sábado, 7 de julho de 2012

DNSChanger - milhares de computadores perderão acesso à Internet - CUIDADO!

Diversas empresas de segurança estão alertando sobre este importante fato. Parte da Internet será isolada, como se fosse uma quarentena a partir do dia 09 de julho. McAfee, Kaspersky, Symantec, TrendMicro, AVG, ESET, só para citar algumas empresa das quais recebi alertas e explicações sobre o fato. Mas do que se trata esta ameaça? Trata-se da uma infestação descoberta que chega aos computadores por meio do malware chamado DNSChanger.



A raiz deste problema é a alteração dos servidores DNS espalhados pelo mundo que como consequência leva os usuários a sites falsos. Mas como isso funciona? A comunicação entre computadores se dá não pelos seus nomes e sim pelos seus endereços IP. Por exemplo, quando você digita em seu navegador o endereço http://www.nasa.gov o seu computador consulta o servidor DNS de seu provedor que por sua vez consulta outros servidores DNS até que seja descoberto o endereço IP 208.44.23.75 que identifica de forma única o site da NASA. Com este número “em mãos” os computadores se conectam e pode começar a trocar informações, no caso carregar o site da NASA.

Assim fica evidente que DNS é algo essencial para a comunicação entre os computadores e servidores na Internet. Tão importante que poucos anos atrás um grande provedor de acesso de São Paulo (TELEFONICA) teve uma pane em seus servidores DNS que deixou milhões de pessoas sem acesso em todo estado. Na ocasião eu me lembro de que desconfiei que pudesse ser este o problema e manualmente configurei outro servidor DNS em meu PC e deu certo. Procurei passar a dica para a maior quantidade de pessoas enquanto a pane durou quase dois dias.

Ataques de malware à funcionalidade do DNS também não é novidade. Em 2005 eu já contara um caso de um amigo que foi “Roubado pelo DNS” e teve sua conta do banco totalmente esvaziada por gatunos virtuais. Mas o problema recente tem uma diferença em relação àqueles de anos atrás. No passado PC com Windows tinham certo arquivo modificado que fazia “enganar” o navegador de Internet, carregando um site falso no lugar de outro verdadeiro, por exemplo, o site de um banco para capturar senhas. Assim o facilitador do ataque residia no próprio PC. Um malware alterava o tal arquivo HOSTS, que serve como um “pré-DNS”. Endereços contidos ali nem são buscados no DNS e sim resolvidos erradamente para o site falso.

A partir do Windows 7 (no Vista também) alteração de arquivos sensíveis passaram a ser protegidos pelo sistema operacional e pelos antivírus de mercado. Em princípio este tipo de ameaça decresceu, embora pessoas que de boa fé que instalaram programas maliciosos em seus PC (induzidos por técnicas de engenharia social) ainda foram pegas por este tipo de vulnerabilidade.

Mas voltando aos dias atuais, o que é MUITO ASSUSTADOR é que esta ameaça agora não mais está obrigatoriamente centrada nos computadores (PCs, MACs, etc.) e sim TAMBÉM nos SERVIDORES da rede. O malware DNSChanger, como o nome sugere, tem a capacidade de alterar a resposta do DNS no PC e também no servidor DNS de um provedor de acesso ou de uma empresa. Inúmeras empresas, que têm uma infraestrutura de TI um pouco mais elaborada, que contém, por exemplo, com um Windows Server 2008 ou um servidor Linux, têm a funcionalidade de DNS para resolver os endereços das estações de trabalho de sua rede.

Isso é assustador, pois mesmo que determinado computador esteja perfeitamente protegido por sistemas de segurança, firewall, antivírus, etc. seu usuário demandará acesso a um site de banco, rede social, etc. e será redirecionado a um site falso que terá como objetivo roubar suas credenciais de acesso (usuário e senha) e nem ao menos terá como desconfiar que tem algo errado. Vocês sabiam que existe sequestro de acesso a redes sociais? Larápios extorquem dinheiro para devolver o acesso roubado a Facebook, twitter e até contas de e-mail.

No passado, ataques mais primitivos que vinham por e-mails o usuário era convidado a clicar no link do “banco” e este ao carregar no navegador abria com endereço distinto, algo como por exemplo, www.itau.com.appnet.br ou coisa parecida. Quando o DNS é comprometido, na própria máquina ou no servidor DNS da empresa ou do provedor de acesso, não há pista evidente alguma de que aquele site carregado no navegador de Internet é verdadeiro ou não.

O que é mais incrível é que o DNSChanger começou a se proliferar em 2007 e chegou a infectar 4 milhões de computadores em todo o mundo. A quadrilha responsável por ele foi presa pelo FBI em 2011. Para evitar que os computadores contaminados, e que, portanto, estavam usando os servidores DNS falsos, ficassem sem acesso à internet, o FBI substitui temporariamente esses servidores por servidores limpos. Com o fim desse serviço, que será no dia 9 de julho, os aproximadamente 350 mil computadores que ainda estão contaminados ficarão sem o serviço DNS.

Assim usuários conectados e que usam estes DNSs serão também impedidos de usar a Internet. As diversas empresas de segurança criaram mecanismos de detecção para que usuários testes se o seu computador está afetado pelo malware DNSChanger ou se está usando uma conexão a um provedor comprometida:

McAfee - http://www.siteadvisor.com/dns_checker.html
ESET    - http://www.eset.com.br/online-scanner
AVG      - http://dns-changer.eu/en/check.php





Verificador do DNSChager da McAfee - tela inicial



Verificador do DNSChager da McAfee - meu PC está LIMPO!

Um comentário:

  1. Graaaande Ander!!!! Que ótimo contar com sua participação aqui neste espaço!! Obrigado pelas palavras!!! Abração

    ResponderExcluir