Uma notícia correu rapidamente pela Internet na quarta-feira dessa semana: grupos de defacers (desfiguradores de sites) estariam planejando um concurso de pichações virtuais chamado “Defacers Challenge”, a ser realizado neste domingo, dia 6 de julho. Segundo as regras que estão sendo divulgadas, será declarado vencedor quem conseguir desfigurar 6 mil sites no menor tempo possível.
Até foi criado um site ― www.defacers-challenge.com ― especialmente para a competição, mas no momento em que esta matéria estava sendo publicada a página estava fora do ar. As informações sobre o ataque reperticuram de diferentes formas entre especialistas e no underground da rede, trazendo desde reações mornas até alertas mais exaltados.
A empresa de segurança Internet Security Systems (ISS), segundo nota distribuída à imprensa, acredita “que a Internet sofrerá um de seus maiores ataques em massa” no domingo. A empresa afirma que detectou na quarta-feira uma intensa movimentação de crackers em busca de vulnerabilidades na rede mundial de computadores. A nota informa ainda que seus especialistas receberam “informações confiáveis de que grupos de crackers estão fazendo scanning de reconhecimento, como aquecimento para o que deve ser a fase final de um campeonato mundial”.
O Estadão publicou uma nota da agência de notícias Associated Press (AP) informando que o ataque em massa “poderá atrapalhar seriamente o tráfego online”. No mesmo texto, porém, o porta-voz do Departamento de Segurança Interna dos EUA, David Wray, diz que o órgão tem conhecimento do desafio, mas não planeja emitir nenhum alerta formal. “Francamente, concursos de hacker acontecem com freqüência, e não achamos que todos mereçam chegar ao nível de alerta”, disse.
O Zone-H, site de segurança que possui o maior acervo de páginas desfiguradas da atualidade, também se manifestou sobre o episódio, afirmando que as notícias sobre sérios distúrbios na Internet no dia do ataque são coisa de quem “desconhece como um defacement (desfiguração) usualmente é feito”. Segundo as regras do desafio, o que vale é o número de sites pichados, não o número de servidores (IPs únicos) atacados. Isto significa que, para ganhar o concurso (que durará apenas seis horas), basta um cracker atacar com sucesso um único servidor que tenha milhares de sites hospedados.
“O mais provável é que várias empresas de hospedagem na Web sejam atacadas, em vez de servidores únicos pertencentes a diferentes companhias”, afirma o texto do Zone-H. Por este motivo, o site não prevê sérios prejuízos aos serviços da Internet, já que o tráfego gerado pelos ataques deverá ser relativamente pequeno.
O site explica que a maioria dos defacements em massa é feita a partir de uma conexão única a um servidor. Depois de obter privilégios de administrador (root) na máquina atacada, o cracker faz o upload de uma ferramenta especial, normalmente um script, que lê o arquivo de configuração do servidor Web e automaticamente substitui as páginas iniciais de todos os sites hospedados na máquina por uma página criada pelo atacante. Dessa forma, milhares de sites podem ser modificados em questão de segundos.
Como se proteger
Mesmo assim, o Zone-H recomenda que os administradores tomem precauções básicas de segurança. “Defacers normalmente procuram por alvos fáceis; os que fazem defacements em massa e com pressa, como serão os de 6 de julho, procuram alvos ainda mais fáceis”, alerta. As sugestões incluem: baixar e aplicar todas as correções de segurança oficiais lançadas pelos fabricantes de software; desligar todos os módulos desnecessários; fechar todas as portas que não estejam sendo usadas; baixar uma das várias ferramentas para análise de vulnerabilidades e fazer uma checagem geral no sistema.
O site não acredita que os servidores serão atacados no domingo propriamente. Pelo contrário, os grupos já estariam preparando seus alvos e instalando ferramentas como backdoors e rootkits, que lhes darão acesso às máquinas no dia marcado para o ataque, sem que os administradores percebam. Por isso, não basta aplicar as correções de segurança, é necessário também tomar outras medidas, como checar qualquer novo usuário recentemente adicionado ao sistema, checar as conexões e programas suspeitos e rodar um software para detecção de trojans, backdoors e rootkits (como o Chkrootkit). Outras informações podem ser encontradas aqui.
Há vários indícios que levam a crer na participação de brasileiros por trás do concurso, entre os quais o inglês precário e com palavras em português nas regras que estão sendo divulgadas. O site “oficial” da competição ― www.defacers-challenge.com ― esteve indisponível desde quarta-feira, quando a notícia começou a se espalhar pela Internet, mas já está novamente no ar.
Neste endereço, pode-se ver que o e-mail que servia de inscrição para os interessados era desafio@defacers-challenge.com . No texto explicativo também se encontram palavras como “disfigured” (desfigurado), quando todos sabem que o equivalente em inglês é “defaced”. Além disso há referências ao hpG, conhecido provedor brasileiro de hospedagem gratuita.
Como se não bastasse, outro site criado para a ocasião ― www.defacers-challenge.info ― é apenas uma moldura (frame) para a página www.hypnotic0.hpg.ig.com.br/defeng.htm , em que as regras estão publicadas. Apesar disso, o domínio defacers-challenge.info está sob responsabilidade administrativa de alguém que forneceu um endereço do Reino Unido. (http://www.relatorioalfa.com.br)