o que é o DNS spoofing

O que é o DNS spoofing? A falsificação do DNS é uma táctica de ataque comummente utilizada para defraudar empresas. O DNS nunca foi seguro em si mesmo. Porque foi concebido nos anos 80, a segurança não era uma questão de topo quando a Internet ainda era uma curiosidade. Isto encorajou os maus agentes a explorar o problema ao longo do tempo e a desenvolver ataques sofisticados baseados no DNS, tais como a falsificação do DNS.

Definição de Spoofing DNS

A spoofing DNS é uma técnica utilizada para desviar o pedido de um web browser para um website e, em vez disso, direccionar o utilizador para um website diferente. Isto pode ser feito quer alterando o endereço IP dos servidores DNS, quer alterando o endereço IP do próprio servidor do nome de domínio.

A falsificação do DNS é frequentemente utilizada em esquemas de phishing onde os utilizadores são induzidos a visitar falsos sítios Web que parecem autênticos. Estes sites falsos podem pedir informações pessoais, tais como números de cartões de crédito ou números da Segurança Social, que os criminosos podem utilizar para roubo de identidade.

O que é um ataque de spoofing DNS?

Um ataque de spoofing DNS é quando o atacante faz-se passar por um servidor DNS e envia respostas a consultas DNS diferentes das enviadas pelo servidor legítimo.

O agressor pode enviar qualquer resposta que queira à consulta da vítima, incluindo endereços IP falsos para anfitriões ou outros tipos de informações falsas. Isto pode ser utilizado para direccionar um utilizador para um website concebido para se parecer com outro website ou para dar informações falsas sobre serviços na rede.

Em resumo, um atacante pode enganar um utilizador para que este visite um site nocivo sem que este saiba. A falsificação do DNS refere-se a qualquer tentativa de alterar os registos DNS devolvidos a um utilizador e redireccioná-los para um sítio web malicioso.

Pode ser utilizado para uma variedade de fins maliciosos, incluindo:

  • Distribuição de malware, resgate e esquemas de phishing
  • Colheita de informação do utilizador
  • Facilitar outros tipos de cibercrime.

Como funciona o DNS Spoofing?

O servidor DNS converte nomes de domínio em endereços IP para que as pessoas se possam ligar a sítios web. Se um hacker quiser enviar utilizadores para sítios maliciosos, terá primeiro de alterar as suas definições DNS. Isto pode ser feito explorando as fraquezas do sistema ou através de ataques de força bruta, onde os hackers tentam milhares de combinações diferentes até encontrarem uma que funcione.

Passo 1 - Reconhecimento

O primeiro passo para um ataque bem sucedido é o reconhecimento - descobrir o máximo de informação sobre o seu alvo. Um hacker irá estudar o seu modelo de negócio, a estrutura da rede de funcionários, e as políticas de segurança para saber que tipo de informação devem pedir e como a podem obter.

Passo 2 - Acesso

Assim que tiverem recolhido informação suficiente sobre o seu alvo, tentarão aceder ao sistema explorando vulnerabilidades ou usando métodos de força bruta. Uma vez que tenham acesso, poderão instalar malware no sistema para lhes permitir monitorizar o tráfego e extrair dados sensíveis. O atacante pode enviar pacotes alegando ser de computadores legítimos, o que os fará parecer que estão a vir de outro lugar.

Passo 3 - Ataque

Quando o servidor de nomes receber estes pacotes, irá armazená-los na sua cache e utilizá-los da próxima vez que alguém os consultar para esta informação. Quando utilizadores autorizados tentam aceder a um site autorizado, serão redireccionados para um site não autorizado.

Métodos de spoofing DNS

Há várias maneiras de um atacante poder executá-lo, mas todas elas dependem de enganar o computador do utilizador para que este utilize um servidor DNS alternativo. Isto permite ao atacante sequestrar pedidos e enviá-los para qualquer sítio web que deseje.

1. Ataques de homem no meio

O ataque de spoofing DNS mais comum é chamado ataque de man-in-the-middle (MITM). O atacante intercepta uma comunicação por correio electrónico entre dois servidores SMTP para ler todo o seu tráfego na Internet neste tipo de ataque. O atacante intercepta então o seu pedido de resolução de um nome de domínio e envia-o através da sua rede em vez da rede real. Podem responder com qualquer endereço IP que queiram - mesmo um que pertença a um site de phishing.

