O maior ataque da história da internet — ocorrido sexta-feira — expôs a vulnerabilidade da rede aos milhões de aparelhos conectados a ela, ecoando o plot do filme ‘Terminator’, em que uma inteligência artificial se volta contra os seres humanos.
Por algumas horas da manhã de sexta, e intermitentemente ao longo do dia, a internet não funcionou em quase toda a Costa Leste dos Estados Unidos e em parte da Costa Oeste. Também foram relatados problemas na Europa, Austrália, Índia e na América do Sul.
O evento teve pouca cobertura no Brasil, mas suas repercussões são amplas e alarmantes, reforçando a ‘segurança digital’ como um dos maiores riscos dos próximos anos para as pessoas, empresas e governos.
Além de sua escala sem precedentes, o ‘black friday’ da internet teve um componente digno de filmes de ficção: os hackers sequestraram dispositivos caseiros como câmeras de segurança, roteadores e babás eletrônicas, e os fizeram acessar — todos ao mesmo tempo — um número muito pequeno de endereços eletrônicos. Os gadgets foram convertidos em recrutas de um exército virtual de ataque a servidores – um ‘botnet’, no jargão do meio.
A quantidade avassaladora de tráfego gerado sobrecarregou servidores e impediu, total ou parcialmente, o acesso aos sites da Amazon, Netflix, CNN, PayPal, Twitter, New York Times, Reddit e Spotify, dentre inúmeros outros. Essa modalidade de ataque é chamada de DDoS – sigla para ‘Distributed Denial of Service’, ou ‘negação de serviço distribuído’, em tradução livre.
Os hackers começaram o ataque direcionando os ‘gadgets’ a sobrecarregar a Dyn. A empresa presta um serviço essencial para a operação da internet: quando você escreve www.braziljournal.com no seu browser, é uma empresa como a Dyn que descobre o endereço IP do site (no caso, 107.180.29.33), que é a forma como os computadores conseguem se comunicar. De acordo com a Associated Press, o ataque de sexta jogou 1,2 terabits de dados a cada segundo nos servidores da Dyn. (É como se 240 mil pessoas estivessem conectados ao Netflix de um mesmo computador, assistindo a um filme em alta resolução.)
O diretor de pesquisa da Flashpoint, uma empresa de segurança digital, disse ao jornalista Brian Krebs, especializado no assunto: “É impressionante que quase toda uma linha de produto de uma companhia tenha se convertido num ‘botnet’ [rede de robôs] que está atacando os Estados Unidos.”
A fragilidade demonstrada pelo ataque é um golpe para o plano de diversas empresas do Vale do Silício de conectar todos os aparelhos de casa à internet, um novo ramo do empreendedorismo conhecido como a “Internet of Things” (‘internet das coisas’). Quando a Internet of Things se popularizar, a sua geladeira, por exemplo, te avisará que você precisa comprar leite ou que o ovo vai passar da validade.
O ataque revela uma certa negligência quanto à segurança do acesso a esses dispositivos. Só a chinesa XiongMai Technologies, fornecedora de componentes para várias marcas de eletrônicos e cujos produtos foram usados no ataque, é responsável por mais de 500 mil dispositivos capazes de serem sequestrados. A dúvida é se a ‘facilidade de sequestro’ dos gadgets existe por incompetência ou se está associada a um custo baixo de fabricação.
O pior é que, pela maneira como foram construídos, esses gadgets não podem ser atualizados: terão que ser desativados ou trocados por modelos mais robustos.
Se, por um lado, a Internet of Things aumentou o tamanho do exército virtual, é de se espantar a facilidade com que a internet cai com esse ataque.
O ‘mito de criação’ da internet diz que ela foi criada pela DARPA (‘agência de projetos de pesquisa avançada em defesa’), um órgão do Departamento de Defesa americano. A criação da agência foi uma resposta ao Sputnik 1, o primeiro satélite artificial da história, lançado pelos soviéticos em 1957. A missão da agência era garantir que a tecnologia militar americana fosse sempre mais sofisticada que a de potenciais inimigos.
Ao buscar formas de garantir a transmissão de ordens militares no caso de uma nova guerra mundial, a agência teve a idéia de usar computadores trocando ‘pacotes’ de informação de tal maneira que, caso uma cidade fosse riscada do mapa por uma bomba atômica, a mensagem ainda chegaria ao seu destinatário por outras linhas de comunicação.
Esse relato da criação da internet nos dá a noção de um sistema distribuído, robusto e seguro de transmissão de informações. Com vários níveis de redundâncias e um sem-número de conexões possíveis entre um ponto e outro da rede, a impressão que fica é que, depois de uma guerra nuclear, as baratas poderiam até herdar o planeta, mas elas continuariam tendo acesso à internet.
Como o fato de sexta-feira demonstra, nada poderia ser mais distante da realidade. A internet pensada pelos militares nunca teve a pretensão de operar da maneira polivalente como a nossa web funciona — por exemplo, serviços de streaming de áudio e vídeo. Para isso ser possível, alguns atalhos estruturais tiveram que ser construídos, comprometendo a sua segurança e confiabilidade.
Por exemplo, Netflix (37%) e Youtube (18%) geram, sozinhos, mais da metade do tráfego da web na América do Norte. Para que esse tráfego todo não congestione a web, boa parte do conteúdo transmitido tem que ser estocado em servidores próximos da demanda pela informação – negócio feito pela Akamai Technologies, uma empresa fundada por alunos do MIT cujos servidores atendem de 15% a 30% do tráfego global. Um ataque suficientemente forte à Akamai pode gerar repercussões tão graves quanto aquelas geradas pela queda da Dyn.
Mas talvez o maior ensinamento do ataque de sexta-feira seja que a ‘nuvem’ não é uma panaceia. Se cada vez mais serviços como Dropbox, Google Docs, Skype, Outlook.com e home brokers nos dão acesso conveniente e barato a informações e a ferramentas de produtividade, a dependência excessiva deles gera o risco de um evento como o de sexta que pode, literalmente, retirar sua empresa do ar. A recorrência de ataques como este deve levar os chefes de TI a manter em nível local as informações críticas para o funcionamento da empresa.
