O sequestro de DNS é um tipo de ataque em que o atacante consegue alterar os servidores DNS. Desta forma, sempre que uma máquina solicita uma resolução de um nome, tal procedimento é realizado por um servidor de DNS controlado pelo ataque. Assim, o atacante pode manipular as resoluções de nome, levando o utilizador a visitar sites maliciosos.
Será que o seu router tem um servidor de DNS “pirata”? Saiba como detetar.
Sempre que uma máquina precisa de resolver um nome num endereço IP consulta um servidor de DNS. No entanto, no caso de um ataque, esse servidor pode não ser fidedigno.
Por exemplo, quando o dispositivo da vítima consulta o domínio “example.com”, o DNS malicioso responde com o endereço IP de um site fraudulento, diferente do original, direcionando a vítima para esse site.
Como um atacante pode alterar o DNS: tipos de ataque?
Um atacante pode alterar o DNS de várias maneiras, incluindo: infetar a vítima com código malicioso, assumir o controlo do router de uma rede ou intercetar a comunicação DNS.
Portanto, existem 3 tipos de ataques para redirecionar o DNS:
- Sequestro de DNS local
O atacante consegue comprometer o dispositivo da vítima e altera a configuração DNS local.
- Sequestro do router DNS
O atacante consegue controlar o router da vítima (devido a uma configuração incorreta ou uma vulnerabilidade no router) e reescreve a configuração DNS do dispositivo, afetando todos os utilizadores ligados à rede.
- Ataque MitM DNS
O atacante consegue intercetar a comunicação entre o utilizador e o servidor DNS legítimo, e altera a resposta do servidor com um IP de destino que aponta para um site malicioso.
O principal objetivo deste tipo de ataque é redirecionar a vítima para sites fraudulentos, que são, na sua maioria, phishing, e assim obter nomes de utilizadores, passwords, dados de cartões de crédito e todo o tipo de informação confidencial. Este tipo de ataque também é amplamente usado para redirecionar o utilizador para sites de publicidade ou exibir adware, o que gera um ganho económico para o atacante.
Como perceber se está a ser vítima do sequestro de DNS?
Como o ataque é baseado na alteração do DNS para redirecionar as consultas de nomes para um servidor malicioso, a primeira coisa que pode fazer é verificar quais os servidores que estão a resolver as suas consultas. Uma maneira é verificar a configuração de rede local dos seus dispositivos, mas isso irá dar-lhe poucas informações ou servirá apenas para descartar casos de sequestro local.
No exemplo a seguir, podemos ver a configuração IP de um computador com Windows (a usar o comando ipconfig/all). Aqui, é importante diferenciar o que é o DNS Suffix com os servidores DNS, já que são estes últimos que irão receber as consultas de nomes e devolverão o IP. Por outro lado, o DNS Suffix é usado apenas em redes locais quando consultamos um nome de dispositivo sem especificar um domínio. Ou seja, neste caso, se procurasse sobre o IP do dispositivo “test1” sem esclarecer qualquer domínio, o dispositivo automaticamente entende que está à procura do IP “test1.example.net”.
No entanto, na configuração local do dispositivo raramente vemos realmente qual é o servidor DNS público que está a resolver as nossas consultas, já que normalmente o IP atribuído pela maioria dos DHCPs dos routers domésticos é o próprio router.
Portanto, para verificar se os nossos pacotes DNS estão a ser respondidos por uma fonte confiável, a melhor forma de confirmar isso é fazer uma consulta pública e verificar quais os servidores que estão a responder. Para isso, podemos usar sites de verificação de DNS, semelhantes aos que usamos para descobrir o nosso IP público. Alguns dos sites que os atacantes podem usar são:
DNS Leak Test: Serviço que permite detetar os servidores DNS que estão a responder às suas consultas. É aconselhável realizar o teste mais extenso, que permite descobrir todos os servidores DNS pelos quais a sua consulta está a passar.
What’s my DNS Server: Este serviço é muito simples de usar e, com um clique, sabe qual o servidor DNS que está a resolver as suas consultas. Além disso, a página informa se o mesmo é fiável ou se foi denunciado como fraudulento.
Que medidas de proteção podemos usar para evitar sermos vítimas?
O primeiro passo é proteger a rede e, para isso, é essencial ter um router seguro, configurado e atualizado corretamente.
Como regra geral, o ideal é ter sempre o controlo do router na nossa rede e, assim, ter a certeza de que ele está configurado de forma segura. O problema ocorre muitas vezes com o dispositivo do fornecedor de serviço de Internet, uma vez que muitos ISPs não informam o utilizador acerca da administração do router ou modem que fornecem. Se este for o seu caso, você tem duas opções, mas em ambas você deve ter o seu próprio router.
A primeira opção, e a mais adequada, é pedir ao seu fornecedor de serviço de Internet para configurar o seu router no modo bridge – o router do fornecedor atribui diretamente ao seu router o IP público que ele usará para navegar na Internet. De seguida, você deve configurar o seu router para fazer a WAN IP dinamicamente e sobrescrever o DNS com alguns de confiança.
A segunda opção, caso a configuração anterior não seja viável, é configurar uma nova rede LAN com o seu próprio router. Nesse caso, o seu router terá dois IPs privados, o IP da LAN ao qual o seu dispositivo se ligará e outro IP privado que usará a porta WAN para se comunicar com o router do ISP. Neste caso, é muito importante desativar a função WiFi do router do fornecedor e configurar o DHCP no nosso próprio computador com DNS confiável.
Lembre-se também de usar sempre uma solução de segurança atualizada em todos os seus dispositivos. Uma solução antivírus não só impedirá que o seu computador seja infetado por um código malicioso que possa alterar o DNS, mas também detetará ligações que foram redirecionadas para sites fraudulentos.
Artigo elaborado para o Pplware pela ESET Portugal.