Início » Segurança » Você já viu se o DNS do seu roteador está certo hoje?

Você já viu se o DNS do seu roteador está certo hoje?

Scripts maliciosos em sites estão mudando os servidores de DNS de modems e roteadores sem que ninguém perceba

Por
11/10/2017 às 16h00
Já conhece a nova extensão do Tecnoblog? Baixe Agora

Escolher bons servidores de DNS é importante não apenas para deixar sua navegação mais rápida, mas também mais segura. Eles traduzem um endereço (tecnoblog.net) em IP (104.25.134.33). Se você estiver utilizando um servidor não confiável, pode acabar digitando uma senha ou mesmo dados bancários em uma página falsa. E scripts maliciosos escondidos em sites estão alterando o DNS de roteadores sem autorização.

Roteador Wi-Fi (Por Pixabay)

Eles funcionam assim: você acessa um site legítimo, começa a ler o conteúdo e, silenciosamente, seu navegador faz inúmeras requisições maliciosas para a página de administração do seu modem (como http://192.168.1.1). Se o usuário manteve a senha padrão da operadora (“admin”, “12345”, “root” e afins), como é muito comum, o script pode alterar os servidores de DNS sem que ninguém desconfie de nada.

Isso de fato aconteceu. Até a manhã desta quarta-feira (11), um site brasileiro de fofocas estava executando um script malicioso que tentava mudar as configurações do modem para dois servidores de DNS no Canadá. O Tecnoblog apurou que o script já foi removido da página, mas ficou no ar por pelo menos 20 horas. Entramos em contato com o veículo para solicitar um posicionamento, mas não obtivemos resposta.

Em análise feita a pedido do Tecnoblog, o pesquisador de segurança da Kaspersky, Fabio Assolini, nota que o script tem quatro passos: “Em cada um deles, o script vai tentar logar no roteador, usando credenciais conhecidas ou padrão, e assim mudando os servidores de DNS. Não se trata do primeiro [ataque], já ocorreram outras vezes”.

Um servidor de DNS malicioso pode servir para inúmeros fins, como gerar lucro para o criminoso com a exibição de anúncios de sistemas de afiliados, ou mesmo direcionar vítimas para sites falsos (de bancos, por exemplo) para roubar informações, caso do script em questão, segundo Assolini. Um sistema de estatísticas mostrou que, em horários de pico, a audiência do código malicioso ultrapassou 900 usuários simultâneos.

O grande problema é que, se você estiver com um servidor de DNS malicioso, todos os dispositivos conectados ao seu roteador podem estar vulneráveis, incluindo smartphones, tablets e notebooks. Além disso, como o ataque é direcionado à página de administração do roteador, não importa muito o sistema operacional ou navegador que você usa.

“Para não ser vítima do ataque, é importante não usar as senhas padrão dos roteadores e, sempre que possível, manter o firmware atualizado, já que o script, além da força bruta, tenta explorar falhas CSRF [Falsificação de solicitação entre sites] no painel do dispositivo para entrar e mudar o DNS”, recomenda Assolini.

Então já sabe: se eu fosse você, daria uma olhada agora mesmo na página de administração do meu roteador para ver se as configurações de DNS estão corretas.

Leia mais: Qual o melhor DNS do Brasil? Veja como testar

Mais sobre: , ,
  • palatoqueimado

    Um procedimento extra de segurança que pode ser adotado é forçar a configuração manual dos servidores de DNS do aparelho. Assim você tem controle de qual servidor deverá resolver os endereços, independentemente da rede acessada. Previne ataques MiTM, DNS hijacking, etc..

    • o problema disso é que algumas redes publicas/corporativas bloqueiam DNS externos (minha universidade faz isso), dai tem que ficar trocando toda hora

      • Eduardo Freitas

        Ué, veste uma camisa do che guevara e tenta fuzilar todo mundo tse tse “fazer uma revolução”

    • LessTech

      O problema: se há uma galera que não se preocupa nem em alterar a senha do roteador, você realmente acha que eles vão se dar ao trabalho de fazer algum passo adicional?

