Hackers, LulzSec e aprendendo a derrubar sites

19/01/2012 por Gustavo Cardial Leave a reply »

Edit 20/01/12: Estou certo que vocês todos tão acompanhando o SOPA, o triste fechamento do Megaupload e os recentes ataques do grupo Anonymous a sites como o do FBI, né?

Então. Segue um post que escrevi ano passado, sobre como os grupos LulzSec e Anonymous (entre tantos outros) fazem para atacar sites.

Enjoy.

Durante o mês de junho de 2011, você provavelmente se deparou com algumas notícias assim:

UOL - Chamada hackers derrubam

Fonte: UOL

Impressionante, certo? Errado.

Primeiro uma coisa que todos precisam saber: quando o assunto é tecnologia, a mídia é burra. Burra não: completamente retardada. Não só divulgam informações precipitadas, como também exaltam ações como a da imagem acima.

Funciona mais ou menos assim: duas crianças furtam doces duma loja. Daí, notícias fantasiosas começam a pipocar por aí, tipo “ação coordenada por uma gangue de crianças contestadoras do atual paradigma de alta ingestão de glicose aconteceu hoje. Há rumores de que as crianças terroristas também tenham roubado doces secretos.

Então. Afirmada a ignorância da mídia nesses assuntos, voltemos aos super hackers…

Derrubar um site não é “ação de hackers”. Tampouco caracteriza essa ladainha de cyberguerra, da qual alguns falam.

Fazer o que aquele grupo (o Anonymous) fez com sites de empresas como Visa e PayPal, tirando-os do ar, não é grande coisa. Muito menos o que esse grupo (LulzSec) fez, deixando alguns sites do governo brasileiro inacessíveis.

Quem faz isso não manja pra caralho, não.

Derrubando um servidor

Vou falar um pouco sobre como esses caras adolescentes fazem pra tirar sites do ar.

Um ataque que visa derrubar um servidor é chamado de DoS. A letra minúscula no meio é pra diferenciar do sistema operacional da Microsoft. DoS significa Denial of Service, ou “negação de serviço”. Um ataque de negação de serviço visa tornar um serviço indisponível a quem queira acessá-lo.

Por exemplo, um ataque DoS contra o Twitter visa impedir que os usuários consigam utilizá-lo. Ou, em outras palavras, visa tirá-lo do ar. Derrubá-lo.

DoS com flood

Existem vários meios de se realizar um ataque DoS. Uma das categorias mais simples de ataque DoS, por exemplo, são os ataques de flood. Flood, em inglês, significa inundação. A técnica é simples: inundar o alvo com pacotes de dados (dados na internet são enviados em pacotes). Com isso, duas consequências podem ser esperadas:

  1. O flood de pacotes vai consumir (ocupar) toda a largura de banda do alvo (a quantidade de bits que a rede dele suporta). O alvo não será mais capaz de responder a requisições legítimas. Se for um site, pessoas tentando acessá-lo não conseguirão. Os pacotes podem ser tantos que o sistema simplesmente fica offline.
  2. Antes do resultado acima ocorrer, é possível que a máquina alvo simplesmente trave, pois ela tenta processar cada pacote recebido, utilizando seus recursos.

Como o objetivo principal é inundar a banda do alvo, fica claro que para ter sucesso é indicada a utilização de uma conexão com banda superior à do alvo. Caso contrário, por mais pacotes que você envie, o alvo conseguirá lidar com eles numa boa.

UDP Flood

Um dos ataques de flood mais praticados pelos super-hackers de plantão é o UDP Flood. É um ataque como o descrito acima, que utiliza pacotes UDP para atacar o alvo. Pra ter idéia de como é simples, deixo aqui o link de um script que serve pra disparar um ataque desses: http://packetstormsecurity.org/files/view/24362/udp.pl (se o seu anti-vírus acusar algo, não se preocupe, eles também reportam ferramentas usadas para ataques, o arquivo está limpo).