2. Envenenamento por Cache DNS

O atacante utiliza uma botnet ou dispositivo comprometido na sua rede para enviar respostas falsas às consultas DNS, envenenando o cache local com informações incorrectas. Isto pode ser utilizado para o sequestro de sistemas de nomes de domínio (DNS) e ataques man-in-the-middle.

3. Sequestro de DNS

O atacante muda o seu endereço IP para aparecer como se fosse o servidor de nomes autorizado para um nome de domínio. Podem então enviar respostas DNS forjadas a um cliente solicitando informações sobre este domínio, direccionando-as para um IP controlado pelo atacante em vez de utilizarem correctamente servidores DNS públicos. Este ataque é mais comum contra clientes que não tenham implementado medidas de segurança nos seus routers ou firewalls.

Como Prevenir a Falsificação do DNS?

Implementar mecanismos de detecção de spoofing DNS

O DNSSEC é uma das soluções propostas para esta questão. DNSSEC é uma extensão para o DNS que fornece autenticação e integridade para registos e fornece dados não autorizados dos servidores DNS. Assegura que as respostas não são adulteradas durante a transmissão. Também proporciona confidencialidade ao tráfego de dados entre clientes e servidores, para que apenas aqueles com credenciais válidas o possam desencriptar.

Realizar Filtragem de Tráfego DNS Completa

A filtragem do tráfego DNS é o processo de inspecção de todo o tráfego de entrada e de saída na sua rede. Isto permite-lhe bloquear a ocorrência de qualquer actividade suspeita na sua rede. Pode fazê-lo utilizando uma firewall ou outro software de segurança que ofereça esta funcionalidade.

Aplicar Patches Regularmente aos Servidores DNS

Aplicar regularmente actualizações de segurança aos sistemas operativos, aplicações e bases de dados.

Utilizar uma Rede Privada Virtual (VPN)

Se não tiver acesso a uma ligação HTTPS, então utilize uma VPN. Uma VPN cria um túnel encriptado entre o seu computador e o sítio ou serviço a que está a aceder. Porque encriptam o tráfego em ambas as direcções, impedindo os ISP de ver que sítios web está a visitar e que dados está a enviar ou a receber.

Usar Firewalls

Instalar uma firewall em todos os sistemas que se ligam à Internet. Uma firewall irá bloquear todas as ligações de entrada que não tenham sido explicitamente permitidas pelo administrador da rede.

Utilizar Protocolos de Autenticação por Email

Pode usar MTA-STS para mitigar a falsificação do DNS. As entradas guardadas no ficheiro de política MTA-STS, descarregadas sobre HTTPS, são comparadas com os registos MX da sua MTA consultados sobre o DNS. Os MTAs também armazenam ficheiros de política MTA-STS, tornando um ataque de spoofing DNS mais difícil de executar.

Pode monitorizar e resolver problemas de entregabilidade ao permitir o TLS-RPT, permitindo aos receptores enviar relatórios SMTP TLS para o seu endereço de correio electrónico. Isto ajudá-lo-ia a manter-se a par dos problemas com uma ligação não encriptada. 

Activar o Registo e Monitorização de Consultas DNS

Permitir o registo e monitorização de consultas DNS para que possa acompanhar quaisquer alterações não autorizadas efectuadas nos seus servidores DNS.

Palavras finais

A falsificação de DNS pode ser extremamente inconveniente tanto para os visitantes como para os proprietários do sítio web. A principal motivação de um atacante para conduzir um ataque de spoofing DNS é ou o ganho pessoal ou a transmissão de malware. Como resultado, a selecção de um serviço de alojamento DNS fiável que emprega as medidas de segurança actuais como proprietário de um sítio web é fundamental.

Além disso, como visitante do website, deve "estar ciente do que o rodeia", porque se notar quaisquer discrepâncias entre o website que esperava visitar e o website que está actualmente a navegar, deve abandonar imediatamente esse website e tentar alertar o proprietário legítimo do website.

Últimos posts de Ahona Rudra (ver todos)