    • Ligeiro

      Já peguei muito roteador NET Virtua que não deixa isso ser feito. Vivo, parece que só os Fibra tem problemas para configurar o DNS.

      Depende muito da operadora, se ela permite fazer a troca de DNS. Operadoras menores muitas vezes nem permitem também. :

  • Alberto Prado

    Eu já mando a letra. É o site o Fuxico. Direto ele fica mandando essa solicitação de acesso a página do router. E isso não tem só 20 horas não. Já tem umas 2 semanas pelo que eu sei que está assim.

    • Ego não existe mais.

      • Alberto Prado

        Aguenta aí que vou dá uma olhada.

      • Alberto Prado

        É o fuxico. Corrigido.

        • Victor Hugo

          Ofuxico é do Terra? Certeza que é o Terra pelas cores que eles usam

          • Alberto Prado

            Eles pertencem ao terra sim.

    • Felipe Rodrigues

      Tá com cara de ser o Terra

  • vin

    Meu roteador Intelbras é tão bom que ele não “sabe” que já foi configurado. Então, mesmo com senha, ao digitar o endereço IP dele aparece o assistente de configuração ensinando a ligar o cabo de rede e um botão “Configurações avançadas”. É só clicar e todas as configurações do roteador estão expostas. Eita, preocupação com segurança!

  • Victor Brito

    O CORS não bloqueia essas requisições pra um domínio diferente? Ou os roteadores que estão vulneráveis a esse tipo de ataque repondem “Access-Control-Allow-Origin: *” nas requisições?

    • PPKX XD ✓ᵛᵉʳᶦᶠᶦᵉᵈ

      Se o script cria uma conexão entre o seu navegador e o roteador, não deve haver problema, já que quem deveria checar o acesso é o servidor que você está, certo? E duvido que um servidor deste tipo de site cheque se está carregando dados de outras origens, o roteador é o novo destino, ele não sabe o que aconteceu antes de chegar nele…

      Edit: além disso, se acontecer via script depois que a página já está carregada, é tudo acesso local, e quem poderia bloquear seria o navegador, o script já está carregado e é considerado como uma execução local na sua máquina, nada mais é checado no servidor de origem do script ou da página.

      • Victor Brito

        Não. Toda requisição feita por Javascript a partir de uma origem X para um destino Y é verificada pelo navegador que, precedendo a solicitação, envia uma requisição ao servidor Y para saber se ele permite requisições de X. Se isso não estiver configurado, o normal é que o navegador bloqueie a requisição. Não importa se a página estiver carregada, essa verificação sempre será feita a menos que o usuário tenha desabilitado manualmente (e pra fazer isso no Chrome precisa até definir um caminho de outro perfil que vai rodar sem CORS!) ou utilizando uma extensão para desabilitar o CORS.

        Isso só não seria verificado se a requisição fosse feita pelo próprio usuário, no console.

        • PPKX XD ✓ᵛᵉʳᶦᶠᶦᵉᵈ

          Eu uso a extensão do CORS por causa de desenvolvimento de app debugando no chrome com servidor local, o Chrome insistem em enviar um OPTIONS pro servidor de pagamento que bloqueia tudo, se eu desabilito a verificação de CORS passa numa boa, rodando no celular não tenho esse problema.
          Provavelmente como esses sites devem usar dados de tudo que é lugar, estão com tudo liberado.

          • Victor Brito

            Mas não é o site/origem que deve bloquear isso ou não. É o servidor destino, que no caso seria o roteador.

  • Jefferson Rodrigues

    Uma vez, o Wi-Fi da minha casa não tava acessando vários sites. Só se usasse uma VPN. Isso aconteceu com todos os smartphones da minha casa. Então eu mudei esse tal de DNS, do smartphone, e eu passei a acessar os sites normalmente. Alguém sabe o motivo disso acontecer??

    • Ligeiro

      Uma aula simples e rápida:

      O DNS é o “Sistema de Nomes de Domínio”, em inglês “Domain Name System”.

      Como todos os computadores em uma rede tipo “web” usam o chamado “Internet Protocol” – IP, o mesmo é endereçado cada computador com um número. O exemplo comum é o famoso 192.168.0.1, que é atribuido comumente ao roteador.