Abra o arquivo e analise seu código. São só 60 linhas escritas em Perl (uma linguagem de script parecida com o PHP), mas que tem o poder de derrubar sistemas.

Com objetivos didáticos, experimente rodar esse código numa máquina com conexão de alta velocidade, informando o IP de algum amiguinho seu que está no MSN. Veja-o ficar offline. Funciona mesmo.

Hacker Bebê

Sou hacker. Tô na mídia!

DDoS

Caso o nosso alvo seja grande e tenha muita banda disponível, um ataque de sucesso fica dificultado. Como encontrar uma única máquina com tanta velocidade, pra rodar o ataque, não é mesmo?

Assim surgiu o DDoS, Distributed Denial of Service. É um DoS distribuído, ou seja: os pacotes não partem de uma, mas de várias máquinas. O modelo a seguir ilustra bem isso:

DDoS

As máquinas de onde partem os ataques estão denominadas como “zumbis”. Isso porque geralmente são máquinas como a minha e a sua, mas infectadas com malware. Essas máquinas participam dos ataques sem o consentimento de seus donos. Essa rede de zumbis são as chamadas botnets. São redes de bots (robôs), muitas vezes com milhares deles, que obedecem aos comandos do atacante, o dono da botnet.

Botnets são usadas para diversos fins: atacar sites é só o mais retardado de todos. Usos mais úteis (aos atacantes) incluem enviar spam, roubar dados bancários, fraude em anúncios pay-per-click e hospedar sites de venda de medicamentos ilegais.

DDoS voluntário

Chegamos ao que os grupos como o Anonymous e o LulzSec praticam. Eles não precisam formar grandes botnets. Eles usam voluntários.

Primeiro, disponibilizam uma ferramenta bem simples: uma janelinha se abre, então basta informar (num campo de texto) o endereço do site que se deseja atacar, e clicar num botão. Feito isso, sua máquina começa a enviar milhares de pacotes ao alvo.

Depois, eles pedem aos seus milhares de voluntários para direcionar suas ferramentas ao alvo desejado. Pronto, aí está um grande ataque que será divulgado pela mídia como extremamente profissional e bem elaborado.

Individualmente, cada máquina é fraca em banda. Somados os pacotes de todas as máquinas, porém, o ataque pode ser devastador.

Em particular, a ferramenta que esses dois grupos mais utilizam é chamada LOIC: o Low Orbit Ion Cannon (canhão de íons de órbita baixa, uma brincadeira com o nome duma arma do jogo Command & Conquer).

Existem duas versões do LOIC. A primeira é um executável feito em C#, que você baixa e roda direto do seu computador. A segunda versão é feita em JavaScript: você entra num site que rode esta ferramenta e pode disparar os ataques direto do seu navegador. Super fácil. Os ataques enviam requisições HTTP ao alvo.

Se quiser formar um exército virtual com seus amiguinhos, você pode acessar a versão web do LOIC em http://lowc.comlu.com/.

LOIC

Conclusão

Não há mais a dizer. Esses ataques são simples. Esses “hackers” não manjam nada. Seja cético ao ler sobre grandes feitos virtuais na mídia.

Link: Download do LOIC feito em C#
Link: Download do LOIC versão JavaScript

50 comments

  1. Smaylle disse:

    Gustavo post muito bom!!!!!! parabéns!

  2. Rafael Vasconcelos disse:

    Boa explicação, bem didática.
    No Brasil o lulzsec se trata de um bando de vandalos, que querem através desses ataques, ganhar fama de hacker.

  3. Victor disse:

    Post muito bom mesmo.. Podia rolar um sobre relação Hackers e Invasões ou sobre Black Hat…

  4. Marcelo disse:

    Ótimo post!! :D

  5. valeu galera, farei mais posts didáticos assim

  6. Diguinho disse:

    Nossa Um dos Melhores post ja feito ou que pelo meno eu li Parabens é pouco show di bola continue assim….

