ZuQuEtO.CoM

A Apple publicou nesta quinta-feira, 31/7, um pacote de correções para o Mac OS X que atacam, entre outros, o bug do DNS. A falha no DNS, divulgada em 8/7 e corrigida nessa mesma data por uma série de empresas, permite o redirecionamento de internautas para sites falsos. Isso é obtido mediante a adulteração das tabelas de DNS, que fazem as associações entre nomes de domínio e endereços IP. A falha no DNS localiza-se no software que faz parte da própria infra-estrutura da internet. Desse modo, a correção da Apple para o Mac OS, assim como outras atualizações já liberadas (a do Windows saiu no dia 8/7), introduz procedimentos randômicos nas pesquisas de DNS que impedem a exploração da vulnerabilidade. O pacote da Apple traz também mais de uma dezena de outras atualizações. Para mais detalhes, veja o alerta da empresa neste endereço.

Divulgado o primeiro caso concreto de exploração do bug no sistema de DNS.

A empresa americana BreakingPoint Systems, de Austin, Texas, que fornece equipamentos para redes, tornou-se a primeira vítima conhecida de um ataque de “envenenamento de cache” do DNS. Segundo relato da Security Focus, a página inicial do Google, no browser dos empregados da BreakingPoint, apareceu esta semana com quatro janelas. Isso aconteceu não apenas na empresa, mas também em muitas residências em Austin, Texas, cidade onde fica a sede da BreakingPoint.

Uma investigação apurou que o caso não tinha nada a ver com o Google. Um dos dois servidores de nomes (DNS) da BreakingtPoint estava fornecendo a direção errada do Google. Assim, quando os usuários digitavam o endereço do mecanismo de busca, seu browser era levado para um falso site do mecanismo de busca, controlado por crackers.

Continuando a investigação, descobriu-se que aquele servidor de DNS na verdade consultava outro computador da AT&T, o qual fornecia o endereço IP errado. Mudada a fonte de consulta, o problema foi resolvido. Ao mesmo tempo, a AT&T foi alertada sobre o problema: um de seus servidores possivelmente estava envenenado.

Esse caso, embora único, mostra a importância dos provedores de acesso à internet no caso do DNS. Se eles não aplicam as correções, empresas e usuários individuais podem tornar-se vulneráveis. E, nesse caso, vale a pena insistir: não importa a maior ou menor segurança do sistema local.

Pesquisador apresenta novo ataque que ameaça sistemas DNS - Código de russo mostra como é possível explorar falha, que não é grave, para inserir dados falsos nos sistemas da internet. Os servidores do sistema de nomes e domínios na internet (DNS, do inglês Domain Name System), afetados por um código malicioso em julho, ainda não foram completamente recuperados por correções, afirmou um pesquisador russo na sexta-feira (08/08). Evgeniy Polyakov mostrou um código que, ao explorar uma falha no DNS, torna possível a inserção de dados falsos em sistemas que usam a versão mais atualizada do software open source BIND (Berkeley Internet Name Domain), que roda a maioria dos servidores DNS da web. Esta versão é a BIND 9.5.0-P2, lançada no dia 2 de agosto como um complemento da atualização inicial, divulgada em 8 de julho, quando o pesquisador Dan Kaminsky revelou a falha no DNS e coordenou seu ajuste. Ambas as atualizações incluíram a randomização das portas do servidor para reduzir as probabilidades de “envenenamento de cachê”, termo usado para descrever os ataques que têm relação com a maneira com que clientes e servidores DNS obtém dados de outros servidores DNS na internet. Segundo a demonstração da falha feita por Polyakov, contudo, é possível inserir instruções maliciosas em um servidor DNS rodando o BIND 9.5.0-P2. Para tal, foram necessárias 10 horas e dois PCs conectados ao servidor via uma rede Gigabit Ethernet (GigE). Segundo o presidente do Internet Software Consortium, Paul Vixie, a ameaça mostrada por Polyakov é pequena em comparação com a facilidade com que os atacantes podem ‘envenenar’ os cachês de servidores DNS desatualizados. “Qualquer servidor DNS com um firewall pode suavizar o ataque de Polyakov”, explica Vixie. “E, em algum ponto, o ISC precisará incluir esta ação no BIND, é claro.” O próprio pesquisador russo disse que há pouco para se preocupar em relação ao problema.

Uma forma de explorar o bug do sistema DNS consiste em usar sistemas de atualização online.

A ferramenta de ataque, denominada Evilgrade, foi demonstrada pela entidade Infobyte Security Research. Ela usa o recurso de atualização automática de vários produtos, como Java, Winzip, Winamp, Mac OS X, OpenOffice, iTunes e LinkedIn Toolbar.

Segundo a Infobyte, o Evilgrade é modular, e cada módulo implementa um falso sistema de atualização desses produtos.

O ataque usa a brecha no sistema de nomes de domínio da internet (DNS) e as brechas nesses serviços de atualização para invadir os micros vulneráveis. O usuário, ao tentar fazer uma atualização, é redirecionado para um site falso, que instala programas maliciosos em sua máquina.

Na última sexta-feira, 25/7, o CERT da Áustria informou que, embora Microsoft, Cisco e várias outras empresas tenham lançado correções para o problema no dia 8/7, quase 70% dos servidores DNS de seu país ainda não tinham sido atualizados.

O presidente da Telefônica, Antônio Carlos Valente, apresentou na terça-feira (07/07/09), em Brasília, um plano para dobrar o número de servidores DNS usados pela companhia.

Servidores DNS são equipamentos que fazem a conversão do endereço dos sites digitados pelos internautas para o endereço IP correspondente. Estes equipamentos foram alvo de ataques crackers em abril e responsáveis por seguidos problemas de navegação lenta ao longo deste ano.

Segundo a companhia, além dos atuais dois centros de servidores DNS, serão construídos outros dois. Assim, diz a empresa, serão garantidos 100% de contingência para casos de falhas e ataques externos.

A medida será anunciada por Valente no encontro que o executivo terá no Congresso Nacional com deputados federais, representantes da Anatel e de associações de defesa dos consumidores.

A duplicação das centrais de DNS vai custar R$ 70 milhões à companhia, o que representa pouco menos de 10% dos investimentos que a Telefônica prometeu fazer em sua rede de banda larga até o final deste ano.

O plano da Telefônica tem duas outras fases, com prazos de conclusão previstos para 90 e 180 dias. Nestas etapas, a companhia prevê instalar equipamentos em fase de importação que, segundo a empresa, vai ampliar a capacidade de tráfego de dados no Speedy.

A Vasco Data Security International, empresa líder de software para segurança corporativa e especializada em produtos voltados para autenticação forte, alerta sobre o drive-by pharming, modalidade de crime pela internet na qual os usuários são redirecionados a uma página da web fraudulenta ou recebem algum e-mail contendo vírus em linguagem Java. O vírus faz uma tentativa de se logar no roteador doméstico do usuário para tentar mudar o DNS do seu servidor, de modo a deixá-lo vulnerável a um ataque de um servidor mal-intencionado. Esta modalidade de ataque não requer que o usuário faça o download de qualquer vírus, pois o simples acesso à webpage fraudulenta ou a leitura do e-mail contendo o código criminoso em linguagem Java já é suficiente para a contaminação. Este tipo de ação criminosa ocorre porque o roteador doméstico freqüentemente trabalha empregando configurações padrão e as senhas de acesso raramente são alteradas. Os hackers adivinham as senhas padrão e desta forma ganham acesso aos roteadores.Mesmo a mudança destas senhas não é garantia de que se possa prevenir estes ataques.