GlobalSign Blog

Tão conhecido como spoofing DNS, o envenenamento de cache DNS é um ataque concebido para localizar e depois explorar vulnerabilidades que existem num DNS, ou sistema de nomes de domínio, de modo a retirar tráfego orgânico de um servidor legítimo e passar para um falso.

A ameaça de envenenamento de cache DNS fez a notícia no início deste ano, em abril, quando os servidores DNS do gigante crypto MyEtherWallet foram sequestrados e redirecionados para um site de phishing.

Como resultado do envenenamento de cache, vários usuários foram enganados para desistir de suas chaves de carteira antes de transferir suas moedas criptográficas para outra carteira digital associada aos hackers. No total, os hackers roubaram cerca de cento e sessenta mil dólares de Ethereum antes do problema ser identificado e parado.

Este é apenas um exemplo que ilustra como o envenenamento de cache DNS pode ser perigoso. Outra razão porque este tipo de ataque é perigoso é porque pode facilmente se espalhar de um servidor DNS para outro.

Neste artigo, vamos cobrir o assunto de como o envenenamento de cache DNS funciona e depois algumas soluções que você pode aplicar para pará-lo caso isso aconteça com você.

A cada vez que seu navegador entrar em contato com um nome de domínio, ele tem que entrar em contato com o servidor DNS primeiro.
Domain Name Servers (DNS) são o equivalente da Internet a uma lista telefônica. Eles mantêm um diretório de nomes de domínio e os traduzem para endereços IP (Internet Protocol).

Isso é necessário porque, embora os nomes de domínio sejam fáceis de lembrar para as pessoas, computadores ou máquinas, acessam sites baseados em endereços IP.

O servidor responderá então com pelo menos um endereço IP (mas geralmente mais) para que seu computador chegue ao nome do domínio. Assim que seu computador se conecta ao endereço IP, o DNS converte o nome do domínio em um endereço IP que seu computador pode ler.

Direito agora, seu provedor de serviços de Internet está executando múltiplos servidores DNS, cada um dos quais armazena (ou salva) informações de outros servidores também. O roteador Wi-Fi que você tem em sua casa funciona essencialmente como um servidor DNS também, pois ele armazena informações dos servidores do seu provedor.

Um cache DNS é “envenenado” quando o servidor recebe uma entrada incorreta. Para colocar isso em perspectiva, pode ocorrer quando um hacker ganha controle sobre um servidor DNS e então muda informações nele.

Por exemplo, eles podem modificar as informações para que o servidor DNS diga aos usuários para procurarem um determinado site com o endereço errado. Em outras palavras, o usuário estaria digitando o nome ‘correto’ do site, mas então seria enviado para o endereço IP errado, e especificamente, para um site de phishing.

Earlier, mencionamos que uma das razões pelas quais o envenenamento do cache DNS é perigoso é porque ele pode se espalhar rapidamente de um servidor DNS para o próximo. Isto é conseguido se e quando vários provedores de serviços de Internet estão recebendo suas informações DNS do agora servidor controlado por hackers, o que resulta na entrada DNS ‘envenenada’ se espalhar para aqueles ISPs a serem armazenados em cache.

A partir daí, ele pode se espalhar para outros servidores DNS e roteadores domésticos, bem como computadores irão procurar a entrada DNS apenas para receber a resposta errada, resultando em mais e mais pessoas se tornando uma vítima do envenenamento. Apenas quando o cache envenenado tiver sido limpo em todos os servidores DNS afectados é que o problema será resolvido.

Como proteger contra o envenenamento de cache DNS

Um dos aspectos complicados do envenenamento de cache DNS é que será extremamente difícil determinar se as respostas DNS que recebe são legítimas ou não. No caso de My Ethereum Wallet, eles tinham meios muito limitados para evitar que a situação ocorresse, e o problema acabou sendo resolvido pelos seus provedores de servidores.

Felizmente, ainda há uma série de medidas que sua organização pode tomar para evitar que tal ataque aconteça com você, então você não deve ter a impressão de que o envenenamento de cache DNS é impossível ou quase impossível de prevenir.

Por exemplo, uma coisa que você deve fazer é ter seus servidores DNS configurados por um profissional de TI para confiar muito pouco em relacionamentos com outros servidores DNS. Isto torna muito mais difícil para um ciber-criminoso usar o seu servidor DNS para corromper os seus alvos, o que significa que o seu próprio servidor DNS tem menos probabilidades de ser corrompido e, portanto, você (e todos na sua organização) tem menos probabilidades de ser redireccionado para um website incorrecto.

Você pode ainda ter os seus servidores DNS configurados para armazenar apenas dados que estejam relacionados especificamente com o domínio solicitado e para limitar as respostas de consulta para fornecer apenas informações que digam respeito ao domínio solicitado também. A ideia é que o servidor será configurado de modo a que os serviços requeridos sejam os únicos permitidos a funcionar. Ao ter serviços adicionais que não são necessários para rodar no seu servidor DNS, você aumenta muito as chances de um ataque acontecer.

Você também deve garantir que a versão mais recente do DNS esteja sendo utilizada. Isto porque as versões mais recentes usarão recursos de segurança como randomização de portas e IDs de transações que são criptograficamente seguros para ajudar a proteger contra ataques de envenenamento.

Outra defesa importante contra o envenenamento do cache DNS, como MyEtherWallet aconselhou em um anúncio após o ataque ocorrido em abril de 2018, é procurar o nome da empresa na barra de endereços (então no seu caso ‘MyEtherWallet Inc’).
Isto significa que o site está usando um certificado EV SSL/TLS. Isso ajudaria a evitar que as pessoas fossem vítimas de um ataque de envenenamento, pois elas se certificariam de não inserir seus dados pessoais no site de um hacker. Nem todas as empresas usam EV em seus sites, então esta não é uma medida infalível, mas pode ser uma ferramenta útil ao tentar determinar se você está no site certo.

Um certificado SSL/TLS é simplesmente um pequeno arquivo de dados instalado em um servidor web que pode vincular os detalhes de sua organização a uma chave criptográfica. Após ter sido instalado, o certificado ativará o protocolo HTTPS para permitir uma conexão segura e criptografada entre um navegador e o seu servidor web. No caso dos Certificados EV SSL/TLS, alguns desses detalhes da organização, incluindo o nome da empresa como mencionado acima, serão apresentados diretamente na interface do navegador.

Conclusion

Em resumo, o envenenamento de cache DNS é quando um atacante explora um servidor DNS para enviar uma resposta DNS forjada que será colocada em cache por servidores legítimos.

Subseqüentemente, os usuários que visitarem o domínio corrompido serão enviados para um novo endereço IP que o hacker selecionou, que normalmente é um site de phishing malicioso onde as vítimas podem ser manipuladas para baixar malware ou enviar detalhes financeiros ou de login.

A seguir os passos acima ajudará a defender sua organização contra ataques de envenenamento de cache DNS.

Nota: Este artigo no blog foi escrito por um colaborador convidado com o propósito de oferecer uma maior variedade de conteúdo para os nossos leitores. As opiniões expressas neste artigo de autor convidado são exclusivamente do contribuinte e não refletem necessariamente as da GlobalSign.

Deixe um comentário