  7. Danillo disse:

    Muito bom amigo :}~
    isso é oque acontece quando a molecada tá sem aula.

  8. Rodrigo disse:

    Concordo c tdo o q disse, a verdade é que a maioria usa o computador mas nao entende nada de como tdo isso funciona, principalmente os jornalistas q fazem todo esse show…

  9. PJ-COOL disse:

    a coisa mais hacker que tem nesses ataques, é .. não são, os programas que nós programadores que não temos nenhuma ligação com essa brincadeira de super-hacker, fazemos.

    muito bom seu artigo devastador aos hackers kk, concordo com 99,99% do texto, o que eu não concordo é você usar o termo hacker ..
    esses moleques não devem ser nem de catarro de hacker kk

  10. fatal disse:

    haha mto bom..

    se eles tivessem nascido pelo menos uns 5 anos antes, estariam tentando roubar nicks e canais na brasnet usando códigos feitos por algum op do #scriptx

  11. André Nasserala disse:

    Realmente um ótimo material, parabéns. Agora devemos estudar isso e usar como arma de defesa para esses ataques em nossos sistemas, Firewalls bem configurados podem minimizar isso. vlw!

  12. Josue disse:

    se nao me engano o LuisSec invadiu realmente os sites, roubou informações a estavam vendendo !

  13. Igor Roberto disse:

    vlw!! gustavo
    tem algum meio de eu falar com vc? pois quero falar sobre “derruba site” que eu vi outros meios, dai quero q vc avalie
    OK

  14. ? disse:

    Discordo de alguns comentários, acredito que o “ativismo virtual” é valido. O sarcasmo contido no tópico não deve ser generalizado a todo o grupo. Existe uma base ideológica por traz do manifesto, agora se v6 de S.I não conseguem observar… É pq suas cabeças estão impregnadas com a “lógica estrutural”.

    • Ativismo virtual é algo válido sim. Mas dizer que o grupo que mencionei, LulzSec, possui “base ideológica”… Seria engraçado, se não fosse triste.

      Não à toa você comentou anonimamente. Eu também teria vergonha de escrever tamanha besteira.

      • ? disse:

        Acho que seu comentário foi contraditório. Toda forma de “ativismo” carrega mesmo que inconscientemente uma base e/ou doutrina ideológica, você não pode massificar sua arrogância a ponto de afirmar tal coisa.

        • Leia mais algumas vezes e perceberá que eu não comentei que os adolescentes do LulzSec praticam ativismo virtual.

          Não praticam.

          Caso comente novamente, identifique-se.

          • ? disse:

            Não será necessario comentar novamente!
            Esta discurção de egos não chegará a lugar algum.
            —-
            bye.

  15. renatosantos disse:

    Parabéns, vou testa essa ferramentas disponibilizadas! :)

  16. unbekannt disse:

    Post Muito bom! Porem vc deve admitir que o Anonymous tem potencial derrubaram o site do fbi e o fbi com certeza tem uma boa estrutura e tmb já atacaram o site Lolita City e, conseguiram desativar a página ilegal, onde eram partilhados conteúdos de pornografia infantil o objetivo desta ação foi lutar contra a partilha deste tipo de conteúdos na Internet, através de uma rede denominada Thor, desativando um site onde estavam alojados mais de 100 GB de ficheiros de pedofilia é bem possível que não fizeram nada pior com os sites do fbi e outros governamentais pq eles querem apenas repreender e não causar o caos sendo assim eles não podem causar grandes estragos pq fazendo isso eles estariam c tornado aquilo que estão tentando destruir ou seja pessoas que pensam apenas em si mesmas e em dinheiro pq o mundo passando fome e cheio de doenças e drogados e prostituição e o governo gastando tempo e dinheiro com pirataria foi coisa simples mais eles tem o Poder

  17. Eduardo Menezes disse:

    Texto besta. Conhecimento do autor é tão superficial quanto o da mídia. Sites como o Paypal, Visa entre outros tem prejuizos com esses ataques. Por mais que saiam do ar por poucos minutos, a dor de cabeça é grande. O Paypal trabalha com transação financeira. Alguns minutos fora do ar é muito dinheiro perdido pra eles. Esses mesmos grupos já expuseram pedófilos e outros criminosos. Leia mais e entenda melhor a situação antes de sair escrevendo qualquer bobagem pra mostrar pros outros que você acha que entende o que está acontecendo.

