Início » Segurança » Usar o DNS padrão de provedores de banda larga no Brasil virou risco sério

Usar o DNS padrão de provedores de banda larga no Brasil virou risco sério

Por
3 anos atrás

Na semana passada usuários de dois provedores brasileiros de banda larga, a GVT e a Oi Velox, passaram a receber avisos para baixar arquivos executáveis durante a navegação. Não seria algo incomum se os sites que eles estivessem navegando fossem realmente maliciosos ou de pouca confiança. Mas tratam-se de sites conhecidos, como o Google, YouTube e Facebook. Com um pouco de investigação, foi descoberto um esquema de envenenamento de cache do DNS. E pode ser o maior de que se tem registro no país até agora.

Ao contratar um provedor de banda larga você recebe com a conexão os números de servidores DNS padrão do provedor. São eles que dizem para onde levar seu navegador quando você digita um site na barra de URLs. Mas durante o final do mês passado, certos servidores de DNS da Oi Velox e GVT foram envenenados e, junto das páginas que exibiam, passaram a requisitar que os usuários baixasses arquivos para acessar certos sites. No caso do Google, o arquivo era chamado Google_Setup.exe.

Como não é algo comum que sites requisitem o download de arquivos, usuários levaram suas suspeitas aos fóruns do Google, que acabou reunindo cada vez mais pessoas passando pelo mesmo problema. Os arquivos que eram disponibilizados, claro, eram maliciosos e continham rotinas para capturar dados daqueles usuários sem proteção de antivírus.

Segundo dados da Anatel, a GVT tem cerca de 1,4 milhões de assinantes e a Oi tem cerca de 6 milhões. Os envenenamentos duram poucas horas e afetaram apenas alguns servidores em certos estados, mas essas horas podem ser o suficiente para causar um grande estrago por causa desse número de assinantes.

Ainda não há nada muito concreto além disso. Existe a suspeita de que funcionários das empresas estejam envolvidos no envenenamento de DNS e que alguns técnicos podem ter usado a mesma senha em roteadores de clientes para acessar remotamente os dispositivos e instalar o redirecionamento de páginas conhecidas. Mas por enquanto trata-se apenas de alegações e especulações.

Não é a primeira vez que mexem com o DNS no Brasil

Em meados de 2008 vários provadores, entre eles Oi Velox, Brasil Telecom e a Telefônica, passaram a tomar uma atitude menos do que agradável quando usuários digitavam endereços de sites que não existiam na web. Ao invés de receber um aviso de erro comum em navegadores, eles eram redirecionados para uma página de busca com os termos da URL digitada, algo conhecido como DNS Hijacking. Tais páginas poderiam exibir anúncios ou ofertas da operadora, e esse era o principal motivador da prática: gerar uns caraminguás à mais a partir dos erros dos seus clientes.

Então essa não é a primeira vez que o DNS de provedores são usados de forma menos do que agradável aos usuários. Só que dessa vez, ao invés de ser algo sancionado pela operadora, o DNS poisoning é uma ação menos do que legítima e que pode acarretar em danos sérios para quem não tomar cuidado. E com isso, temos dois ótimos motivos para não usar o DNS padrão das operadoras de banda larga no Brasil.

Mude seu DNS antes que seja tarde

Como diria a célebre frase do filósofo Arnaldo Cezar Coelho, a regra é clara: se existem hackers atacando o DNS de provedores, a melhor atitude é mesmo se livrar deles o quanto antes para evitar quaisquer desventuras. Você pode muito bem navegar usando o DNS de outro serviço, como o OpenDNS e o Google DNS. E você não precisa ser necessariamente cliente da Oi Velox ou GVT para trocá-los – é melhor até usar servidores DNS alternativos antes de virar um alvo de bandidos.

A configuração não podia ser mais simples: veja aqui as instruções para o OpenDNS (que oferece um maior controle) e veja aqui as instruções para o Google DNS. Com qualquer um deles no lugar o risco de virar alvo cai bastante, embora ambos não sejam 100% a prova de falhas.

Também é uma boa atitude mudar as senhas do usuário administrador do roteador, mas como não há um guia único para isso, é mais fácil você procurar no manual ou pela internet como alterá-lo. E em caso de suspeita de modificação, resetar o roteador para as configurações originais pode resolver.

Com informações: Securelist, G1. Dica de Gabriel Rezende.

