O ataque DDoS a Spamhaus não foi tão grande assim

Documentos da ditadura militar
1 de abril de 2013
Itaquerão dará lucro apenas para construtoras
1 de abril de 2013

O ataque DDoS a Spamhaus não foi tão grande assim

Diversos veículos de imprensa noticiaram o “maior ataque cibernético da história” nesta quarta-feira (27). A BBC e o New York Times chegaram a dizer que a Internet inteira estava mais lenta devido ao ataque – uma informação bastante absurda, mas que no entanto foi publicada também aqui no Brasil, em diversos sites.

A coisa toda soa tão dramática — um grande ataque DDoS está “forçando a infraestrutura crucial ao redor do mundo”, gritou o NYT das trincheiras — que se passa por plausível facilmente. E de fato, os combatentes em questão têm lutado ferrenhamente no campo de batalha online: um conflito entre o Spamhaus, um grupo holandês que monitora spammers e o Cyberbunker, uma empresa de hospedagem também da Holanda acusada de hospedá-los (os spammers). Isso está acontecendo mesmo: até onde sabemos, botnets agindo sob o comando da Cyberbunker têm tentado derrubar o Spamhaus por dias com um fluxo poderoso de sobrecarga de dados vazios.

Pelo que se imaginava inicialmente, essa briga estaria chacoalhando a Internet. É isso. Coisa grande. O hack que encerraria todos os hacks, um ataque com danos colaterais que ecoam no mundo inteiro. Mas quando você vai além das manchetes que bradam CYBER ATAQUES em letras garrafais, você talvez se questione:

  • Por que a minha conexão não ficou lenta?
  • Por que ninguém notou isso semana passada, quando os ataques começaram?
  • Por que não tem ninguém sem interesse financeiro no ataque dizendo que ele teve essas dimensões?
  • Por que não houve relatos de quedas do Netflix, como o New York Times e a BBC reportaram?
  • Por que empresas que não fazem nada além de monitorar a saúde da web, como a Internet Traffic Report, não demonstraram evidências de que o conflito holandês respingou nos nossos jardins virtuais?

trafego-web

(Se houvesse uma guerra sendo travada, haveria picos e baixas profundas nesses gráficos.)

Por que as únicas pessoas dispostas a dar declarações que validam a história estão diretamente envolvidas com o ataque? Representantes da Spamhaus, o líder do grupo e, o mais duvidoso, a CloudFlare, a empresa anti-ataques DDoS recrutada pelo Spamhaus para remediar o ataque. Foi ela a responsável por relatar que a casa estava caindo na Internet, a parte que lucra diretamente com o medo das pessoas de que a Internet como a conhecemos esteja ameaçada.

Horas depois que o NYT e a BBC deram a “notícia” das feridas de batalha da Internet, a CloudFlare publicou um post de tirar o fôlego, intitulado (nada) sutilmente como “O ataque DDoS que quase quebrou a Internet.” Wow! O que se segue é basicamente um press release equivalente à Pfizer lhe dizendo o quão horríveis são algumas doenças e como seus remédios funcionam bem contra elas. Matthew Prince, CEO da CloudFlare, conta uma história incrível de como neutralizou o ataque à Internet depois que o Spamhaus o contratou — o que certamente é verdade –, mas nos alerta sobre a existência de ameaças na rede que continuam à espreita, como se falasse dos soviéticos durante a Guerra Fria:

Como alguém responsável por mitigar ataques em um dos grandões da Internet me disse por email no fim de semana, “Tenho dito que não temos que estar preparados para os maiores ataques possíveis, que só precisamos nos preparar para o maior ataque que a Internet pode mandar sem causar danos colaterais massivos aos demais. Parece que atingimos esse ponto, então… parabéns!”

Um dos nossos objetivos na CloudFlare é fazer com que DDoS seja algo que você apenas leia em livros de história. Estamos orgulhosos de que a nossa rede tenha contido um ataque desse tamanho e estamos trabalhando com parceiros para garantir que a Internet continue de pé ao se deparar com essas ameaças.

