Busca

Busca  


Publicidade

Arquivos

maio 2005
D S T Q Q S S
« abr   jun »
1234567
891011121314
15161718192021
22232425262728
293031  
Flávio Xandó

Flávio Xandó

Início do blog

Fale com o autor

  • RSS
  • Adicionar aos favoritos
  • Orkut
  • FaceBook
  • Twitter
Blog do Flávio Xandó

O lado detalhado, curioso e também divertido da tecnologia, simples como deve ser

Roubado pelo DNS!

Postado as 20:12 - 09/05/2005 - Por Flávio Xandó. Categorias: Sem Categoria.

0votos  

Há algumas semanas eu havia falado sobre o relatório de ameaças e vulnerabilidades na internet feito pela Symantec.( ). Na ocasião não pude contar duas histórias que me deixaram muito preocupado. São duas histórias reais e que devem servir de alerta para cada um de nós. Não sou especialista em segurança, mas tenho interesse real nestes assuntos seja para me proteger melhor ou para conhecer um pouquinho mais.

O primeiro “causo” é de um amigo que é super cuidadoso com o uso de Internet Banking. Ele tem conta no Bradesco, que por sua vez tem um aparato muito sofisticado de segurança. O Bradesco, além das senhas normais e habituais, tem uma conferência extra de dados baseado em “frase secreta”. Não é uma palavra, mas uma frase com pelo menos 25 caracteres. Como não tenho conta no Bradesco, se algum detalhe estiver incorreto, agradeço colaborações e correções. Ele só faz transações a partir do computador da empresa em que ele trabalha. Ele é super cauteloso e, além disso, trabalha em informática. Conhece os e-mails “phishing” que circulam por aí. Enfim não é uma pessoa desavisada, muito pelo contrário! Não bastasse isso tudo ele é ex sargento da aeronáutica (preciso explicar mais?). Um belo dia sua conta foi raspada até última gota! Um DOC enviado de sua conta para uma outra conta do Banco do Brasil limpou todo o dinheiro existente e também todo o valor do limite de cheque especial. Uma catástrofe! Cheques que estavam para compensar começaram a ser devolvidos. Faltou dinheiro para o dia a dia… um inferno! O Bradesco foi muito burocrático, mas muito correto neste episódio. Depois de muitos dias, cancelamento dos cartões de débito, muitos formulários, muita espera, muita “cadeira”, ele teve o seu dinheiro de volta. No meio da “briga” ele não conseguiu obter do Bradesco subsídio para ir atrás do beneficiário do DOC para uma agência do Banco do Brasil. Incrível mas o banco disse que nada podia fazer. Ele tinha os dados do “vigarista”, ou seria de um “laranja”, e nada pode fazer.

Mas a grande dúvida é : como ele uma pessoa tão esclarecida e tão cuidadosa sofreu este golpe??? Como os “amigos do alheio” se apropriaram de seus dados??? Até algumas semanas atrás eu não teria nem ao menos uma teoria. Após ler algumas coisas sobre o assunto e conversar com algumas pessoas eu posso teorizar sobre o ocorrido e arriscar uma explicação. Partindo sempre do princípio que ele não foi vítima de “phishing” (não foi mesmo) e que seu computador não tinha nenhum tipo de Spyware. Isto foi verificado por inúmeros programas e pelo definitivo jeito que é olhar no REGISTRY a chave HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run e procurar por qualquer programa desconhecido. Eu uso muito isso e pesquiso no site para descobrir se algum programa na inicialização da máquina é normal ou maligno.

“A Teoria” : existe um tipo novo da ataque muito diferente e muito sutil. Os e-mails “phishing” que induzem a pessoa a abrir um site falso e preencher os seus dados já começam a ficar manjados. Os “hackers”, “punks”, “crackers”, “marginais”, dêem o nome que quiserem, inventaram um tipo de ataque aos servidores DNS!!! Explicando rapidamente, quando se digita www.bradesco.com.br um servidor DNS, ou de seu provedor de acesso, ou de sua empresa (se esta tem um) traduz este nome para um IP. No caso do Bradesco este IP seria 200.212.135.225. Mas o cyber-marginal invade o servidor de DNS e por algum tempo cria uma entrada particular de DNS fazendo com que o endereço www.bradesco.com.br aponte para outro IP. Que IP?? Para o IP onde um site de mentira, idêntico ao do banco foi montado e por sua vez imita a seqüência de telas do banco capturando suas informações!!! Algumas horas depois ou no dia seguinte ele apaga esta entrada do DNS invadido e elimina o rastro de seu crime. Dá trabalho, sim dá. Mas uma pessoa que está esperando ser enganada por um e-mail com um endereço falso acaba nem pensando nesta possibilidade e como ela mesma digita no browser o endereço nunca imagina que está sendo enganado pelo DNS!!!

Isso é muito sério. É quase paranóico!! Como ter certeza de que o site que estou acessando é mesmo o site desejado??Tenho um amigo que me deu uma sugestão. Usando sites de bancos, ele SEMPRE digita de propósito as informações erradas. Se o site não reclamar, não negar a autenticação provavelmente ele está “grampeado”. Caso contrário o banco perceberá o erro e alertará o usuário.

O que você acha, teria sido isso que aconteceu??

O outro “causo” eu contarei em uma próxima coluna a ser publicada. Senão esta ficará muito grande, né?