Atualização – 10/11/2011 às 20h34 | A Oi entrou em contato com o TB informando a  mensagem que reproduzimos abaixo.

“A Oi informa que não houve ataque ao seu servidor de Domain Name System (DNS). A companhia acrescenta que seu DNS segue as recomendações internacionais de segurança com relação ao tipo de ataque citado pelo post.”

  • http://twitter.com/trovalds @trovalds

    Já uso OpenDNS há tempos. Apesar da GVT não se usar de alguns “expedientes” dos concorrentes, os servidores da empresa pareciam que “arriavam” dependendo do horário que se navegava. Depois do OpenDNS, os problemas praticamente sumiram.

    • Guilherme Kuhn

      Realmente também notei isso. Em determinadas horas a navegação se tornava lenta com o DNS padrão da GVT, porém as taxas de Download e upload eram sempre boas. Quando o técnico veio instalar GVT la em casa, eu pedi a senha do Modem e o FD* me disse a senha errada, sendo que ele mesmo acessou o modem para configurar. Depois de uma rápida busca no google consegui a senha correta e ja troquei ela para uma senha pessoal. Isso é importante, pois é o principal modo que pessoas maliciosas usam para alterar os servidores DNS acessados pelo modem. Atualmente também estou usando os serviços do OpenDNS.

  • Anderson

    O problema de se usar opendns ou google dns em uma conexao da Oi por exemplo é que o tempo de resposta sobe muito pois o ping até estes servidores passa de 200 ou 300 ms, usando o dns local esse tempo cai para menos de 50ms. Deveriam existir outros servidores publicos no Brasil, o gigadns tem um ping bom mas ja tive problemas de nao resolver alguns endereços.

    • http://twitter.com/marcosliell @marcosliell

      Quanto a esse problema de velocidade, aqui da na mesma, utilizando o DNS da OI ou o do google a velocidade do ping sempre de 200ms. Vlws

    • Scott

      Não realidade esse não é um problema tão grande. Os sistema operacionais atuais já mantém um cache local de DNS. Levar 50ms ou 200ms pra resolver o DNS de um endereço pela primeira vez não é algo lá que vai fazer muita diferença assim.

  • Kowalski

    Mais uma vez, a Oi metida em problemas com os usuários…

    • http://www.biaevinni.blogspot.com Vinnicius

      Será novidade quando não o fizer…

    • vinnicius

      Sou cliente da Oi VeloX 3G e ainda não tive problemas. Parece sonho.

  • João Luiz

    Uso o do Google há um bom tempo e nunca mais tive esse tipo de problema, hehe.

  • Lucas

    8.8.8.8 e 8.8.4.4 é lei

    • vinnicius

      O que você diz sobre:

      208.67.222.222
      208.67.220.220

      ?

    • vinnicius

      O que você diz sobre:

      208.67.222.222
      208.67.220.220

      ?

      • vinnicius

        Ops… alguma coisa deu errado e o meu comentário foi clonado =O

      • Lucas

        foi o comentário primário e secundário (rááá)

        É bão tb, mas não gosto muito das mensagens de erro do OpenDNS. Vou no do google que é mais “limpo”

  • http://twitter.com/_eliasalberto @_eliasalberto

    Uso o opendns porque o servidor de dns de oi cabo da minha região passa 80% do tempo offline (sem nenhum exagero; já protocolei reclamações e não fizeram nada). A latência dele é muito maior do que com o servidor de dns da própria oi cabo, mas acabo não tendo muita opção.

  • http://www.joomlastudio.com.br Turdin

    Apesar de usar google DNS aqui, por algum motivo minha conexão foi direcionada para o DNS da OI e apareceu esse download.

    Achei bem estranho, e não baixei O.o

    • http://futilidadepublica.semjuizo.com Rafael Silva

      Será que você tá usando o DNS na conexão e no roteador tem outro? Confere aí.

      • http://www.joomlastudio.com.br Turdin

        Pelo que chequei não, mas talvez deu algum timeout no DNS da Google e ele direcionou para o da OI.

      • http://www.joomlastudio.com.br Turdin

        Até porque, só aconteceu isso uma vez, pelo que vi dos usuários com problema estava acontecendo o várias vezes de tempos em tempos.

  • http://Ladoamargo.tumblr.com Lucas Sá

    Até semana passada sites como baixaki, g1, letras.terra não abriam de maneira alguma, quando eu tentava acessar alguma dessas páginas eu era redirecionado para uma pagina só com propagandas, e a solução para resolver isso foi alterar o DNS, pois o meu estava no automático.

