Pular para o conteúdo principal

Saiba como golpistas da web levam internautas a sites falsos


Criminosos podem criar páginas de bancos e roubar senhas.
Veja como funciona esse tipo de golpe disseminado na internet.

Fonte: G1.com.br

A Net confirmou na semana passada que o Virtua foi alvo de um ataque de envenenamento do cache DNS, o que resultou no redirecionamento do site do Bradesco para uma página clonada, operada por criminosos com o intuito de roubar informações. A confirmação também deu voz a reclamações que apareceram há duas semanas sobre redirecionamentos do Google AdSense, que serve anúncios publicitários, para cavalos de troia. A coluna Segurança para o PC de hoje explica como esse ataque funciona.

Todos os computadores existentes na internet são identificados com um número chamado de endereço IP. É o Domain Name System (DNS) que consegue “traduzir” algo como “www.globo.com” para um endereço IP, o que facilita muito a localização das páginas na rede, dispensando a necessidade de lembrar e digitar longas sequências numéricas.

Infelizmente, é possível interferir com esse processo de “tradução”. Ou seja, um indivíduo mal-intencionado pode fazer com que um endereço na internet seja traduzido para o IP errado. Assim, ele pode fazer com que um determinado endereço leve o internauta para o IP e, portanto, para o computador que ele deseja.

Em outras palavras, um malfeitor pode fazer com que o endereço do site de um banco, por exemplo, aponte para um computador que ele mesmo controla. Ele pode criar uma página totalmente diferente, para assustar os usuários. Ou ainda colocar uma página idêntica à original, mas que, como está sob seu controle, rouba os dados que forem colocados nela.

DNS

O DNS é um sistema bem distribuído: cada provedor tem sua própria infraestrutura. Normalmente, são usados dois servidores de DNS na conexão com a internet: um principal e um reserva, caso o primeiro esteja lento ou inoperante. Os sites que existem na internet também têm dois ou mais Name Servers (NS) que são responsáveis por informar a cada servidor DNS o endereço IP correto do site.

Existem ainda vários NSs operados pelas organizações responsáveis pelo funcionamento dos endereços na internet. Esses servidores têm como objetivo apenas informar ao servidor DNS qual é o NS específico de um site. Assim, a responsabilidade do sistema não está centralizada, garantindo que uma falha num único local não afete os demais usuários. Por isso, o envenenamento de cache afeta apenas usuários de um determinado DNS, normalmente um grupo de usuários dentro de um provedor.

O processo de “tradução” é um pouco complicado e irrelevante, portanto a coluna não irá descrevê-lo em detalhes. Vale dizer, no entanto, que, para otimizar tudo, o DNS usa uma memória temporária chamada cache. Ela serve para que o DNS guarde as informações que obtém, para não ter de repetir o processo inteiro se um mesmo site for acessado dezenas de vezes. Eventualmente essa memória é zerada, para que sites que mudaram de IP, por exemplo, sejam retraduzidos.

Para interferir com a tradução, o criminoso precisa se “disfarçar” de um NS. Ou seja, quando o DNS perguntar a um NS a respeito do IP de um endereço, o criminoso deve responder antes que o NS legítimo faça isso. Por causa da memória temporária (cache) explicada acima, a resposta falsa ficará ativa no DNS por algumas horas, dias ou semanas. Por isso, o ataque se chama Envenenamento de Cache DNS. Veja abaixo como funciona.

Foto: Arte/G1

Foto: Arte/G1

Foto: Arte/G1

Foto: Arte/G1

Foto: Arte/G1

Foto: Arte/G1

Usando uma analogia, imagine que você (“DNS”) está montando uma lista telefônica local (“cache”) e, hipoteticamente, você quer saber qual o número de telefone (“IP”) de uma pessoa de quem você tem apenas o endereço (“www.algumsite...”). O único meio disponível é enviando uma carta (“conexão”). A pessoa (“NS”) então responde a correspondência, informando o número de telefone.

Se alguém outro responder a carta com um número de telefone errado numa correspondência cujo remetente (“IP do NS”) foi falsificado, você não terá como saber que o número está errado e irá usado mesmo assim. Com isso, sua lista telefônica será publicada com um erro até a edição seguinte (“limpeza do cache”), quando os números forem revisados. Durante esse período, todo mundo que usar sua lista para descobrir o número de quem mora naquele endereço estará discando o número informado pelo criminoso.

Insegurança

O DNS foi inventado em 1983, uma época bem diferente para a internet. Sistemas mais recentes usam um protocolo chamado TCP (Transmission Control Protocol), no qual a situação descrita acima ficaria mais complicada. Usando novamente a comparação com os correios, seria o equivalente a enviar uma carta registrada. Porém, o DNS usa o User Datagram Protocol (UDP), o equivalente a uma “carta simples”, sem verificação de entrega ou do remetente.

