EM OUTUBRO DE 2016, um botnet de câmeras de segurança e roteadores invadidos da Internet, chamado Mirai, visava uma inundação gigantesca de tráfego indesejado nos servidores da Dyn, uma das empresas que fornece o diretório global da web conhecido como DNS (Domain Name System). O ataque derrubou temporariamente a Amazon, Reddit, Spotify e Slack para usuários ao longo da costa leste dos EUA. Agora, um grupo de pesquisadores diz que uma vulnerabilidade no DNS pode permitir uma escala semelhante de ataque, mas exigindo muito menos computadores invadidos. Há meses, as empresas responsáveis pela lista telefônica da Internet correm para corrigi-la.
Hoje, pesquisadores da Universidade de Tel Aviv e do Centro Interdisciplinar de Herzliya, em Israel, divulgaram novos detalhes de uma técnica que, segundo eles, pode permitir que um número relativamente pequeno de computadores realize ataques distribuídos de negação de serviço em grande escala, atingindo alvos com solicitações fraudulentas de informações. até serem desativados. A técnica DDoS, que os pesquisadores chamam de NXNSAttack, tira proveito das vulnerabilidades no software DNS comum. O DNS converte os nomes de domínio nos quais você clica ou digita na barra de endereços do seu navegador em endereços IP. Mas o NXNSAttack pode fazer com que um servidor DNS involuntário execute centenas de milhares de solicitações toda vez que a máquina de um hacker envia apenas uma.
Esse efeito multiplicativo significa que um invasor pode usar apenas um punhado de máquinas invadidas ou mesmo seus próprios dispositivos para realizar ataques DDoS poderosos em servidores DNS, causando potencialmente interrupções na escala Mirai. “A Mirai tinha cerca de 100.000 dispositivos de IoT, e aqui acho que você pode ter o mesmo impacto com apenas algumas centenas de dispositivos”, diz Lior Shafir, um dos pesquisadores da Universidade de Tel Aviv. “É uma amplificação muito séria”, acrescenta Shafir. “Você pode usar isso para derrubar partes críticas da internet”.
Ou pelo menos, você poderia ter alguns meses atrás. Desde fevereiro, os pesquisadores alertam uma ampla coleção de empresas responsáveis pela infraestrutura da Internet sobre suas descobertas. Os pesquisadores dizem que essas empresas, incluindo Google, Microsoft, Cloudflare, Amazon, Dyn (agora pertencente à Oracle), Verisign e Quad9, atualizaram seu software para resolver o problema, assim como vários fabricantes do software DNS que essas empresas usam.
Embora os ataques de amplificação de DNS não sejam novos, o NXNSAttack representa um ataque particularmente explosivo. Em alguns casos, dizem os pesquisadores, é capaz de multiplicar a largura de banda de apenas algumas máquinas em até 1.600 vezes. E mesmo depois de meses de correções coordenadas, os cantos da Internet ainda podem permanecer vulneráveis à técnica, diz Dan Kaminsky, o cientista chefe da empresa de segurança White Ops e um conhecido pesquisador de DNS. Em 2008, Kaminsky encontrou uma falha fundamental no DNS que ameaçava permitir que hackers redirecionassem os usuários que tentavam visitar um site para um site fraudulento de sua escolha e, de maneira semelhante, lançou uma correção coordenada nos principais provedores de DNS. Mesmo assim, demorou meses para que a falha de Kaminsky – muito mais séria que o NXNSAttack – estivesse perto de ser totalmente corrigida.
“Há um milhão dessas coisas e, mesmo que algumas delas estejam corrigidas, sempre haverá uma que não foi atualizada”, diz Kaminsky sobre os servidores DNS distribuídos pela Internet. “Este é um trabalho muito bom sobre como o DNS pode falhar.”
Para entender como o NXNSAttack funciona, ajuda a entender a estrutura hierárquica maior do DNS na Internet. Quando um navegador acessa um domínio como google.com, ele verifica um servidor DNS para descobrir o endereço IP desse domínio, um número como 64.233.191.255. Normalmente, essas solicitações são respondidas por servidores “resolvedores” de DNS, controlados por provedores de DNS e provedores de serviços de Internet. Porém, se esses resolvedores não tiverem o endereço IP correto em mãos, eles pedirão a um servidor “autoritário” associado a domínios específicos.
O NXNSAttack abusa das comunicações confiáveis entre as diferentes camadas da hierarquia DNS. Requer não apenas o acesso a uma coleção de PCs ou outros dispositivos – qualquer coisa, de um único computador a uma rede de bots -, mas também a criação de servidores DNS para um domínio; chame de “attacker.com”. (Os pesquisadores argumentam que qualquer um pode montar essa configuração por apenas alguns dólares.) Em seguida, o invasor enviava uma enxurrada de solicitações de seus dispositivos para o domínio que eles controlam ou, mais especificamente, uma série de subdomínios falsos como 123.attacker. com, 456.attacker.com e assim por diante, usando sequências de números aleatórios para variar constantemente as solicitações de subdomínio.