      O sistema DNS converte o 192.168.0.1 em roteador.local (se bem que esta parte da aula eu faltei, então não sei como seria em uma rede local o nome do roteador :p ). Ou no caso, o 104.25.135.33 em tecnoblog.net . Assim, você não precisa decorar números para entrar em um site.

      Para saber qual servidor é o certo, são atribuídos os servidores DNS, geralmente associados aos grupos de manutenção da internet, empresas de distribuição e operação e empresas de telecomunicações. Por exemplo, o DNS comum antigo da Telefônica/Vivo SP é 200.204.0.10. E o do Google é 8.8.8.8

      Geralmente você pode padronizar os DNSs nos roteadores residenciais, bastando ir na área WAN e adcionar os DNS. Aí você não precisa colocar os DNSs em cada equipamento em sua rede. 🙂 Só não esqueça de trocar a senha do seu roteador 😉

    • Ligeiro

      Notei que não respondi sua pergunta. Só que o detalhe é que parte da resposta está no outro comentário.

      Se você usa um roteador que está ou com o DNS desconfigurado ou com suspeita de hack, provavelmente terá problemas.

      Exemplo: um roteador com hack demora muito mais para responder ou apenas poucos sites funcionam (inclusive os que onde é possível capturar dados). Um roteador sem DNS nota-se pelo fato que nenhum site é acessível.

      Pesquise sobre como configurar DNSs que te explica melhor 🙂

  • PPKX XD ✓ᵛᵉʳᶦᶠᶦᵉᵈ

    A porcaria do roteador da Vivo Fibra não deixa alterar o DNS, altero na minha máquina local pra não usar o do roteador… em casa tenho um roteador decente e configuro pra opendns e google.

    • Péssimo mesmo é a VIVO obrigar a gente a utilizar o roteador próprio deles, pois apenas ele autentica via PPPoE.

      • Marcos

        Pois é. Estou tretando com a vivo neste exato momento, pq o roteador de merda deles corta a conexão com a internet toda vez que a TV é desligada. Temos que reiniciar o modem toda vez que isso acontece.

    • Ligeiro

      Já procurou tutoriais na internet? Tenho lido relatos que é possível alterar um roteador Vivo Fibra para “modo bridge” ou liberar portas (e aí deixar tudo na mão do roteador próprio).

      • PPKX XD ✓ᵛᵉʳᶦᶠᶦᵉᵈ

        É num escritório compartilhado, não posso ficar mexendo muito, sei que tem vários modelos de roteadores de várias marcas, já passaram uns 5 diferentes por aqui, alguns permitem, outros não tem o campo ou é bloqueado. Sem contar os casos que depois de alguns meses a Vivo manda um “update” da configuração do seu roteador e muda tudo que vc colocou… mata NATs e etc

        • Ligeiro

          Talvez se conversar tanto com a empresa quanto com a telefônica, é possível pedir que dê mais liberdade para você fazer as manutenções. Boa sorte.

  • Anderson Santos

    Hoje recebi o seguinte SMS do BB após acessar o internet banking do mesmo: BB identificada violação no seu modem. contate seu provedor de internet e logo após altere as senhas em um TAA ou agencia.

    Eu não acessei esse site acima, mas será que há relação?

    Pior é que não tenho as senhas pra acessar o modem da AmericaNet.

    • você pode descobrir digitando no cmd ou powershell “nslookup tecnoblog.net” e vendo o que aparece no DNS

    • Reinaldo Ramirez

      já recebi este e-mail Tb é falso não entre observe que qd passa o prompt sobre o arquivo dentro do e-mail em baixo o nome do link que aparece não é do Banco do Brasil mas sim um Código direcionando para outro local

      • RABUGENTO SFQNS

        Não foi e-mail! Você entendeu errado a postagem do Anderson.
        Foi SMS e consta dos sistemas dos bancos.