  • http://www.brunogdb.blogspot.com @brunogdb

    Ainda bem que eu uso Google DNS. :D

  • http://twitter.com/gmtandi @gmtandi

    “Ao contratar um provedor de banda larga você pela sua conexão os números de servidores DNS padrão do provedor.”

    ficou estranho isso dae :p

    • http://futilidadepublica.semjuizo.com Rafael Silva

      Opa, devidamente corrigido. Obrigado! o>

  • http://twitter.com/AntonioVeras @AntonioVeras

    Testando aqui o OpenDNS.
    Vamos ver o que o meu uTorrent diz sobre minhas ISOs de Ubuntu.

  • http://stephandesouza.com Stephan

    Por isso sempre recomendo: Alterar DNS no Gateway da rede, vulgo modens e/ou roteadores à depender da arquitetura que está!

    Usar DNS da prestadora de serviços nunca foi uma boa idéia, chega dá medo usar pois nunca sabe-se o dia de amanhã! Do dia pra noite passam a usar Customs Searchs do Yahoo, ou do Bing, e até filtragem de IPs para impedir acesso a alguns sites. O único problema é quando os alternativos, inclusive o Google e OpenDNS caem no gargalho que é o link da internet brasileiro e em alguns momentos não respondem com tanta capacidade que eles..

    O grande medo que tenho é dessas ofertas de “assine e ganhe o modem grátis” quando o ganhar não é ganhar, mas sim um termo que define que o cujo dito é da OPERADORA e não do cliente. Ahh mas mimimi o Código do Cliente diz que quando ganha, é do cliente e não de quem oferece, vá lá e entre na lista de protocolos do PROCON :D

    • http://twitter.com/Stephan @Stephan

      Stephan:”O grande medo que tenho é dessas ofertas de “assine e ganhe o modem grátis” quando o ganhar não é ganhar, mas sim um termo que define que o cujo dito é da OPERADORA e não do cliente. Ahh mas mimimi o Código do Cliente diz que quando ganha, é do cliente e não de quem oferece, vá lá e entre na lista de protocolos do PROCON”.
      Eu caí nesta de modem comodato (que diz ser da operadora) com o Terra, mas o provedor não me exigiu o modem ao cancelar os serviços. Pelo visto, estão cumprindo o código. Se algum provedor exigir de alguém, pelo visto, podem ir no PROCON que ganham

  • http://twitter.com/Ronyan_ @Ronyan_

    Tava demorando pra acontecer de novo…

  • http://flavors.me/micael Micael Silva

    Este comentário não tem nenhuma outra indicação de DNS (que ofereça maior controle)

  • http://mestredossites.com.br/2011/11/seo-7-erros-que-voce-nao-deve-cometer-em-seu-site/ Almy

    defence?

    Nunca vou entender por que os virus e emails de scam são sempre meio analfabetos huehuehue

  • http://twitter.com/AntonioVeras @AntonioVeras

    Agora me veio a dúvida. O que garante que isso não vá ocorrer também no OpenDNS e no Google?

    • http://futilidadepublica.semjuizo.com Rafael Silva

      Eu imagino que o Google e o OpenDNS têm redes melhor monitoradas e profissionais mais competentes do que os provedores de banda larga no Brasil.

    • Rafael

      Mas já observei falha utilizando OpenDNS com comportamentos inesperados… Particularmente porque ele tem funções de classificação e filtragem na web que, quando inadequados, trouxeram erros. Mas antes tais falhas, do que a perigosa brecha de envenenamento de cache, sem dúvidas.

  • http://twitter.com/igorofrante @igorofrante

    Ainda bem que uso o DNS do google

  • http://www.familiapjm.com.br Alex

    Aqui na empresa usamos Mac com Lion e Snow Leopard com conexão da Net e navegadores Safari e Firefox.

    Em ambos computadores foi solicitado o download de uma atualização do Flash Player, porém a origem eram IPs e domínios da China.

    Ou seja, o problema também está acontecendo com a NET e não foi informado nada para os usuários.

  • http://twitter.com/celularsimples @celularsimples

    Ainda bem que uso o OpenDNS a uns 2 anos!!!

