Vários provedores brasileiros não corrigiram falha de DNS

A falha no sistema de nomes e domínios da internet (conhecido tecnicamente como DNS) já tem quase um mês de vida, mas os principais provedores de banda larga brasileiros parecem não ter se ajustado para evitar ataques decorrentes da brecha.

Levantamento feito pelo IDG Now! indica que usuários que assinam serviços de banda larga das empresas Vivo, Net, Telefônica e Tim, sejam eles móveis ou fixos, podem estar suscetíveis aos ataques de redirecionamento de tráfego. A ameaça coloca em risco a privacidade e a integridade dos dados pessoais dos internautas.

Os primeiros ataques que exploram falhas no sistema de nomes e domínios
da internet (conhecido tecnicamente como DNS) começaram a ser
registrados no final da última semana, com a publicação de logs de
redes internas com o desvio de tráfego.

No começo de julho, o pesquisador da consultoria IOActive, Dan Kaminsky, anunciou ter descoberto falhas no DNS que permitiriam que crackers, por meio de códigos maliciosos, redirecionassem domínios legítimos para páginas falsificadas que poderiam roubar dados do usuário.

Três semanas depois, o lançamento da nova versão do kit de hacking Metasploit, com códigos que permitiriam a exploração da brecha, fez com que o ataque se tornasse uma realidade.

O perigo da falha, explicada em detalhes técnicos pelo US-Cert, está relacionado tanto com a amplitude como com o silêncio dos ataques decorrentes. Tecnicamente, o malware faz com que o DNS seja enganado e, ao acessar a URL “idgnow.com.br”, por exemplo, direcione o usuário para o IP determinado pelo cracker.

Caso o servidor DNS de um provedor seja comprometido pelo malware, em ataque conhecido como “envenenamento de DNS”, milhões de usuários podem ser redirecionados sem qualquer alerta para páginas falsas que mimetizem o site original, em uma espécie de phishing potencializado e difícil de ser acusado sem ferramentas técnicas.
++++
E de quem é a responsabilidade de corrigir o problema? Dos provedores. O IDG Now! usou um teste oferecido pelo próprio Kaminsky em seu blog pessoal que indica se a conexão usada está completamente vulnerável ao ataque, se existem falhas que podem ser exploradas ou se o problema foi totalmente corrigido.

Testes realizados em 3 diferentes conexões do Speedy, da Telefônica, indicaram que há a possibilidade de ataques – nas duas primeiras, o teste indicou que o DNS poderia ser “envenenado”, enquanto o terceiro apontou que o problema estava parcialmente corrigido.

Em testes feitos com o Virtua, da Net, checagens feitas em conexões em horários diferentes nesta segunda-feira (28/07) indicaram a vulnerabilidade durante a manhã e a tarde. Durante a noite, os testes indicaram que o problema havia sido parcialmente contornado.

Entre conexões sem fio, o problema também é perceptível. Medições envolvendo usuários dos serviços VivoZap, da operadora Vivo, e Claro 3G, da Claro, indicaram falta de proteção adequada contra o “envenenamento” de cachê.

Em comunicado, a Claro afirma que já conta “com a ativação da assinatura DNS Cache Poison em seu Sistema de Prevenção (IPS)”, o que possibilita o uso de portas aleatórias para consulta de DNS e evita o ataque.

Procurados pela reportagem do IDG Now!, Vivo, Net, Telefônica e Tim não se pronunciaram antes do fechamento da matéria.
++++
O problema não é exclusivo de provedores brasileiros. Em seu blog HackerFactor, Neal Krawetz listou todos os provedores pelo mundo que ofereciam riscos semelhantes a seus usuários.

Segundo ele, os principais provedores norte-americanos, como Earthlink, Spinklink e Comcast, ainda oferecem riscos a seus usuários. A Verizon também estava na lista, mas foi riscada após corrigir o problema.

Vale esclarecer que a indicação de uma conexão possivelmente suscetível ao ataque pelo teste de Kaminsky não significa que toda a infra-estrutura do provedor pode estar comprometida com o “envenenamento”, já que a atualização pode estar em curso.

Por outro lado, Krawetz explica em post sobre os métodos de exploração da falha que o fato do provedor ter sucesso no teste de Kaminsky significa apenas que a estrutura está corrigida “contra o método desenvolvido” pelo pesquisador.

“No entanto, algumas correções não lidam bem necessariamente com o método genérico de envenenamento de cachê de DNS. Mais uma vez, se o provedor perceber um fluxo de pacotes de resposta DNS, podem estudar outros passos para evitar o ataque”, explica Krawetz.