    • RABUGENTO SFQNS

      Aconteceu nada menos que 4 vezes comigo em menos de 10 dias. Chamam de “envenenamento de DNS”.
      Pedi à NET para trocar meu modem e coloquei uma senha absurda no meu wi fi

  • Theo Queiroz

    “Sorte” a minha que o roteador padrão porco da NET não deixa mudar o DNS. Pelo menos dessa vez seviu pra alguma coisa esse bloqueio.

    • Tom

      Meu mudei o DNS no meu modem da Net.

      • Ligeiro

        Alguns mais antigos permitem. Os mais novos dependem. Alguns roteadores Net Virtua tem um duplo SSID por causa do “WiFi promocional” que permite. Aí é difícil de mexer. :

  • Afrânio Moreira Jorge

    Liguei para o meu gerente do banco , e perguntei porque o meu acesso ao bankline tinha sido bloqueado . E ele me respondeu que o banco identificou alguma alteração no DNS do meu modem.
    Agora sei que é verdade.

  • Mario Junior ✓ᵛᵉʳᶦᶠᶦᵉᵈ

    Tudo ok aqui.

    LEDE + Adblock direto no roteador + DNS personalizado.

  • Pimentel Jj

    Eu já dificulto a vida do ladrão virtual, a primeira que coisa que faço quando compro um roteador novo é mudar a senha de acesso padrão, essa de “Admin admin” tá tão manjada que até os scripts já contam essa senha como “favas contadas”.

  • Cristiano Hahn

    Por isso uso DD-WRT, não confio em firmwares exploitaveis!

  • Cássio Amaral

    Ainda bem que eu venci a preguiça e recentemente mudei a senha do meu modem da Vivo. Aliás, faltou a senha padrão dos modens da GVT/Vivo, “gvt12345” kkkkk.

    • Tom

      Pelo menos a vivo tem senha personalizada, melhor que a senha padrão da net o clássico “admin”.

      • Cássio Amaral

        Verdade, já ajuda.

      • NET já mudou isso há séculos, todos os modens vem com uma configuração diferente (geralmente “NET_”) e senha Mac Address.

  • Leandro Dogue

    Eu já presenciei esse problema já faz uns 6 meses porém não lembro qual site eu acessei que estava assim. Apenas notei a caixa de requisição ao roteador inúmeras vezes.

    E o sintoma que meu roteador sofreu esta “invasão” foi justamente que ele ficou perdido com a configuração DNS. A senha utilizada era a padrão da GVT na época porém mesmo inculindo um DNS diferente ele não aceitava a configuração. Acredito eu, que o tal exploit acabou danificando alguma configuração no modem relacionado a esta configuração.

    Recomendo que não acessem as configurações do roteador pois o reset pelo browse não funcionou no meu caso, acabei precisando dar um reset pelo botão no próprio aparelho.

    A partir disso, criei senhas fortes no roteador e não somente para a rede Wireless além de utilizar um serviço DNS diferente da operadora (como Google e OpenDNS pois o padrão da Vivo é um saco).

    • brunocabral

      Sites de animes com script que tenta acessar o modem são relativamente comum.

      • Diego F. Duarte

        Anitube manda abs

  • Gabriel B.R.

    Não achei nada sobre DNS no Power Box da Vivo. Se eu não consigo, o malware não consegue… Ou consegue? 🤔

  • Wesley

    Isso acontece há um tempão no site o fuxico. E mesmo com as senhas do meu modem sendo diferente do padrão eles conseguiam mudar. Eu simplesmente bloqueei esse site aqui na minha casa, imagina quantas pessoas infectadas não tem por aí…

  • Joao Naves

    Quem usa roteador vivo não tem problemas pois a senha está na etiqueta do roteador, não é senha padrão 12345 ou outras.

    • Whebert Souza

      Hum rum, acho muito bom isso, mas é bom anotar em algum lugar pois se por um acaso vc perder a etiqueta e não tiver a senha anotada, f#d3#

    • Ligeiro

      Tem um problema, mas não sei se é bom falar (vou deixar para outro dar a letra): a senha de roteadores padrão da Vivo (ao menos alguns entre 4 a 2 anos atrás) é fácil em certo aspecto.

      • Joao Naves

        A senha é composta do número MAC da etiqueta, não tem como alguém saber se não ver, a não ser que você navegue usando a rede da pessoa e ela veja seu endereço MAC para depois te dar o golpe.

