Na semana passada usuários de dois provedores brasileiros de banda larga, a GVT e a Oi Velox, passaram a receber avisos para baixar arquivos executáveis durante a navegação. Não seria algo incomum se os sites que eles estivessem navegando fossem realmente maliciosos ou de pouca confiança. Mas tratam-se de sites conhecidos, como o Google, YouTube e Facebook. Com um pouco de investigação, foi descoberto um esquema de envenenamento de cache do DNS. E pode ser o maior de que se tem registro no país até agora.

Ao contratar um provedor de banda larga você recebe com a conexão os números de servidores DNS padrão do provedor. São eles que dizem para onde levar seu navegador quando você digita um site na barra de URLs. Mas durante o final do mês passado, certos servidores de DNS da Oi Velox e GVT foram envenenados e, junto das páginas que exibiam, passaram a requisitar que os usuários baixasses arquivos para acessar certos sites. No caso do Google, o arquivo era chamado Google_Setup.exe.

Como não é algo comum que sites requisitem o download de arquivos, usuários levaram suas suspeitas aos fóruns do Google, que acabou reunindo cada vez mais pessoas passando pelo mesmo problema. Os arquivos que eram disponibilizados, claro, eram maliciosos e continham rotinas para capturar dados daqueles usuários sem proteção de antivírus.

Segundo dados da Anatel, a GVT tem cerca de 1,4 milhões de assinantes e a Oi tem cerca de 6 milhões. Os envenenamentos duram poucas horas e afetaram apenas alguns servidores em certos estados, mas essas horas podem ser o suficiente para causar um grande estrago por causa desse número de assinantes.

Ainda não há nada muito concreto além disso. Existe a suspeita de que funcionários das empresas estejam envolvidos no envenenamento de DNS e que alguns técnicos podem ter usado a mesma senha em roteadores de clientes para acessar remotamente os dispositivos e instalar o redirecionamento de páginas conhecidas. Mas por enquanto trata-se apenas de alegações e especulações.

Não é a primeira vez que mexem com o DNS no Brasil

Em meados de 2008 vários provadores, entre eles Oi Velox, Brasil Telecom e a Telefônica, passaram a tomar uma atitude menos do que agradável quando usuários digitavam endereços de sites que não existiam na web. Ao invés de receber um aviso de erro comum em navegadores, eles eram redirecionados para uma página de busca com os termos da URL digitada, algo conhecido como DNS Hijacking. Tais páginas poderiam exibir anúncios ou ofertas da operadora, e esse era o principal motivador da prática: gerar uns caraminguás à mais a partir dos erros dos seus clientes.

Então essa não é a primeira vez que o DNS de provedores são usados de forma menos do que agradável aos usuários. Só que dessa vez, ao invés de ser algo sancionado pela operadora, o DNS poisoning é uma ação menos do que legítima e que pode acarretar em danos sérios para quem não tomar cuidado. E com isso, temos dois ótimos motivos para não usar o DNS padrão das operadoras de banda larga no Brasil.

Mude seu DNS antes que seja tarde

Como diria a célebre frase do filósofo Arnaldo Cezar Coelho, a regra é clara: se existem hackers atacando o DNS de provedores, a melhor atitude é mesmo se livrar deles o quanto antes para evitar quaisquer desventuras. Você pode muito bem navegar usando o DNS de outro serviço, como o OpenDNS e o Google DNS. E você não precisa ser necessariamente cliente da Oi Velox ou GVT para trocá-los – é melhor até usar servidores DNS alternativos antes de virar um alvo de bandidos.

A configuração não podia ser mais simples: veja aqui as instruções para o OpenDNS (que oferece um maior controle) e veja aqui as instruções para o Google DNS. Com qualquer um deles no lugar o risco de virar alvo cai bastante, embora ambos não sejam 100% a prova de falhas.

Também é uma boa atitude mudar as senhas do usuário administrador do roteador, mas como não há um guia único para isso, é mais fácil você procurar no manual ou pela internet como alterá-lo. E em caso de suspeita de modificação, resetar o roteador para as configurações originais pode resolver.

Com informações: Securelist, G1. Dica de Gabriel Rezende.

Atualização – 10/11/2011 às 20h34 | A Oi entrou em contato com o TB informando a mensagem que reproduzimos abaixo.

“A Oi informa que não houve ataque ao seu servidor de Domain Name System (DNS). A companhia acrescenta que seu DNS segue as recomendações internacionais de segurança com relação ao tipo de ataque citado pelo post.”

Comentários

Envie uma pergunta

Os mais notáveis

Comentários com a maior pontuação

Maicon A. Steffens
Sim existe disponível na internet o firmware original do roteador para download, você pode baixa-lo e atualizar o seu firmware. funciona bem e permite que você configure o que quiser, sem contar é claro que você deixa de servir de ESCRAVO DA OI. (Quanto a OI te paga pra usar a estrutura física da tua casa e sua energia elétrica pra prover acesso a outros usuários?
Samara Diamond

Em minha casa, devido à falta de opções, utilizo um serviço de conexão à internet terceirizado (foxnet é o nome da infame empresa aqui de Alagoinhas). Vivo com problemas com DNS constantemente aqui e já tentei inclusive utilizar o opendns e o dns da google, sem sucesso. A empresa que presta o serviço de internet não disponibiliza modem ou roteador, apenas o cabo que vai direto no pc, o que limita e muito a possibilidade de configurações. Alguém poderia me ajudar com esse problema? Todos os sites que tento entrar, dão erro, não consigo entrar em absolutamente nada. Nem posso cancelar o contrato com a prestadora e tentar outra, porque as centrais aqui de meu bairro estão todas lotadas...

Entediado Daniel
morteastalman.com.br foi dureza, heim...
qgustavor
Não se esqueçam que a Oi fornece um modem com firmware modificado que não pode ser atualizado para que o usuário não desative o compartilhamento de internet via Fon. Tenho ele, sei como é: uma modificação simples que meramente coloca o sistema de compartilhamento, que já vinha no firmware original, ativado como padrão, oculta as opções que o desativam e por prevenção ainda reativa caso o usuário tente desativar ( mas ainda é possível colocar senha e trocar o nome da rede compartilhada, inviabilizando-a ). Como vi que é uma modificação simples aposto que seja fácil para um vírus entrar na configuração dele e alterar o DNS, disseminando-se em toda a rede. Aliás, eu uso o DNS da Google: não gosto de OpenDNS pela propaganda, nem o DNS dos provedores de internet pelo mesmo motivo.
Jaiminho
Estou usando o DNS fornecido pela Norton, existem 3 tipos de filtro por la, sendo: 1 - Bloqueio de sites com conteúdo malicioso; 2 - Bloqueio de sites com conteúdo malicioso + pornografia: 3 - Bloqueio de sites com conteúdo malicioso + pornografia + conteúdo que remeta violência. É uma ótima opção se tratando de uma empresa tão recomendada em segurança virtual, alterei as opções no modem mesmo, assim tenho segurança para toda a minha rede. https://dns.norton.com/dnsweb/homePage.do
Elder
Cara, informação totalmente equivocada … pelo menos quanto a GVT. O DNS da GVT não poderia ter sido envenenado, por ser da Nominum, simplesmente o mais seguro que existe. Verificando alguns sites sobre o problema foi fácil verificar que o problema ocorreu não com o DNS, mas com as CPEs dos usuários, principalmente os modelos da D-Link e Huawei. Eles aparentemente possuem uma falha onde a porta 80 fica aberta no lado WAN, mesmo que na interface esteja marcado como “fechado”. Como os usuários e senhas padrão de acesso aos modems normalmente não são alterados, bastou um SQL injection pelo lado WAN, alterando o servidor DNS configurado no modem, para um outro qualquer que estivesse envenenado. Quer solução? Troque o DNS no modem e a senha do administrador do modem. Ah, mas podem haver outras falhas … coincidência ou não os modelos que apresentam mais problemas são os com chipset Broadcom … provável falha então no chipset ou no Kernel do sistema operacional. melhor ainda seria trocar o modem por outro de uma marca mais confiável, como Intelbras (pode parecer brincadeira, mas são os melhores que já testei), Linksys, TP-Link. Fui …
@RudaAlmeida
"minimamente sensato", aí que tá, você acaba de excluir 90% dos usuários de internet no Brasil.
Yangm
Mexe no roteador e nas configurações de rede do Android. Não precisa ser root.
Flávio Vinicius
E essa notinha da OI aí?
@rodbzro
Esses problemas de DNS cache poisoning serão resolvidos quando todos os browsers adotarem validação por DNSSEC. Mas como a maioria dos servidores DNS no mundo ainda não foram atualizados para utilizar DNSSEC também, seria bem desagradável a pessoa ver um aviso de falha de segurança em quase todos os sites que acessa. http://www.dnssec.net/
Guilherme Macedo C.
o vírus não tem credenciais pra rodar na raiz :P
Pedro
Boa tarde pessoal. Estou tendo este problema no meu tablet (Samsung Galaxy Tab 10.1 - Honeycomb 3.1). Em função do DNS esta louco, alguns sites que tento entrar da erro e em outros casos sou direcionado para SITES contendo SPAM. O problema acontece quando estou conectado pela Wifi na minha residência (Turbo GVT 15mb) O que devo fazer para resolver o problema? Já excluir CACHE, COOKIES, ARQUIVOS TEMP de todos os BROWSERS.. Preciso alterar alguma coisa no ROTEADOR WIFI ? Preciso ser ROOT no Galaxy Tab para executar essa mudança no DNS? No meu Notebook consegui configurar pra forçar ele a procurar DNS correto. Porém no tablet estou completamenrte perdido. O que eu faço ?? Agradeço desde já quem puder me auxiliar com TUTORIAL, etc. (Obs: Sou usuário inicante no Android) Pedro.
Anny
Por incrível que pareça existe a palavra "defence" em inglês britânico... http://en.wikipedia.org/wiki/Defence Mas que é estranho é xD
Rodrigo
OpenDNS e Google DNS uniram o BD já tem um tempo, confirma ?
Marcelo Maia
Mais esses virus não sao para windows ou são multiplataforma?
Exibir mais comentários