Saiba como golpistas da web levam internautas a sites falsos

Criminosos podem criar páginas de bancos e roubar senhas.
Veja como funciona esse tipo de golpe disseminado na internet.

Fonte: G1.com.br

A Net confirmou na semana passada que o Virtua foi alvo de um ataque de envenenamento do cache DNS, o que resultou no redirecionamento do site do Bradesco para uma página clonada, operada por criminosos com o intuito de roubar informações. A confirmação também deu voz a reclamações que apareceram há duas semanas sobre redirecionamentos do Google AdSense, que serve anúncios publicitários, para cavalos de troia. A coluna Segurança para o PC de hoje explica como esse ataque funciona.

Todos os computadores existentes na internet são identificados com um número chamado de endereço IP. É o Domain Name System (DNS) que consegue “traduzir” algo como “www.globo.com” para um endereço IP, o que facilita muito a localização das páginas na rede, dispensando a necessidade de lembrar e digitar longas sequências numéricas.

Infelizmente, é possível interferir com esse processo de “tradução”. Ou seja, um indivíduo mal-intencionado pode fazer com que um endereço na internet seja traduzido para o IP errado. Assim, ele pode fazer com que um determinado endereço leve o internauta para o IP e, portanto, para o computador que ele deseja.

Em outras palavras, um malfeitor pode fazer com que o endereço do site de um banco, por exemplo, aponte para um computador que ele mesmo controla. Ele pode criar uma página totalmente diferente, para assustar os usuários. Ou ainda colocar uma página idêntica à original, mas que, como está sob seu controle, rouba os dados que forem colocados nela.

DNS

O DNS é um sistema bem distribuído: cada provedor tem sua própria infraestrutura. Normalmente, são usados dois servidores de DNS na conexão com a internet: um principal e um reserva, caso o primeiro esteja lento ou inoperante. Os sites que existem na internet também têm dois ou mais Name Servers (NS) que são responsáveis por informar a cada servidor DNS o endereço IP correto do site.

Existem ainda vários NSs operados pelas organizações responsáveis pelo funcionamento dos endereços na internet. Esses servidores têm como objetivo apenas informar ao servidor DNS qual é o NS específico de um site. Assim, a responsabilidade do sistema não está centralizada, garantindo que uma falha num único local não afete os demais usuários. Por isso, o envenenamento de cache afeta apenas usuários de um determinado DNS, normalmente um grupo de usuários dentro de um provedor.

O processo de “tradução” é um pouco complicado e irrelevante, portanto a coluna não irá descrevê-lo em detalhes. Vale dizer, no entanto, que, para otimizar tudo, o DNS usa uma memória temporária chamada cache. Ela serve para que o DNS guarde as informações que obtém, para não ter de repetir o processo inteiro se um mesmo site for acessado dezenas de vezes. Eventualmente essa memória é zerada, para que sites que mudaram de IP, por exemplo, sejam retraduzidos.

Para interferir com a tradução, o criminoso precisa se “disfarçar” de um NS. Ou seja, quando o DNS perguntar a um NS a respeito do IP de um endereço, o criminoso deve responder antes que o NS legítimo faça isso. Por causa da memória temporária (cache) explicada acima, a resposta falsa ficará ativa no DNS por algumas horas, dias ou semanas. Por isso, o ataque se chama Envenenamento de Cache DNS. Veja abaixo como funciona.

Usando uma analogia, imagine que você (“DNS”) está montando uma lista telefônica local (“cache”) e, hipoteticamente, você quer saber qual o número de telefone (“IP”) de uma pessoa de quem você tem apenas o endereço (“www.algumsite...”). O único meio disponível é enviando uma carta (“conexão”). A pessoa (“NS”) então responde a correspondência, informando o número de telefone.

Se alguém outro responder a carta com um número de telefone errado numa correspondência cujo remetente (“IP do NS”) foi falsificado, você não terá como saber que o número está errado e irá usado mesmo assim. Com isso, sua lista telefônica será publicada com um erro até a edição seguinte (“limpeza do cache”), quando os números forem revisados. Durante esse período, todo mundo que usar sua lista para descobrir o número de quem mora naquele endereço estará discando o número informado pelo criminoso.

Insegurança

O DNS foi inventado em 1983, uma época bem diferente para a internet. Sistemas mais recentes usam um protocolo chamado TCP (Transmission Control Protocol), no qual a situação descrita acima ficaria mais complicada. Usando novamente a comparação com os correios, seria o equivalente a enviar uma carta registrada. Porém, o DNS usa o User Datagram Protocol (UDP), o equivalente a uma “carta simples”, sem verificação de entrega ou do remetente.

Para evitar que o DNS aceite uma resposta falsa, cada tradução é marcada com um código de conexão, identificado como “Código X” no infográfico. São 65535 possibilidades, no mínimo. Podem ser ainda mais possibilidades se a configuração de “porta aleatória”, como é chamada, estiver ativa, porém nem todos utilizam essa configuração. Houve um grande alarde no ano passado por causa de uma nova maneira de explorar o DNS que dá os criminosos quase que infinitas tentativas, o que significa que as 65535 possibilidades não eram mais suficientes para proteger a conexão.

O criminoso precisa conseguir adivinhar qual será o código identificador para plantar sua resposta falsa. Normalmente não é fácil descobrir com exatidão. Isso significa que é preciso enviar várias respostas forjadas, cada uma com um código diferente (X, Y, Z, no infográfico), esperando que um seja o certo, e que ele chegue antes ao DNS que o legítimo. Feito isso, a resposta falsa estará plantada e os internautas serão redirecionados.