Notícias e Eventos Blue Solutions

Atualizações sobre produtos, Informações Técnicas, Dicas para Ambientes de TI, Virtualização, NOC, Operações de TI, Serviços de Segurança, Serviços Gerenciados, Recuperação de Desastres, Continuidade de Negócios e notícias da Blue Solutions.

Novos Ataques preocupam especialistas em Segurança da Informação

Nenhum comentário
Uma nova forma de ataque tem preocupado os especialistas e deveria preocupar o cidadão comum também.

Nesses ataques, o simples fato de abrir um e-mail ou site malicioso, sem necessariamente clicar em um link, fazer um download ou instalar algum executável é o suficiente para redirecionar o tráfego do usuário para sites indesejados.

O ataque

Nessa nova modalidade, em um e-mail por exemplo, são invocados endereços de imagem apontando para endereços de roteadores locais dos usuários, com o objetivo de trocar a configuração dos mesmos. Num código HTML ficaria assim:

<img src="http://192.168.0.1/?setDNS=8.8.8.8">

Nesse exemplo, ao tentar carregar essa imagem, o computador do usuário trocaria a configuração de DNS do roteador no IP 192.168.0.1 para o IP 8.8.8.8 (endereços fictícios e não nocivos).

Esse exemplo foi bem simples e específico, mas um mesmo e-mail pode conter centenas ou até milhares de URLs de diversos modelos de roteadores, contendo inclusive senhas padrões para os ataques. Veja um exemplo de código fonte malicioso aqui (CUIDADO).

Essa característica presente em diversos roteadores domésticos e até alguns profissionais, permite que configurações sejam alteradas apenas pela chamada de uma URL e é chamado de Cross-site Request Forgery ou apenas referenciado pela sigla CSRF e é bem comum em diversos equipamentos.

Esse ataque não é possível em sites de bancos por exemplo, pois normalmente não estamos logados no mesmo por muito tempo (a sessão expira rapidamente), e mesmo quando estamos, é comum o banco pedir uma segunda senha a cada transação realizada.

Consequências

Para o ataque ser bem sucedido, basta o usuário abrir um site ou e-mail com o código malicioso, se bem feito o ataque, não aparecerá nenhuma mensagem de erro ou imagem quebrada.

Assim que o usuário reiniciar seu computador ou reconectar nessa rede, receberá a nova configuração de DNS do roteador e passará a fazer as consultas por lá. Dificilmente perceberá algum problema, no máximo um pouco de lentidão, mas a partir daí as chamadas para sites de bancos por exemplo podem ser roteadas para sites mantidos pelos criminosos de forma transparente.

Porque isso acontece?

Para o ataque funcionar, o roteador precisa estar configurado com usuário e senha padrões. Caso o ataque seja feito contra algum roteador com senhas definidas pelo usuário, uma caixa de autenticação aparecerá para o usuário, ainda assim o ataque pode ter efeito, se a senha estiver gravada no computador do usuário e o mesmo simplesmente confirmar a autenticação.

Alguns roteadores mais antigos (e bastante populares) permitem a alteração de configurações sem necessariamente autenticar o usuário, esses são os mais perigosos e uma saída alternativa seria trocar o IP padrão dos mesmos.

Como evitar?

Nossa recomendação para evitar esse tipo de ataque é trocar imediatamente a senha padrão dos roteadores.

Também, onde possível, trocar o endereço IP padrão dos mesmos e atualizar o firmware.

Dentro de empresas, evite usar os equipamentos domésticos para esse tipo de serviço, principalmente roteadores Wireless. A maioria deles possui vulnerabilidades conhecidas e não tratadas pelos fabricantes como pode ser visto nesse site, contendo mais de 60 vulnerabilidades, ou se tratadas, precisam de atualização de firmware para serem aplicadas.

Matéria publicada originalmente no site TI Especialistas




Sobre o autor
Fernando Ulisses dos Santos
Diretor de Tecnologia na Blue Solutions
Especialista em Segurança da Informação
Certificado VCP-DCV, VCAP-DT, VCP-DT
Fernando Ulisses dos Santos

Nenhum comentário :

Postar um comentário