Para evitar que o DNS aceite uma resposta falsa, cada tradução é marcada com um código de conexão, identificado como “Código X” no infográfico. São 65535 possibilidades, no mínimo. Podem ser ainda mais possibilidades se a configuração de “porta aleatória”, como é chamada, estiver ativa, porém nem todos utilizam essa configuração. Houve um grande alarde no ano passado por causa de uma nova maneira de explorar o DNS que dá os criminosos quase que infinitas tentativas, o que significa que as 65535 possibilidades não eram mais suficientes para proteger a conexão.

O criminoso precisa conseguir adivinhar qual será o código identificador para plantar sua resposta falsa. Normalmente não é fácil descobrir com exatidão. Isso significa que é preciso enviar várias respostas forjadas, cada uma com um código diferente (X, Y, Z, no infográfico), esperando que um seja o certo, e que ele chegue antes ao DNS que o legítimo. Feito isso, a resposta falsa estará plantada e os internautas serão redirecionados.
Marcadores:

Comentários

Anônimo disse…
Este teu post esta muito bom e atual...Espero que os alunos associem as aulas ministradas.

Abracos

Rogerio Meirelles
24 de abril de 2009 às 18:33
Postar um comentário

Postagens mais visitadas deste blog

Facebook: endereço de envio de intimações e/ou ordens judiciais

Achei interessante atualizar (fev/2018) esse post de outubro de 2011, visando deixar a informação mais correta e atualizada em relação aos procedimentos no Facebook: Várias pessoas me perguntam(vam) sobre o endereço do Facebook, que anunciou, em 2011, abrir um escritório no Brasil. Todo o procedimento de tratamento está explicado no nosso livro, escrito com o Dr. Higor Jorge: Crimes Cibernéticos - Ameaças e Procedimentos de Investigação. Veja como adquirir o livro: Como adquirir os livros? O resultado da pesquisa do registro do domínio nos remete a um escritório de registro de propriedade intelectual, porém, o escritório para envio de ordens judiciais e/ou intimações, além de requerimentos, é o seguinte: FACEBOOK SERVICOS ONLINE DO BRASIL LTDA Rua Leopoldo Couto de Magalhães Júnior, 700, 5º Andar, Bairro Itaim Bibi, São Paulo-SP, CEP 04542-000 - Fonte:  Jucesp Online Não sabíamos como seria o tratamento das informações e respostas às solicitações das chamadas
Postar um comentário
Leia mais ...

Pirâmides e outros perigos no Twitter

-------------------------------------------------------------------- Muito se tem discutido no Twitter sobre os sites de “scripts de followers” relacionados ao Twitter. Legal ou ilegal? Crime ou não? Dados são capturados? Várias perguntas que eu e o Sandro Süffert resolvemos escrever o artigo conjunto abaixo. Comentem, critiquem etc. ----------------------------------------------------------------------------- O twitter - ou simplesmente TT - é um serviço de micro-messaging muito simples e revolucionário. Por sua simplicidade ele é usado por mais gente que outros sites de redes sociais. Devido à sua simplicidade e à grande utilização, são centenas os sites que "complementam" as funcionalidades do twitter. Alguns exemplos são: sites usados para encurtar os tamanhos dos links (URLs) nos tweets e se ajustar ao limite de 140 caracteres, como o bit.ly , o tinyurl.com e o http://g
24 comentários
Leia mais ...

Saiba como denunciar pornografia infantil detectada no Twitter

Este artigo tem a finalidade de auxiliar as pessoas que detectam e detestam o que comumente chamam de "pedofilia" na internet. Importante referir que pedofilia é uma doença e o caracterização do crime ocorre, nos termos do Estatuto da Criança e do Adolescente, conforme estes artigos: Art. 241-A. Oferecer, trocar, disponibilizar, transmitir, distribuir, publicar ou divulgar por qualquer meio, inclusive por meio de sistema de informática ou telemático, fotografia, vídeo ou outro registro que contenha cena de sexo explícito ou pornográfica envolvendo criança ou adolescente: Pena – reclusão, de 3 (três) a 6 (seis) anos, e multa. § 1o Nas mesmas penas incorre quem: I – assegura os meios ou serviços para o armazenamento das fotografias, cenas ou imagens de que trata o caput deste artigo; II – assegura, por qualquer meio, o acesso por rede de computadores às fotografias, cenas ou imagens de que trata o caput deste artigo. § 2o As condutas tipificadas nos incisos I e II do §
Postar um comentário
Leia mais ...