  • http://twitter.com/oink @oink

    É só trocar a senha do roteador de DSL… Todo mundo fazendo alarde sendo que a culpa não é do provedor de internet e sim do hardware lixo que o povo compra vindo do paraguai/china.
    Quem usa roteador da d-link principalmente deveria olhar as configurações pois esta josta vem sempre com senha padrão e NENHUMA restrição de acesso externo… Faça um teste pra saber se vc esta ou nao protegido:
    Acesse http://www.meuip.com.br a onote o numero, digite no navegador em outra conexao (peça ajuda a um amigo) eveja se aparece a solicitacao de usuario e senha, se sim, seu modem esta acessivel pela web e sujeito aos problemas de dns informados. Troque sua senha e bloqueie o acesso WAN ao modem de fontes externas.
    Sou usuario da gvt a alguns anos e nunca tive nenhum dos problemas informados pois sempre mantive minha rede muito segura e sempre com os dns da operadora fixados no router

  • http://flaviowd.wordpress.com Flávio Araújo

    Eu usei em casa o Open DNS e no serviço usei o DNS do Google. Em ambas as conexoes o provedor e a NET. Aconteceu que toda vez que eu entrava num site nunca carregava na primeira vez. O jeito foi voltar a usar o DNS default da NET :(

  • http://twitter.com/michelblopes @michelblopes

    Eu usava o OpenDNS, mas por algum motivo quando eu tentava abrir o site da “Telecômica” (para abrir algum chamado de reparo para o Speedy, geralmente) a página não carregava. Depois que mudei para o Google voltei a acessar e abrir meus chamados. =D

  • Adriano

    To usando o OpenDNS agora !!!

  • http://gabrielfernandes.com/blog/ Gabriel Fernandes

    E quem usa Linux, como vai instalar este virus DNS .exe ?

    Me senti excluido.. rsrsrs

    • http://twitter.com/michelblopes @michelblopes

      Instala o Wine, pô!

      • http://sinapseslivres.com.br Guilherme Macedo C.

        o vírus não tem credenciais pra rodar na raiz :P

    • http://www.biaevinni.blogspot.com Vinnicius

      Pelo que eu lembro quando eu tinha o Ubuntu e usei o Open DNS, era só alterar as configurações da rede, adicionando os servidores DNS. Até no Próprio windows é assim, eu acho.

    • Augusto

      Você não tá excluído… Tá usando Windows!

    • Marcelo Maia

      Mais esses virus não sao para windows ou são multiplataforma?

  • http://gabrielfernandes.com/blog/ Gabriel Fernandes

    For the nerds

    Our nameservers are always:
    208.67.222.222
    208.67.220.220

  • http://mw1.in João Paulo Polles

    Eu vi, Acho que vou mudar esse dns la de casa, mesmo usando o da tim…

  • vinnicius

    Eu sempre usei o OpenDNS por ser mais rápido e mais seguro. As vezes o DNS da Oi dava umas engasgadas e não resolvia os endereços de maneira alguma, quando troquei para o OpenDNS os sites carregam mais rapidamente.

    Nunca usei o Google Public DNS, mas se for escolher entre o DNS da Operadora ou o OpenDNS, não preciso nem responder, é lógico que é o OpenDNS!

    208.67.222.222
    208.67.220.220

    SEMPRE!

  • Thiago Silva

    E no caso da Claro 3G que mesmo você alterando o DNS ele volta para o padrão da Claro.

    Mas o que eu utilizo sempre em casa e nos clientes é do Google:

    8.8.8.8
    8.8.4.4

    Já utilizei o OpenDNS muito bom bom também.

  • http://www.matsubainfo.com MaTSuBa

    Ta certo, vou fazer isso em casa!

  • Rubens

    “RISCO SÉRIO”?… Ha-ha-ha-ha-ha… Fala sério, né?… É interessante saber da noticia, mas esses “ataques” são tão primários e bobos, representa “perigo” só para noob (newbie) mesmo…

    Quem, com um mínimo de noção que seja, vai obedecer aos avisos e “baixar um arquivo executável durante a navegação”? O inconveniente é apenas a aporrinhação pelos pop-ups, mas nada que afete a segurança de ninguém minimamente sensato.

    • http://twitter.com/RudaAlmeida @RudaAlmeida

      “minimamente sensato”, aí que tá, você acaba de excluir 90% dos usuários de internet no Brasil.

  • http://www.starcraft2brasil.com KveRa

    OpenDNS.