Essas tentativas de visitas à Web acionariam o servidor de resolvedores de um provedor de DNS para verificar com um servidor autorizado – que, nesse caso, é o servidor DNS sob o controle do invasor. Em vez de apenas fornecer um endereço IP, esse servidor autoritário diria ao resolvedor que não sabe o destino dos subdomínios solicitados e direcionaria o resolvedor a solicitar outro servidor autoritário DNS pelo endereço IP, passando a solicitação para um destino domínio de escolha do atacante.
Os pesquisadores descobriram que podiam encaminhar todas as solicitações para um desses subdomínios inexistentes em seu próprio domínio attacker.com a centenas de subdomínios inexistentes que pertencem a um domínio de destino, como o vítima.com. Essas centenas de solicitações poderiam permitir que um hacker sobrecarregasse não apenas os servidores DNS do resolvedor, fazendo com que enviassem mais solicitações do que os servidores podem suportar – possivelmente retirando parte do serviço do provedor de DNS, como aconteceu no ataque da boti Mirai a Dyn – mas também inundando os servidores DNS autoritativos da vítima que recebem essas solicitações, o que pode derrubar o site de vítima.com de destino.
Um alvo bem defendido provavelmente detectaria que um único servidor DNS mal-intencionado estava por trás do ataque e pararia de responder às solicitações encaminhadas pelo domínio do invasor. Mas Shafir, da Universidade de Tel Aviv, aponta que os atacantes podem usar vários domínios para variar o ataque e prolongar a dor. “Você pode ter dezenas como essa e trocá-las a cada poucos minutos”, diz Shafir. “É muito fácil.”
Em outra variante do ataque, os pesquisadores descobriram que um hacker pode até direcionar o NXNSAttack para domínios inexistentes de nível superior – sufixos falsos de endereços da web como “.fake” – para atacar os chamados servidores raiz que controlam onde servidores autorizados podem ser encontrado para domínios de nível superior como .com e .gov. Embora esses servidores raiz geralmente sejam projetados para ter largura de banda muito grande, os pesquisadores dizem que poderiam solicitar mais domínios falsos desses servidores de destino do que para subdomínios falsos nas outras versões de seu ataque, potencialmente multiplicando cada solicitação por mais de mil e ameaçando grandes porções de toda a web.
“Quando você tenta atacar um servidor raiz, o ataque se torna muito mais destrutivo”, diz Shafir. “Não podemos provar que eles podem ser derrubados porque são servidores muito fortes, mas a amplificação é muito alta e esses são os ativos mais importantes. Partes da internet não funcionariam nesse pior caso”.
Quando a WIRED alcançou uma coleção dos principais provedores de DNS da Internet, Google, Microsoft e Amazon não responderam imediatamente. A empresa-mãe de Dyn, a Oracle, disse estar investigando a pesquisa. “O NXNSAttack tem um grande fator de amplificação para algumas implementações de DNS, mas para o Cloudflare a amplificação foi pequena e foi reduzida por alterações recentes em nosso software de DNS”, escreveu o diretor de tecnologia da Cloudflare, John Graham-Cumming. “Como a amplificação de DNS é um problema comum com o qual a indústria lida, o Cloudflare já tinha mitigações para impedir que nosso serviço fosse usado para grandes ataques de amplificação”.
John Todd, diretor executivo do provedor de DNS Quad9, sem fins lucrativos, escreveu em um e-mail que “essa ameaça é / era bastante real”, mas também observou que é “um pouco complexo implantar e deixar algumas impressões digitais”, já que o invasor precisaria executar seus próprios domínios DNS. Ele também observou que a maioria dos servidores DNS corporativos deve responder apenas aos endereços IP da empresa que os possui, embora os provedores de serviços de Internet sejam mais vulneráveis a ter seus servidores DNS invadidos pela técnica NXNSAttack.
Dado o amplo patch já existente, o NXNSAttack provavelmente representa menos uma ameaça crítica do que um lembrete de como a infraestrutura da Internet deve ser constantemente mantida e protegida.
“Do meu ponto de vista, estou apenas em êxtase que o tipo de cooperação que recebi em 2008 ainda esteja acontecendo em 2020”, diz Kaminsky da White Ops. “A internet não é algo que sobreviveria se não estivesse sendo ativada novamente sempre que alguém incendiou algo”.
Fonte: (https://www.wired.com/)
