tão gigantescos, é provável que os atacantes utilizem o memcached como uma ferramenta favorita nos próximos dias. Além disso, à medida que as listas de proteções e refletores utilizados foram compiladas e entendidos por atacantes o impacto desse método de ataque tem potencial para crescer significativamente.memcached-amplification-ddos-attack-pt
Gostou do texto sobre segurança da informação? Dê uma olhada nesse post contendo dicas de navegação segura na internet.

As opiniões e perspectivas retratadas neste artigo pertencem a seus autores e não necessariamente refletem as políticas e posicionamentos oficiais do Instituto de Referência em Internet e Sociedade.

Escrito por

Bracharel em Direito pela Universidade Federal de Minas Gerais e concluiu o ensino médio integrado ao curso Técnico em Informática pelo Instituto Federal de Minas Gerais (IFMG). Compôs a equipe de coordenação do GNET – Grupo de Estudos Internacionais de Propriedade Intelectual, Internet e Inovação no ano de 2017.

Foi pesquisador do Instituto de Referência em Internet e Sociedade (IRIS) e pesquisador fundador do grupo de pesquisa DTI – Direito, Tecnologia e Inovação. Atuou também como consultor jr. no escritório Alexandre Atheniense em serviços de compliance corporativo digital em redes hospitalares.

Foi alumni da Escola de Governança da Internet do Comitê Gestor da Internet no Brasil em São Paulo e bolsista do programa Youth@IGF (2017) do Comitê Gestor da Internet no Brasil (CGI.br) para participar do 12.ª Internet Governance Fórum no Palácio das Nações na Suíça.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *