No passado dia 2 deste mês, o confronto entre spammers e um serviço anti-spam tomou proporções gigantescas levando a diversos danos colaterais dentro da estrutura da internet.
Ao que parece um spammer profissional achou que o serviço da bluesecurity que combate o SPAM está a ter bastante sucesso tendo como consequência imediata uma menor receita económica da sua actividade como spammer, com tal decidiu fazer um ataque cerrado á empresa.
A solução que a bluesecurity apresenta para o SPAM passa por combater a sua origem, ou seja, quem paga para que haja SPAM, o mesmo será dizer, as empresas que vêm referidas nos ditos mails. Sendo assim, quando é detectado um mail de SPAM, transparentemente e automaticamente o serviço envia um mail a essa empresa avisando que não pretende receber mais emails seus (o direito aos opt-outs)
Este processo faz com que as empresas mencionadas nos mails de SPAM sejam elas próprias inundadas por mails.
O ataque protagonizado pelo "PharmaMaster" teve basicamente 3 fases, a primeira passou por enviar mails á comunidade onde se afirmava que o serviço não cumpria os seus objectivos pois o próprio mail era exemplo disso mesmo. Provavelmente este método não teve grande sucesso o que fez o spammer passar á segunda fase.
Foi esta fase que me despertou a atenção para o assunto, pois o atacante conseguiu isolar a Bluesecurity ao seu país de origem, Israel, ou seja, o site apenas conseguia ter acessos de ligações vindas do próprio país. Na altura toda a informação que tinha disponível sobre o assunto era que o atacante tinha conseguido fazer um blackhole filtering algures nos routers da linha internacional do ISP nacional da Bluesecurity.
Um blackhole filtering em termos práticos não passa da colocação de uma routa que envia todo o tráfego de determinado host/network para um device dummy. Comecei a pensar como é que o spammer tinha conseguido tal feito e vinha-me três situações á cabeça:
1) O atacante tinha de certa forma hackados os routers
2) O atacante tinha realizado um ataque DDoS aos routers em que spoofou a source dos packets com o IP do site da Bluesecurity, e os administradores do backbone acharam por bem defenderem-se do ataque colocando uma backhole, o que me parecia uma decisão irresponsável pois é sabido que em protocols UDP e ICMPS este spoof é trivial.
3)O atacante tinha realizado um ataque DDoS ao próprio site da BlueSecurity e os administradores do backbone de modo a se preservarem a largura de banda da sua rede e o bom funcionamento dos seus outros clientes, abdicaram de servir o IP da Bluesecurity colocando o blackhole filtering. Esta teoria foi posta logo de parte quando os administardores da Bluesecurity afirmaram que não tinham sido vitimas de nenhum ataque DDoS.
Afinal o "PharmaMaster" não fez nada disto, usou os seus contactos sociais e convenceu um "amigo" que possui poderes de administração nesses router para introduzir o blackhole.
# [tier-1 ISP name withheld] says: Yes wont be a problem, i'll make sure to block all traffic to this domain very soon just get me reports mate"
# [tier-1 ISP name withheld] will block traffic to your websites god i love this war :)"
Se isto realmente aconteceu, que tipo de "profissionais" temos nós a administrar importantes backbones da internet, e ninguém realizou um traceroute de modo a identificar qual dos ISP's tava a fazer drop da rota e posteriormente responsabilizar a empresa? weird...
Depois de isolados do resto do Mundo, a Bluesecurity decidiu colocar um CNAME no nameserver de modo a apontar para um blog (http://bluesecurity.blogs.com) seu alojado na Six Apart, e aqui começou a terceira fase do ataque. O spammer decidiu lançar um DDoS baseado em syn flood para os servidores da Six ApArt e aos nameservers da Tucows de modo a que a BlueSecurity ficasse sem qualquer "expressão" online, isto levou a que vários milhares de máquinas tivessem os seus serviços inacessíveis durantes várias horas.
UPDATE(2006/05/17): And the winner is .. THE SPAMMERS.
Blue Security close it's doors.
"I have not failed. I've just found 10,000 ways that won't work"
View Comments
DDoS history
Thu May 11 15:30 2006
Paulo Köch
Thu May 11 17:57 2006
Que raio! Syn floods ainda funcionam?
Thu May 11 18:06 2006
Syn Flood resulta no sentido em que consome largura de banda e memoria da máquina em questão, não no sentido em que ficas sem acesso ao serviço devido ás multiplas connecções "semi-abertas". Mas o ataque usou outros métodos de DDoS também.
Rui Reis
Sun May 21 10:34 2006
muito bom, devias ter colocado no ptnix... trocavas pelo que lá está(va) :>
Mon May 22 9:58 2006
Viva Rui,
Quando escrevi este "artigo" o assunto ainda estava muito verde, existiam (e ainda existem) muitas pontas soltas nesta história, portanto ponderei se deveria colocar no PTnix uma opinião baseada em factos vagos e optei por não o fazer, no entanto aquando do update á notícia devido ao fecho da BlueSecurity decidi que devia fazer referência a tal facto, mas quando visitei o PTnix já te tinhas adiantado.
Como o "recente" artigo da Securityfocus está bastante detalhado decidi colocar um link para ele ao não para este.
Quando escrevi este "artigo" o assunto ainda estava muito verde, existiam (e ainda existem) muitas pontas soltas nesta história, portanto ponderei se deveria colocar no PTnix uma opinião baseada em factos vagos e optei por não o fazer, no entanto aquando do update á notícia devido ao fecho da BlueSecurity decidi que devia fazer referência a tal facto, mas quando visitei o PTnix já te tinhas adiantado.
Como o "recente" artigo da Securityfocus está bastante detalhado decidi colocar um link para ele ao não para este.
