Alerta vermelho: "Slammer" expõe vulnerabilidade da internet enquanto cresce o medo de ataques

Arquivo do Clipping 2003

Veículo: JB Online
Data: 03 de fevereiro de 2003

A internet sofreu na semana passada mais um ataque. Sob a ação do Slammer - worm que se aproveita de uma vulnerabilidade no banco de dados SQL Server, da Microsoft - a web ficou congestionada, e muitos sites fora do ar. O worm começou a se disseminar na madrugada do dia 18 e foi neutralizado no domingo. No Brasil, no entanto, sua ação não foi tão devastadora quanto na Ásia e alguns países da Europa e, por ter ocorrido no fim de semana, muitos internautas nem devem ter sentido seus efeitos.

O Slammer poderia ser apenas mais um vírus se não trouxesse à tona a fragilidade dos sistemas usados na internet. Em um ano de preocupação crescente com o ciberterrorismo, um ataque em nível global como este causa pânico entre administradores de redes.

No final do ano passado, o instituto de pesquisa e consultoria em tecnologia IDC divulgou em suas previsões anuais, feitas por 700 analistas e 100 empresários do setor, que a internet vai sofrer um ataque ciberterrorista capaz paralisá-la por até dois dias. Segundo o analista-chefe do IDC, John Gantz, ele poderá ser um ataque de negação de serviço, invasão de redes ou mesmo um ataque físico a prédios com instalações importantes para a Rede.

- A provável guerra no Iraque deverá reunir os hackers contra nós - afirmou Gantz.

Não é a primeira vez que a internet é atacada. Um incidente ocorrido em 21 de outubro foi ainda mais preocupante. Nesse dia os 13 servidores raízes do sistema DNS, que funciona como um livro de endereços da internet, foram vítimas de um ataque de negação de serviço, ficando soterrados por falsos pedidos de conexão. Sete servidores ficaram sem conexão com a internet por até três horas. Se o ataque persistisse por 10 horas, ou mais, e todos os servidores caíssem, toda a internet iria passar a se comportar mais lentamente.

O Slammer - assim como outros worms conhecidos - se aproveita de pontos de vulnerabilidade já conhecidos e divulgados pelas produtoras de software. No caso desse worm, a falha de segurança havia sido revelada há seis meses pela Microsoft, mas muitos administradores - inclusive da própria Microsoft - não fizeram a atualização. Os computadores da criadora do SQL Server e também do patch de correção sofreram com os ataques do Slammer, provando que a política de soluções de bugs de sistemas ainda é falha.

Segundo os especialistas em segurança, o aparecimento de worms mostra que o investimento em segurança não é adequado. Como a internet é composta por diversas redes, a maior parte delas privadas, os governos ficam em uma posição delicada.

Boa parte das invasões são causadas por falhas descobertas em softwares meses ou anos após eles terem sido lançados, que são corrigidas por arquivos disponibilizados gratuitamente pelos desenvolvedores. São os administradores de sistemas, contudo, que precisam aplicar tais correções, e é difícil estabelecer a responsabilidade pelos incidentes.

- Esse tema tem sido discutido em todo o mundo e não há um consenso a respeito. Alguns defendem que os fabricantes de software deveriam ser responsabilizados, pois eles lançaram um sistema com falhas graves. Culpar apenas o administrador poderia ser similar a culpar uma pessoa por ter tido sua casa arrombada. De qualquer modo, em casos em que fica claro que um administrador foi conivente com a ação, ele pode ser responsabilizado - afirma a analista de segurança do NBSO, Cristine Hoepers.

A internet, mesmo sendo uma rede global, nasceu nos Estados Unidos e tem nesse país seus mais importantes nós. A conexão da web brasileira com o mundo depende das redes americanas e alguns pesquisadores advertem que, apesar de terem sido criadas a partir da Arpanet, rede criada para resistir a um ataque nuclear, elas não são tão estáveis.

Três pesquisadores do Instituto de Geografia da Universidade de Ohio simularam o efeito de desastres naturais ou ataques terroristas sobre cidades americanas. Eles concluíram que no caso de um ataque a uma grande cidade, a internet ficaria mais lenta, embora continuasse funcionando. Mas dezenas ou centenas de cidades pequenas que se conectam à internet por intermédio dessas metrópoles, ficariam completamente fora da rede. Existem mais de 40 empresas e instituições que administram backbones importantes para a internet americana, mas os principais pontos hubs estão em Los Angeles, Nova York, Atlanta, Dallas, Chicago, e Washington D.C.

- A habilidade de redes se reconectarem e terem redundância é importante para a sobrevivência da internet no caso de desastres. Uma internet descentralizada tinha vantagens sobre o modelo atual - afirma um dos pesquisadores, Tony Grubesic, professor da Universidade de Cincinnati.

Worm se espalhou com rapidez

Continente asiático foi o mais atingido

O Slammer impressionou especialistas em segurança pela rapidez com que se espalhou. O Code Red, que em julho de 2001 atacou servidores web IIS, se espalhou mais lentamente, atacando 340 mil computadores nas primeiras 24 horas e chegando a 890 nos dias seguintes. Ainda no sábado o Slammer já tinha atacado 400 mil servidores, segundo a empresa de segurança Network Associates.

A Coréia do Sul, nação onde o acesso rápido à internet é muito disseminado e as pessoas estão acostumadas a usar sites de comércio eletrônico até mesmo para comprar roupas ou encomendar pizzas, foi a mais atingida. Vários dos mais importantes sites deixaram de funcionar e quase todos os assinantes do provedor KT viram sua conexão cair. A associação das corretoras de seguro afirmou que o valor das indenizações para recuperar as perdas chegará a US$ 860 mil e o próprio presidente do país anunciou a criação de uma agência governamental para lidar com ciberataques.

Em outros países do oriente, como Índia, China Austrália, o worm também tornou lentas as conexões com a internet. Nos Estados Unidos cerca de 2000 mil caixas automáticas do Bank Of America, que se conectam ao banco por linha telefônica, deixaram de funcionar. No Brasil os internautas puderam perceber no fim de semana alguns websites lentos ou inoperantes, mas, segundo os relatos, os danos foram menores. Mesmo assim, o NBSO, organismo do Comitê Gestor da Internet no Brasil que monitora incidentes de segurança, relata que toda a rede de uma instituição, cujo nome não foi revelado, ficou indisponível.

Ironicamente, o Slammer não apaga dados nem causa danos permanentes ao servidor. Quando um servidor é invadido por ele, começa a disparar pacotes de dados procurando na rede outros computadores com um SQL Server vulnerável. Ao encontrar um servidor nessa situação, se copia para ele e reinicia o ciclo. Sua ação, contudo, pode travar um servidor que já esteja sobrecarregado e os pacotes de dados que ele dispara entopem a rede e a tornam lenta.

- O aparecimento desse worm serve como um puxão de orelha para os administradores que deixaram seus servidores expostos a uma vulnerabilidade descoberta há seis meses - analisa o diretor da empresa de segurança Módulo, Alexandre Vargas.

Onde começar a procurar as falhas

Implementação de redes - bancos de dados e partes sensíveis dos sistemas devem estar separadas por firewalls da internet.

IIS - o servidor web da Microsoft teve sua vulnerabilidade descoberta em julho de 2001.

MS SQL Server - dois worms aproveitam falhas resolvidas com a aplicação do Service Pack 3.

Apache/Mod SSL - a dupla, comum em distribuições Linux, teve uma falha descoberta em julho de 2002.

Bind - o consórcio ISC, que desenvolve o servidor DNS, aconselha a migração para a versão 9 do programa usado em distribuições Linux e Unixes.