Uma nova forma de ataque tem preocupado os especialistas e deveria preocupar o cidadão comum também.
Nesses ataques, o simples fato de abrir um e-mail ou site malicioso, sem necessariamente clicar em um link, fazer um download ou instalar algum executável é o suficiente para redirecionar o tráfego do usuário para sites indesejados.
Nessa nova modalidade, em um e-mail por exemplo, são invocados endereços de imagem apontando para endereços de roteadores locais dos usuários, com o objetivo de trocar a configuração dos mesmos. Num código HTML ficaria assim:
<img src=”http://192.168.0.1/?setDNS=8.8.8.8″>
Nesse exemplo, ao tentar carregar essa imagem, o computador do usuário trocaria a configuração de DNS do roteador no IP 192.168.0.1 para o IP 8.8.8.8 (endereços fictícios e não nocivos).
Esse exemplo foi bem simples e específico, mas um mesmo e-mail pode conter centenas ou até milhares de URLs de diversos modelos de roteadores, contendo inclusive senhas padrões para os ataques. Veja um exemplo de código fonte malicioso aqui (CUIDADO).
Essa característica presente em diversos roteadores domésticos e até alguns profissionais, permite que configurações sejam alteradas apenas pela chamada de uma URL e é chamado de Cross-site Request Forgery ou apenas referenciado pela sigla CSRF e é bem comum em diversos equipamentos.
Esse ataque não é possível em sites de bancos por exemplo, pois normalmente não estamos logados no mesmo por muito tempo (a sessão expira rapidamente), e mesmo quando estamos, é comum o banco pedir uma segunda senha a cada transação realizada.
Para o ataque ser bem sucedido, basta o usuário abrir um site ou e-mail com o código malicioso, se bem feito o ataque, não aparecerá nenhuma mensagem de erro ou imagem quebrada.
Assim que o usuário reiniciar seu computador ou reconectar nessa rede, receberá a nova configuração de DNS do roteador e passará a fazer as consultas por lá. Dificilmente perceberá algum problema, no máximo um pouco de lentidão, mas a partir daí as chamadas para sites de bancos por exemplo podem ser roteadas para sites mantidos pelos criminosos de forma transparente.
Para o ataque funcionar, o roteador precisa estar configurado com usuário e senha padrões. Caso o ataque seja feito contra algum roteador com senhas definidas pelo usuário, uma caixa de autenticação aparecerá para o usuário, ainda assim o ataque pode ter efeito, se a senha estiver gravada no computador do usuário e o mesmo simplesmente confirmar a autenticação.
Alguns roteadores mais antigos (e bastante populares) permitem a alteração de configurações sem necessariamente autenticar o usuário, esses são os mais perigosos e uma saída alternativa seria trocar o IP padrão dos mesmos.
Nossa recomendação para evitar esse tipo de ataque é trocar imediatamente a senha padrão dos roteadores.
Também, onde possível, trocar o endereço IP padrão dos mesmos e atualizar o firmware.
Dentro de empresas, evitar usar os equipamentos domésticos para esse tipo de serviço, principalmente roteadores Wireless. A maioria deles possui vulnerabilidades conhecidas e não tratadas pelos fabricantes como pode ser visto nesse site contendo mais de 60 vulnerabilidades, ou se tratadas, precisam de atualização de firmware para serem aplicadas.
[Crédito da Imagem: Ataques – ShutterStock]
Diretor de Tecnologia e Desenvolvimento da Blue Solutions e na Energy Telecom, trabalhou em dezenas de projetos de virtualização, reestruturação, implantação e migração de Datacenter em empresas de todos os portes. Pós-Graduado em Segurança da Informação, certificado VMware VCP-DCV, VCP-DT e VCAP-DTD.
You must be logged in to post a comment.