**************************************

acrescentado em 12/06/2005

O Homem errado Рa continua̤̣o desta coluna

***************************************

Saiba mais

Comentários (72)   Visitas (41648)

bonesaw

Eu já conhecia esse método.. mas não precisa ninguém hackear o servidor de DNS, pelo menos não no que eu conheço.. basta editar o seu arquivo HOSTS, do próprio windows.. como já deve saber, você pode associar um IP a um domínio, para não perder tempo consultando servidor de DNS algum para saber o IP de um lugar.. ou seja, se tiver alguma entrada dizendo que quando você digitar www.bradesco.com.br ele vai te mandar pra outro site, isso vai acontecer.. logo, o "hacker"(eu não considero quem faz isso um "hacker" ou qualquer outro nome ridículo desses) consegue coletar seus dados e enviar ao banco, ficando transparente para o usuário.
Para mim, banco = banco, internet = internet.. misturar os 2 nunca deu certo.

bonesaw - Rio de Janeiro-RJ - 09/05/2005 - 20:21 - Responder no fórum

egbertomonteiro

Eu NUNCA usei e não pretendo usar internet-banks.
Ficou mais perigoso que sair na rua e correr o risco de ser assaltado
Essa do DNS é nova, só falta agora os bancos dizerem aos clientes em vez de voce digitar www.banco.com.br , digite o IP do nosso banco ' xxx.xxx.xxx.xxx ' é mais seguro
Eu achei meio estranha essa estoria de Hackear o servidor DNS,
vai saber né.

egbertomonteiro - São Paulo-Capital - 09/05/2005 - 20:35 - Responder no fórum

scussel_rs

Eu já conhecia esse método.. mas não precisa ninguém hackear o servidor de DNS, pelo menos não no que eu conheço.. basta editar o seu arquivo HOSTS, do próprio windows.. como já deve saber, você pode associar um IP a um domínio, para não perder tempo consultando servidor de DNS algum para saber o IP de um lugar.. ou seja, se tiver alguma entrada dizendo que quando você digitar www.bradesco.com.br ele vai te mandar pra outro site, isso vai acontecer.. logo, o "hacker"(eu não considero quem faz isso um "hacker" ou qualquer outro nome ridículo desses) consegue coletar seus dados e enviar ao banco, ficando transparente para o usuário.
Para mim, banco = banco, internet = internet.. misturar os 2 nunca deu certo.
Sim mas dai precisa acesso a maquina que vc quer invadir, e como o artigo explicitou, isso era impossivel, pois o cara era linha dura. Eu achei a ideia bastante inteligente, porem continua valendo o principio de que o cracker precisa ter um metodo pra invadir o servidor DNS. Interessante é o fato de o banco nao poder divulgar o destinatario do DOC. Mas acredito que com uma açao judicial isso se torna possivel. Tenho uma sugestao para evitar esse golpe: em(...)

scussel_rs - 09/05/2005 - 20:39 - Responder no fórum

oswaldo.romano

Existem diversas maneiras de se conseguir o redirecionamento de sites "seguros" para armadilhas de estelionatários (não são hackers, nem crakers, são ladrões mesmo). Trabalho com informática à vários anos (15 para ser exato) e NUNCA usei serviços bancários pela internet. Explico, na esquina da minha casa, tem um caixa eletrônico, tudo que preciso fazer e dar alguns passos e pronto. Ainda sim sou cauteloso (não paranóico) quanto aos caixas. Uso a Internet para compras com cartão de crédito, MAS, o cartão que uso é somente para esse fim e com limite bem baixo. Sei que posso estar na contramão da história e até estar perdendo vantagens do home banking (comodidade, facilidade, praticidade, velocidade) mas até que surja uma tecnologia REALMENTE segura, ficarei como estou, dando minas caminhadas até o caixa 24 horas.
T+ s.

oswaldo.romano - Uberaba MG - 09/05/2005 - 20:42 - Responder no fórum

Flavio Xandó

Eu me esqueci de contar isso. Existem agora alguns WORMs que podem editar o arquivo HOSTS como você falou. Na prática tem o mesmo efeito mas só para a máquina infectada. Invadir o DNS tem como "benefício" atingir de uma só vez milhares de usuários que têm este DNS como o seu resolvedor de nomes da Internet.
É de arrepiar !!

Flavio Xandó - 09/05/2005 - 20:44 - Responder no fórum

Flavio Xandó

Olha a idéia de eu colocar o IP do meu banco nos meu Favoritos acaba de se tornar MUITO ATRAENTE !!!

Flavio Xandó - 09/05/2005 - 20:45 - Responder no fórum

Hakkinen

Tecnologia 100% segura nao existe. Assim como nao é 100% seguro sair de casa para ir ao banco.
Mas, da mesma maneira que voce não sai gritando pra todo mundo sua senha de banco, não deve fazê-lo na internet, sendo descuidado.
Eu uso homebanking, com ressalvas, mas uso.

Hakkinen - Fortaleza / Ceará - 09/05/2005 - 21:09 - Responder no fórum

Hamfast

Esse ataque é meio antigo já e bem conhecido, DNS poisoning...Por incrível que pareça, são utilizadas vulnerabilidades no BIND (DNS server Unix/Linux, um dos mais utilizados no planeta).
Essa aplicação sempre teve problemas de segurança, começando pelo fato de só poder rodar com root (por isso as pessoas implementam chroot), mas é das melhores....

Hamfast - Brasília - DF - 09/05/2005 - 21:18 - Responder no fórum

Mais comentários Acessar o fórum Responder no fórum

Copyright © 2000-2010 Fórum PCs - Todos os direitos reservados.
Não nos responsabilizamos por danos de qualquer espécie causados pelo uso das informações aqui divulgadas.