DNS da GVT e Oi foram alterados com código malicioso

Semana passada, alguns internautas do Brasil começaram a receber arquivos para download de sites como o Google e Facebook sem a solicitação. Com uma pequena investigação percebeu-se que o problema ocorria apenas para clientes GVT e Oi Velox que utilizavam o DNS da operadora, maliciosamente modificado por hackers que aplicaram o chamado “envenenamento de cache do DNS”.

Ao contrário do que muita gente pensa, nem sempre quando se é vítima de um golpe a culpa é do usuário. Prova disto são os recentes ataques de criminosos brasileiros que estão tirando proveito de vulnerabilidades nas configurações de roteadores para infectar usuários com pragas que na maioria das vezes visam roubar senhas bancárias.

DNS da GVT e Oi foram alterados com código malicioso

Como acontece

De maneira bem resumida, o DNS serve para traduzir os nomes da internet para o endereço IP em que ele está hospedado. É possível interferir na resolução dos nomes alterando as configurações dos roteadores e isto pode ser feito de maneira física ou remota.

Envenenamento de cache DNS

É um atividade criminosa que acontece diretamente no provedor quando se configura de forma inadequada o serviço. Segundo informações da Kaspersky Lab, as configurações do provedor são alteradas por pessoas maliciosas e os usuários desses DNS são direcionadas para sites falsos.
É possível que as modificações sejam realizadas pela internet, no entanto, pode haver auxílio de funcionários como aconteceu na semana passada, quando o técnico de um provedor foi preso acusado de receber R$10 mil para alterar as configurações de DNS dos roteadores da empresa.

SSL não funciona e ataque raramente é registrado

Muitos “especialistas” de segurança afirmam que se a conexão for segura (SSL) e o “cadeado de segurança” for exibido está tudo bem, mas não é bem assim. Um ataque por envenenamento de cache DNS pode reproduzir uma conexão SSL através de certificados digitais falsos.
Como um provedor possui vários servidores de DNS e nem todos são envenenados, os ataques duram pouco tempo e depois desse período o provedor renova os endereços obtendo o IP correto. Com isso, o ataque é extremamente difícil de ser detectado e registrado.

Quem poderá nos defender?

Já não é de hoje que esse tipo de ataque acontece no Brasil. Como existem muitos bons servidores DNS públicos como o Open DNS, Norton DNS e o Google DNS, vale à pena mudar. Não sabe como fazer? Tudo bem, alguns softwares como o Windows DNS Changer e o DNS Performance Test testam e mudam automaticamente os servidores DNS no Windows.

Fonte: Massive DNS poisoning attacks in Brazil

4 comments on “DNS da GVT e Oi foram alterados com código malicioso
  1. Alisson

    Comodo DNS : 8.26.56.26 8.20.247.20 http://www.comodo.com/secure-dns/

  2. Elder

    Cara, informação totalmente equivocada … pelo menos quanto a GVT. O DNS da GVT não poderia ter sido envenenado, por ser da Nominum, simplesmente o mais seguro que existe. Verificando alguns sites sobre o problema foi fácil verificar que o problema ocorreu não com o DNS, mas com as CPEs dos usuários, principalmente os modelos da D-Link e Huawei. Eles aparentemente possuem uma falha onde a porta 80 fica aberta no lado WAN, mesmo que na interface esteja marcado como “fechado”. Como os usuários e senhas padrão de acesso aos modems normalmente não são alterados, bastou um SQL injection pelo lado WAN, alterando o servidor DNS configurado no modem, para um outro qualquer que estivesse envenenado. Quer solução? Troque o DNS no modem e a senha do administrador do modem. Ah, mas podem haver outras falhas … coincidência ou não os modelos que apresentam mais problemas são os com chipset Broadcom … provável falha então no chipset ou no Kernel do sistema operacional. melhor ainda seria trocar o modem por outro de uma marca mais confiável, como Intelbras (pode parecer brincadeira, mas são os melhores que já testei), Linksys, TP-Link. Fui …

  3. Ernani Junior

    o que percebi nao é o dns que voi envenenado e sim as configuraçoes dos modens…ja peguei uns 50 modens alterado internamente e alguns configurados de tal forma que se altera até a senha do mesmo…alguem ja passou por isto… ah e outra afeta muito o banco do bradesco.

  4. Henrique Barros

    Tive um problema parecido na minha maquina. O DNS foi alterado no modem. Ocorre que normalmente os modens ficam com a senha padrao de fabrica. Dai algum hacker, cracker fd p pode acessa-lo da internet mesmo. No meu caso o DNS foi alterado para 200.35.149.70 e 200.35.149.80. Troquei o DNS para o padrao da GVT. Parece que resolveu. Alguns sites especializados recomendam voce resetar o modem, e depois reconfigurar.

Comments are closed.