  • Rodrigo

    OpenDNS e Google DNS uniram o BD já tem um tempo, confirma ?

  • Pedro

    Boa tarde pessoal. Estou tendo este problema no meu tablet (Samsung Galaxy Tab 10.1 – Honeycomb 3.1).

    Em função do DNS esta louco, alguns sites que tento entrar da erro e em outros casos sou direcionado para SITES contendo SPAM. O problema acontece quando estou conectado pela Wifi na minha residência (Turbo GVT 15mb)

    O que devo fazer para resolver o problema? Já excluir CACHE, COOKIES, ARQUIVOS TEMP de todos os BROWSERS..

    Preciso alterar alguma coisa no ROTEADOR WIFI ? Preciso ser ROOT no Galaxy Tab para executar essa mudança no DNS?

    No meu Notebook consegui configurar pra forçar ele a procurar DNS correto. Porém no tablet estou completamenrte perdido. O que eu faço ??

    Agradeço desde já quem puder me auxiliar com TUTORIAL, etc.

    (Obs: Sou usuário inicante no Android)

    Pedro.

    • http://twitter.com/MasterWebInter Yangm

      Mexe no roteador e nas configurações de rede do Android. Não precisa ser root.

  • http://twitter.com/rodbzro @rodbzro

    Esses problemas de DNS cache poisoning serão resolvidos quando todos os browsers adotarem validação por DNSSEC. Mas como a maioria dos servidores DNS no mundo ainda não foram atualizados para utilizar DNSSEC também, seria bem desagradável a pessoa ver um aviso de falha de segurança em quase todos os sites que acessa.

    http://www.dnssec.net/

  • Flávio Vinicius

    E essa notinha da OI aí?

  • Elder

    Cara, informação totalmente equivocada … pelo menos quanto a GVT. O DNS da GVT não poderia ter sido envenenado, por ser da Nominum, simplesmente o mais seguro que existe.

    Verificando alguns sites sobre o problema foi fácil verificar que o problema ocorreu não com o DNS, mas com as CPEs dos usuários, principalmente os modelos da D-Link e Huawei. Eles aparentemente possuem uma falha onde a porta 80 fica aberta no lado WAN, mesmo que na interface esteja marcado como “fechado”. Como os usuários e senhas padrão de acesso aos modems normalmente não são alterados, bastou um SQL injection pelo lado WAN, alterando o servidor DNS configurado no modem, para um outro qualquer que estivesse envenenado.

    Quer solução? Troque o DNS no modem e a senha do administrador do modem.

    Ah, mas podem haver outras falhas … coincidência ou não os modelos que apresentam mais problemas são os com chipset Broadcom … provável falha então no chipset ou no Kernel do sistema operacional.

    melhor ainda seria trocar o modem por outro de uma marca mais confiável, como Intelbras (pode parecer brincadeira, mas são os melhores que já testei), Linksys, TP-Link.

    Fui …

  • Jaiminho

    Estou usando o DNS fornecido pela Norton, existem 3 tipos de filtro por la, sendo:
    1 – Bloqueio de sites com conteúdo malicioso;

    2 – Bloqueio de sites com conteúdo malicioso + pornografia:

    3 – Bloqueio de sites com conteúdo malicioso + pornografia + conteúdo que remeta violência.

    É uma ótima opção se tratando de uma empresa tão recomendada em segurança virtual, alterei as opções no modem mesmo, assim tenho segurança para toda a minha rede.

    https://dns.norton.com/dnsweb/homePage.do

  • qgustavor

    Não se esqueçam que a Oi fornece um modem com firmware modificado que não pode ser atualizado para que o usuário não desative o compartilhamento de internet via Fon.
    Tenho ele, sei como é: uma modificação simples que meramente coloca o sistema de compartilhamento, que já vinha no firmware original, ativado como padrão, oculta as opções que o desativam e por prevenção ainda reativa caso o usuário tente desativar ( mas ainda é possível colocar senha e trocar o nome da rede compartilhada, inviabilizando-a ).
    Como vi que é uma modificação simples aposto que seja fácil para um vírus entrar na configuração dele e alterar o DNS, disseminando-se em toda a rede.
    Aliás, eu uso o DNS da Google: não gosto de OpenDNS pela propaganda, nem o DNS dos provedores de internet pelo mesmo motivo.

Tecnocast

|

Faça seu login no Tecnoblog

Crie a sua conta

Esqueci minha senha