Em uma citação ao NYT, Prince chega a ele próprio fazer analogia com a guerra nuclear:

“Esses [ataques DDoS] são basicamente como bombas nucleares”, disse Matthew Prince, CEO da CloudFlare. “É muito fácil causar muitos estragos.”

Isso seria aterrorizante se não fosse pura propaganda. Prince, claro, está no negócio de vender proteção contra ataques online. E sua empresa, até onde sei, é bem boa nesse negócio. Mas ele também está claramente no negócio de assustar as pessoas: em seu post ontem, ele alerta que o ataque ao Spamhaus “talvez se prove relativamente modesto” comparado ao que vem a seguir. Mais paranoia, imagino.

Posicionei-me publicamente como cético a respeito dessa alegada devastação online e atraí a atenção do próprio Prince.

Ele queria me colocar em contato com um operador da Tier 1 — empresa que mantém a base física de toda a Internet. Esse cara, disse Prince, poderia embasar as alegações da CloudFlare. Depois de investigar, eu estava pronto para ouvir o que tinham a dizer. Em vez disso, recebi esta nota de um porta-voz da NTT, um dos operadores dos backbones da Internet:

Hey Sam, é bom falar contigo.

Temo que não tenhamos nada a respeito de substanciais efeitos globais para compartilhar. Tenho certeza de que você leu os mesmos 300 gbps que eu, e embora essa seja uma quantidade enorme de banda para uma única empresa ou provedora, dados de capacidades globais como TeleGeography mostram que a capacidade chega à faixa dos tbps [tera bits por segundo] na maior parte do mundo. Junto-me a você no questionamento sobre isso ter balançado a Internet.

Chris.

Traduzindo: não.

Recebi uma resposta similar da Renesys, uma empresa global que devota todo seu tempo para monitora o status da Internet. Ela saberia se algo estivesse acontecendo. Mas nada aconteceu:

Acreditamos que o ataque DDoS teve potencialmente sérios impactos aos sites para os quais foram direcionados, entretanto, de acordo com nossos dados, a Internet como um todo não passou por um problema generalizado.

Apenas coloque em perspectiva o tráfego estimado por um ataque DDoS na casa dos 200 Gbps ao alvo. Isso facilmente sobrecarregaria uma hospedagem mediana, mas não um componente central da Internet. Por exemplo, a DECIX, um ponto de troca de tráfego alemão em Frankfurt, normalmente lida com picos de 2,5 Tbps em alguns dias: http://www.de-cix.net/about/statistics/

Embora tenha afetado seriamente os sites para os quais apontou, a Internet como um toque não foi impactada por esse incidente localizado.

Traduzindo: não. Foi um problema na Holanda, e só. A Holanda não é a Internet.

Strike dois, CloudFlare. Ainda assim, continuamos pesquisando mais evidências de que as bases da Internet tenham balançado.

Não há relatos críveis, em lugar algum, de que o Netflix caiu. Nenhum.

Que tal o grande negócio de hospedagem na nuvem da Amazon, que opera em uma escala enorme em todo o mundo? Se uma bomba caísse na Internet, ela não teria sentido? Um pouquinho que seja? Não de acordo com os dados da Amazon, que não mostra queda alguma semana passada. Mesmo na Europa, onde o ataque foi baseado.

analyze

Vê todas essas bolinhas verdes? Elas significam exatamente o que aparentam: tudo está ok. Tudo tem estado ok.

O que não é ok é uma empresa assustar os usuários da Internet fazendo-os pensar estarem na Dresden da II Guerra apenas para alavancar seus negócios. Existe um monte de coisas assustadoras, pessoas e histórias online. Existe um punhado de caras maus. Um monte de ataques. Haverá um monte mais. Se você está no negócio anti-hacker, não há sinais de que ele desacelerará, não faltará trabalho. Então se o seu produto valer um tostão que seja, você não deveria enganar a Internet para vendê-lo. A verdade sempre vem à tona.