    • Eduardo, seu comentário revela uma deficiência bastante grave na sua capacidade de interpretar as coisas que lê :( (se é que leu mesmo, né, parece mais que passou os olhos).

      E daí que já expuseram pedófilos? Qual a relação disso com o foco do texto, os ataques DDoS?

      E é óbvio que o prejuízo é grande para quem sai do ar, principalmente se for uma instituição financeira. Mas e daí? Se você juntar as sílabas pra formar palavras, e juntar as palavras pra formar frases, entenderá que isso não é relevante ao texto. Eu não entro no mérito do prejuízo que eles são capazes de causar. O texto aborda as questões técnicas, o (pouco) conhecimento necessário pra se fazer isso e a facilidade de se realizar ataques DDoS.

      Céus.

  18. Eduardo disse:

    Se alguém tem problema de interpretação, certamente não sou eu.
    Você os compara a crianças que roubam doces. Fazer empresas perderem dinheiro não é uma ataque criminoso? Como isso não tem a ver com o seu texto?
    Você desdenha dos grupos que vem causando esses ataques. Nada que já não tenha sido falado antes. Provavelmente você copiou algo que leu de algum dos milhares de pseudo especialistas em segurança da tecnologia que tem por aí.

    • Eduardo, a metáfora das crianças que roubam doces tem o propósito de ilustrar o exagero e o alarde da mídia, que pinta tais “feitos” como super elaborados, coordenados, bem pensados e principalmente extremamente técnicos.

      Em momento algum, no texto, menciono o efeito econômico/legal dos ataques. Ao ler o texto na íntegra, é fácil para qualquer um perceber – menos você – que se trata duma análise dos aspectos técnicos por trás de um ataque DDoS, tão e somente.

      É óbvio que tudo isso se trata de ataques criminosos. Não vejo razão para a metáfora das crianças te fazer achar que eu não os considero isso.

      Por fim… Sim. Eu desdenho tais grupos. Não tanto o Anonymous, mas principalmente aquele LulzSec. E acho curiosa sua opinião: ora, se o Gustavo emite opiniões que já li em outros lugares, provavelmente significa que ele também as leu e meramente copiou.

      Falácias assim são sempre engraçadas.

  19. Márcio disse:

    kkkkk não paro de rir como gostam de discutir com Gustavo kkk. Gustavo cuidados com os fuderosos da informatica que moram aqui kkk, temos só q aprender e concordar que não sabemos de nada, não fira o ego desse povo não kkk. Basta responder dizendo, vc tem toda razão, vou estudar mais kkk. Até mais

  20. Oliveer disse:

    Tipo assim quem segue o objetivo (real) dos anonymous sabe perfeitamente que a intencao ñ é se aparecer ou mostrar-se o fodão da vez (que é o que muitos fazem shuasha) o objetivo até onde eu pude entender era se manisfestar mostrar que a maioria é contra as leis que ameaçam a liberdade na internet e quem ajuda os anonymos e sabe o real motivo do que ta fazendo sabe perfeitamente que ñ é um hacker e que ñ tah fazendo nada tão surpreendente assim,então eu pesso pra que vcs ñ generalizem a questão,muitos não são capazes de seguir o objetivo dos anonymos apesar de alto intitular-se assim mas só pra lembrar (não é a grande maioria) a mídia sim é a grande idiota da vez que por falta de informação anuncia de forma errada.

  21. Anonymous disse:

    ps> tem quem tenha conhecimento de verdade sim !

