Como detetar se o seu router foi afetado pelo sequestro de DNS

Saiba como descobrir se você foi vítima deste tipo de ataque conhecido como sequestro de DNS e como garantir a proteção da sua rede. Neste post iremos analisar o que é o sequestro de DNS, como perceber se está a ser afetado por este tipo de ataque e como mitigá-lo.

O que é o sequestro de DNS?

O sequestro de DNS é um tipo de ataque, também conhecido como redireccionamento, em que o atacante consegue alterar os servidores DNS para que as consultas de resolução de nomes sejam resolvidas de forma incorreta e redirijam de forma inesperada os utilizadores para sites maliciosos.

Desta forma, quando o dispositivo da vítima consulta o domínio “example.com”, o DNS malicioso responde com o endereço IP de um site fraudulento, diferente do original, e consegue endereçar a ligação da vítima.

Imagem 1: Funcionamento de um servidor DNS

Como um atacante pode alterar o DNS: tipos de ataque

Um atacante pode alterar o DNS de várias maneiras, incluindo: infetar a vítima com código malicioso, assumir o controlo do router de uma rede ou intercetar a comunicação DNS.

Portanto, existem 3 tipos de ataques para redirecionar o DNS:

  1. Sequestro de DNS local

O atacante consegue comprometer o dispositivo da vítima e altera a configuração DNS local.

  1. Sequestro do router DNS

O atacante consegue controlar o router da vítima (devido a uma configuração incorreta ou uma vulnerabilidade no router) e reescreve a configuração DNS do dispositivo, afetando todos os utilizadores ligados à rede.

  1. Ataque MitM DNS

O atacante consegue intercetar a comunicação entre o utilizador e o servidor DNS legítimo, e altera a resposta do servidor com um IP de destino que aponta para um site malicioso.

O principal objetivo deste tipo de ataque é redirecionar a vítima para sites fraudulentos, que são, na sua maioria, phishing, e assim obter nomes de utilizadores, passwords, dados de cartões de crédito e todo o tipo de informação confidencial. Este tipo de ataque também é amplamente usado para redirecionar o utilizador para sites de publicidade ou exibir adware, o que gera um ganho económico para o atacante.

Como perceber se está a ser vítima do sequestro de DNS?

Como o ataque é baseado na alteração do DNS para redirecionar as consultas de nomes para um servidor malicioso, a primeira coisa que pode fazer é verificar quais os servidores que estão a resolver as suas consultas. Uma maneira é verificar a configuração de rede local dos seus dispositivos, mas isso irá dar-lhe poucas informações ou servirá apenas para descartar casos de sequestro local.

No exemplo a seguir, podemos ver a configuração IP de um computador com Windows (a usar o comando ipconfig/all). Aqui, é importante diferenciar o que é o DNS Suffix com os servidores DNS, já que são estes últimos que irão receber as consultas de nomes e devolverão o IP. Por outro lado, o DNS Suffix é usado apenas em redes locais quando consultamos um nome de dispositivo sem especificar um domínio. Ou seja, neste caso, se procurasse sobre o IP do dispositivo “test1” sem esclarecer qualquer domínio, o dispositivo automaticamente entende que está à procura do IP “test1.example.net”.

No entanto, na configuração local do dispositivo raramente vemos realmente qual é o servidor DNS público que está a resolver as nossas consultas, já que normalmente o IP atribuído pela maioria dos DHCPs dos routers domésticos é o próprio router.

Imagem 2: Configuração IP Local em Window

Portanto, para verificar se os nossos pacotes DNS estão a ser respondidos por uma fonte confiável, a melhor forma de confirmar isso é fazer uma consulta pública e verificar quais os servidores que estão a responder. Para isso, podemos usar sites de verificação de DNS, semelhantes aos que usamos para descobrir o nosso IP público. Alguns dos sites que os atacantes podem usar são:

DNS Leak Test: Serviço que permite detetar os servidores DNS que estão a responder às suas consultas. É aconselhável realizar o teste mais extenso, que permite descobrir todos os servidores DNS pelos quais a sua consulta está a passar.

What’s my DNS Server: Este serviço é muito simples de usar e, com um clique, você sabe qual o servidor DNS que está a resolver as suas consultas. Além disso, a página informa se o mesmo é fiável ou se foi denunciado como fraudulento.

Imagem 3: Resultado do What’s my DNS Server

Que medidas de proteção podemos usar para evitar sermos vítimas?

O primeiro passo é proteger a rede e, para isso, é essencial ter um router seguro, configurado e atualizado corretamente.

Como regra geral, o ideal é ter sempre o controlo do router na nossa rede e, assim, ter a certeza de que ele está configurado de forma segura. O problema ocorre muitas vezes com o dispositivo do fornecedor de serviço de Internet, uma vez que muitos ISPs não informam o utilizador acerca da administração do router ou modem que fornecem. Se este for o seu caso, você tem duas opções, mas em ambas você deve ter o seu próprio router.

A primeira opção, e a mais adequada, é pedir ao seu fornecedor de serviço de Internet para configurar o seu router no modo bridge – o router do fornecedor atribui diretamente ao seu router o IP público que ele usará para navegar na Internet. De seguida, você deve configurar o seu router para fazer a WAN IP dinamicamente e sobrescrever o DNS com alguns de confiança.

A segunda opção, caso a configuração anterior não seja viável, é configurar uma nova rede LAN com seu próprio router. Nesse caso, o seu router terá dois IPs privados, o IP da LAN ao qual o seu dispositivo se ligará e outro IP privado que usará a porta WAN para se comunicar com o router do ISP. Neste caso, é muito importante desativar a função WiFi do router do fornecedor e configurar o DHCP no nosso próprio computador com DNS confiável.

Lembre-se também de usar sempre uma solução de segurança atualizada em todos os seus dispositivos. Uma solução antivírus não só impedirá que o seu computador seja infetado por um código malicioso que possa alterar o DNS, mas também detetará ligações que foram redirecionadas para sites fraudulentos.

 

1 COMENTÁRIO

DEIXE UMA RESPOSTA

Please enter your comment!
Please enter your name here

sixteen − 8 =