.
Google, Amazon, Microsoft, e a Cloudflare revelaram esta semana que lutaram contra ataques massivos e recordes de negação de serviço distribuída contra sua infraestrutura de nuvem em agosto e setembro. Os ataques DDoS, nos quais os invasores tentam sobrecarregar um serviço com tráfego indesejado para derrubá-lo, são uma ameaça clássica da Internet, e os hackers estão sempre desenvolvendo novas estratégias para torná-los maiores ou mais eficazes. Os ataques recentes foram particularmente dignos de nota, porque os hackers os geraram explorando uma vulnerabilidade em um protocolo web fundamental. Isso significa que, embora os esforços de correção estejam bem encaminhados, as correções precisarão essencialmente chegar a todos os servidores da Web em todo o mundo antes que esses ataques possam ser totalmente eliminados.
Chamada de “HTTP/2 Rapid Reset”, a vulnerabilidade só pode ser explorada para negação de serviço – ela não permite que invasores assumam remotamente o controle de um servidor ou exfiltrem dados. Mas um ataque não precisa de ser sofisticado para causar grandes problemas – a disponibilidade é vital para o acesso a qualquer serviço digital, desde infraestruturas críticas até informações cruciais.
“Os ataques DDoS podem ter impactos abrangentes nas organizações vítimas, incluindo perda de negócios e indisponibilidade de aplicativos de missão crítica”, escreveram Emil Kiner e Tim April do Google Cloud esta semana. “O tempo para se recuperar de ataques DDoS pode ir muito além do final de um ataque.”
Outra faceta da situação é de onde veio a vulnerabilidade. O Rapid Reset não está em um software específico, mas na especificação do protocolo de rede HTTP/2 usado para carregar páginas da web. Desenvolvido pela Internet Engineering Task Force (IETF), o HTTP/2 existe há cerca de oito anos e é o sucessor mais rápido e eficiente do clássico protocolo de Internet HTTP. HTTP/2 funciona melhor em dispositivos móveis e usa menos largura de banda, por isso foi amplamente adotado. A IETF está atualmente desenvolvendo HTTP/3.
“Como o ataque abusa de uma fraqueza subjacente no protocolo HTTP/2, acreditamos que qualquer fornecedor que tenha implementado HTTP/2 estará sujeito ao ataque”, escreveram Lucas Pardue e Julien Desgats da Cloudflare esta semana. Embora pareça que há uma minoria de implementações que não são afetadas pelo Rapid Reset, Pardue e Desgats enfatizam que o problema é amplamente relevante para “todos os servidores web modernos”.
Ao contrário de um bug do Windows corrigido pela Microsoft ou de um bug do Safari corrigido pela Apple, uma falha em um protocolo não pode ser corrigida por uma entidade central porque cada site implementa o padrão à sua maneira. Quando os principais serviços de nuvem e os provedores de defesa DDoS criam soluções para seus serviços, isso ajuda muito a proteger todos que usam sua infraestrutura. Mas as organizações e os indivíduos que executam os seus próprios servidores web precisam de desenvolver as suas próprias proteções.
.