  22. luiz disse:

    eae blz gustavo aquele site de mandar ataques pra derrubar outros sites ele funciona msm? pq eu testei ele e num vi nenhuma diferença com o site q fis isso?

    tem alguma explicação?

    • Como explicado no texto, sua conexão teria que ser super veloz pra funcionar só com você. Ou seja, só surte efeito com várias pessoas simultaneamente usando o programa no alvo desejado. É o que o Anonymous faz.

      • luiz disse:

        ahh muito massa. olha eu achei uma forma boa de fazer ataques em um site e faze-lo inacessavel eu vi umas videos aulas q tem por ai e em varios textos eles fazem assim

        abre o prompt e escreve ping e depois o nome do site por exemplo
        ping http://www.youtube.com.br e depois ENTER
        depois disso ele mostra o IP do site e depois vc coloca de novo assim
        ping -f-l10000000 -t e aqui o IP do site

        depois disso fica mostrando umas mensagem

        vc sabe se fazer isso tbm derruba o site?

        • Não precisa do primeiro comando pra ver o IP, basta usar o segundo comando e, no lugar do IP, deixar o endereço mesmo.

          Na prática, esse comando inicia o disparo indefinido de pacotes grandes ao alvo. Mesmo assim, como na técnica do post, só seria efetivo com várias pessoas enviando ao mesmo tempo.

          Mas a velocidade de envio com esse comando é cerca de 1 pacote por segundo. Prum ataque efetivo, costuma-se disparar vários pacotes por segundo.

          Por fim, o ping consiste em pacotes ICMP que muitas vezes são filtrados pelo alvo, por firewalls ou até roteadores de borda. O que torna tudo ainda menos eficaz.

  23. luiz disse:

    hmm… mas mesmo abrindo varios prompt e fazer mesmo comando varias vezes, msm assim num adianta nao?

  24. Lucas disse:

    como eu poderia testar esse UDP Flood? onde informo o ip e rodo este script? Sou novo na are de Analise de Sistemas estou trabalhando na area e me interessando bastante e alias, parabens pelo post, mt bom

    • Vários programas fazem isso. o do post é um script em perl, que é uma linguagem interpretada. Pra rodá-lo você precisa de um interpretador perl. Para windows, procure o Active Perl no Google.

  25. Matheus disse:

    Post bastante interessante, principalmente para pentest assim você poderá verificar se a sua rede ou seu site esta vulnerável a este tipo de ataque.Tenho uma pergunta qual a diferença entre o LOIC e o HOIC.
    HOIC – high orbit ion cannon

    • não conhecia o HOIC. além dessa essa, parece existir um GOIC também. pelo que eu vi, basicamente são iguais ao LOIC: a diferença é que são mais velozes (multi-threaded), atacam mais sites por vez, tem uma interface mais amigável e aceitam plugins. Por causa de tudo isso, não existem versões destes 2 (melhores) em javascript

  26. Matheus disse:

    vlw

  27. Desejo contato com alguém que de fato consiga derrubar ip de maquinas em um site de pregão eletrônico onde tenho apenas perdido no preço.
    Pago por este serviço.

    Contato rezende395@hotmail.com

    • LEANDRO DE SOUZA SILVERA disse:

      Eae fera, poderia dizer qual dos sites e de qual estado? dependendo do serviço é facinho.

  28. guilherme disse:

    É cara mas eu até gosto dos anonymous, pelo menos não ficam quietos sobre seus direitos de liberdade e de expressão na internet, caso agora com o CISPA(Ainda está em vigor), e assim como sopa, pipa e outros… Conseguiram impedir de toda nossa informação parar nas mãos do governo e empresas. Ainda bem que eles fazem isso, melhor que ficar sentado esperando os outros mandarem na sua vida, como o teu chefe ou superior faz =)

  29. Anonymous disse:

    Deixe-me me Apresentar como Anonymous, apenas Anonymous.

    - fala muito bem, claro que não manjamos nada.

  30. LUIS disse:

    BB, CAIXA ..

Deixe uma resposta