  • Jacques

    Não é novo esse script, já tinha visto ele faz alguns anos no gizmodo, sendo distribuído pelo adsense da google…

  • Muito estranho. O roteador aceitar a mudança de DNS por um GET é bizarro de mais. Um bug forte do roteador isso. Outra coisa estranha, o navegador deveria impedir o request com erro de Cross Domain (afinal o dominio do roteador é diferente do dominio do site de fofocas).

    • Lucas

      Não sei se é o caso, mas acontece que pode ser por POST também. Se o método é POST, basta falsificar o formulário “da mudança” de DNS e reenvia-lo contando com a ausência da validação de autenticidade do lado servidor (no caso o roteador rs)

      • Eu sei que pode falsificar o POST do form (ai o router teria que ter uma proteção contra CSRF) mas no print o js está fazendo GETs.

  • Isso não é de hoje. Faz mais de un ano que esse código de alterar o DNS está ativo. Quando detectei isso, o código estava em anúncios do Ad Words. O anúncio tinha vários iframes com os parâmetros de autenticação passados pelo URL, tipo http://usuario:[email protected]/dns/?ip=0.0.0.0

  • Eduardo

    Eu uso o OpenDNS
    De longe o mais seguro!
    Vou colocar aqui para quem quiser mudar seu servidor de DNS para OpenDNS
    Primário: 208.67.222.222
    Secundário: 208.67.220.220

  • Marcus Araújo

    Uso o LEDE, baseado no OpenWrt, que possui um aviso marcante para criar uma senha, inclusive a versão 17.01.3 saiu esses dias. Recomendo por questão de segurança e de desempenho. Roteadores são equipamentos essenciais para nossas redes, mas também é o equipamento que menos vejo ter atenção quanto à segurança por parte das empresas, que não fornecem atualizações de firmware, e dos usuários. Até o pessoal mais ligado em tecnologia possui o péssimo hábito de só seguir o guia padrão de instalação e deixar pra lá depois, não atualizam sequer o firmware quando há uma atualização e aqui já percebemos o estrago.

    Felizmente não fui afetado pela falha, como também não fui afetado em casos recentes de envenenamento de DNS. Acho que no passado o Tecnoblog abordou as “distros de roteadores” como as firmwares alternativas do OpenWrt e o DD-Wrt, acho que seria bacana dar esta atenção novamente. Bons serviços de DNS, como o brasileiro GigaDNS e o OpenDNS da Cisco, também são importantes. Certa vez, os serviços de DNS da minha operadora falharam e todo mundo dizia que a rede não funcionava na cidade, mas bastava alterar o DNS e tudo voltava ao normal. DNS de operadora brasileira infelizmente não é confiável, não só por questão de disponibilidade, como também por segurança (geralmente são os serviços de DNS afetados em casos de envenenamento).

  • Isaias Freitas

    Esses dias tava navegando em um site, e ai começou a pedir minha senha do modem. Notei também que ele ficava conectando nos IPS mais comuns. 10.1, 10.0, 1.1, 0.1.

  • LeeEdwards2 Reverso

    Imagina o pessoal que tem Oi Velox (eu) que o login e senha é admin, o mais básico possível. Pelo menos sou um dos poucos que mudaram a senha do modem.

  • Capitão Guapo

    Muito bizarro isso. O problema que o tipo de gente que deixa a senha do roteador com admin 12345 não costuma ler esse tipo de matéria.

  • Isaias Freitas
  • Guto Revoredo

    Invade meu Mikrotik!

  • Tiago Celestino

    O que o site O Fuxico falou sobre esse caso?

  • Humberto Machado

    na minha humilde residencia, meu modem da net anda com o wifi desativado, openDNS , dai conecto na porta wan do meu Xiaomi Mi router 3… os visitantes recebem uma senha temporária e as maquinas “de casa” tem autenticação via MAC
    Como minha sogra já é mais velha e usa muito TV aberta, perfil ideal pra qualquer site de aleatoriedade, seria um prato cheio pra esse tipo de invasão