|
G1 - 20/04/2009
riminosos podem criar páginas de bancos e roubar senhas. Veja como funciona esse tipo de golpe disseminado na internet.
A Net confirmou na semana passada que o Virtua foi alvo de um ataque de envenenamento do cache DNS, o que resultou no redirecionamento do site do Bradesco para uma página clonada, operada por criminosos com o intuito de roubar informações. A confirmação também deu voz a reclamações que apareceram há duas semanas sobre redirecionamentos do Google AdSense, que serve anúncios publicitários, para cavalos de troia. A coluna Segurança para o PC de hoje explica como esse ataque funciona.
Todos os computadores existentes na internet são identificados com um número chamado de endereço IP. É o Domain Name System (DNS) que consegue “traduzir” algo como “www.globo.com” para um endereço IP, o que facilita muito a localização das páginas na rede, dispensando a necessidade de lembrar e digitar longas sequências numéricas.
Infelizmente, é possível interferir com esse processo de “tradução”. Ou seja, um indivíduo mal-intencionado pode fazer com que um endereço na internet seja traduzido para o IP errado. Assim, ele pode fazer com que um determinado endereço leve o internauta para o IP e, portanto, para o computador que ele deseja.
Em outras palavras, um malfeitor pode fazer com que o endereço do site de um banco, por exemplo, aponte para um computador que ele mesmo controla. Ele pode criar uma página totalmente diferente, para assustar os usuários. Ou ainda colocar uma página idêntica à original, mas que, como está sob seu controle, rouba os dados que forem colocados nela.
DNS
O DNS é um sistema bem distribuído: cada provedor
tem sua própria infraestrutura. Normalmente, são usados dois
servidores de DNS na conexão com a internet: um principal e um reserva,
caso o primeiro esteja lento ou inoperante. Os sites que existem na internet
também têm dois ou mais Name Servers (NS) que são responsáveis
por informar a cada servidor DNS o endereço IP correto do site.
Existem ainda vários NSs operados pelas organizações responsáveis pelo funcionamento dos endereços na internet. Esses servidores têm como objetivo apenas informar ao servidor DNS qual é o NS específico de um site. Assim, a responsabilidade do sistema não está centralizada, garantindo que uma falha num único local não afete os demais usuários. Por isso, o envenenamento de cache afeta apenas usuários de um determinado DNS, normalmente um grupo de usuários dentro de um provedor.
O processo de “tradução” é um pouco complicado e irrelevante, portanto a coluna não irá descrevê-lo em detalhes. Vale dizer, no entanto, que, para otimizar tudo, o DNS usa uma memória temporária chamada cache. Ela serve para que o DNS guarde as informações que obtém, para não ter de repetir o processo inteiro se um mesmo site for acessado dezenas de vezes. Eventualmente essa memória é zerada, para que sites que mudaram de IP, por exemplo, sejam retraduzidos.
Para interferir com a tradução, o criminoso precisa se “disfarçar” de um NS. Ou seja, quando o DNS perguntar a um NS a respeito do IP de um endereço, o criminoso deve responder antes que o NS legítimo faça isso. Por causa da memória temporária (cache) explicada acima, a resposta falsa ficará ativa no DNS por algumas horas, dias ou semanas. Por isso, o ataque se chama Envenenamento de Cache DNS.
Usando uma analogia, imagine que você (“DNS”) está montando uma lista telefônica local (“cache”) e, hipoteticamente, você quer saber qual o número de telefone (“IP”) de uma pessoa de quem você tem apenas o endereço (“www.algumsite...”). O único meio disponível é enviando uma carta (“conexão”). A pessoa (“NS”) então responde a correspondência, informando o número de telefone.Se alguém outro responder a carta com um número de telefone errado numa correspondência cujo remetente (“IP do NS”) foi falsificado, você não terá como saber que o número está errado e irá usado mesmo assim. Com isso, sua lista telefônica será publicada com um erro até a edição seguinte (“limpeza do cache”), quando os números forem revisados. Durante esse período, todo mundo que usar sua lista para descobrir o número de quem mora naquele endereço estará discando o número informado pelo criminoso.
