Falsa noticia de ingresso gratis da LATAM (Homograph Atack)

hrcerq
(usa Outra)

Enviado em 15/11/2017 - 15:41h

Eles podem ser usados pra rastrear atividades do usuário na Web. Sabe quando você faz uma pesquisa sobre determinado assunto e de repente começam a aparecer propagandas sobre isso em outras páginas? É por causa disso.

---

Atenciosamente,
Hugo Cerqueira

ricardogroetaers
(usa Linux Mint)

Enviado em 16/11/2017 - 03:41h

Simples:

Ele será direcionado ao site falso, mais nada.
Se no site falso ele, por exemplo, digitar "agência", "conta" e "senha", já era.
Porem, em sites falsos, nem todo o conteúdo do site verdadeiro está reproduzido. Por exemplo, alguns links não funcionam, pede para baixar e instalar algo que nunca foi pedido, etc.

Se, apesar dos avisos e das recomendações tem muita gente caindo na lábia de políticos, porque não cairia na do meliante cibernético?

Henrique - RJ
(usa Outra)

Enviado em 16/11/2017 - 09:49h

É, parece que vocês não sabem como acontece a troca do DNS sem conhecimento do usuário.

Não há a necessidade de trocar o DNS como root.

A troca é feita automaticamente por meio do navegador que acessa as configurações do roteador/modem.

O navegador nem precisa ser redirecionado para um endereço falso. No próprio script do site acessado são colocadas as instruções ( algumas linhas ) depois de invadido pelo cracker.

Pronto, com o seu DNS trocado, seu Linux passa a navegar por sites fakes com risco de ter seus dados sigilosos sequestrados.

Mas para que isso ocorra é preciso que a senha do seu modem/roteador seja a padrão ( "admin" por exemplo ).

hrcerq
(usa Outra)

Enviado em 16/11/2017 - 12:33h

Pra citar esse tipo de ataque, certamente você viu alguma referência técnica explicando como isso ocorre, não? Eu gostaria de ver essa referência.



A explicação ainda está vaga. Para o navegador acessar as configurações do modem, ele teria que executar um código javascript que estaria embutido em alguma página Web. Só que de acordo com a política de mesma origem (same-origin policy), um script não pode acessar o conteúdo de outra página se ela não estiver no mesmo domínio.

Logo, essa tática de acessar a configuração do roteador já seria barrada aí. Supondo que de alguma maneira essa proteção fosse burlada (gostaria de saber como), com o uso de whitelist (noscript), esse tipo de script pode ser facilmente filtrado.



Ou seja, dentro dessa hipótese ainda não detalhada, o roteador teria que estar mal configurado. Afinal, é boa prática trocar a senha de administrador do roteador justamente pra evitar o acesso indevido. Mais uma vez, a segurança está nas precauções.

---

Atenciosamente,
Hugo Cerqueira

LSSilva
(usa Outra)

Enviado em 16/11/2017 - 15:50h

Seria legal, em um router linux, adicionar algumas regras. Vamos supor que no meu router, tenho uma interface eth0, responsável pela rede interna e eth1, internet; e que, em primeiro caso, não haja DNS na rede, então haveria consulta externa.

Então adicionaria ao meu script de firewall:
trusteddns="8.8.8.8 8.8.4.4 xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx"
for dns in $trusteddns
do
iptables -A FORWARD -i eth0 -o eth1 -p tcp --dport 53 -s $faixaredeinterna -d $dns -m state --state NEW --syn -j ACCEPT
iptables -A FORWARD -i eth0 -o eth1 -p udp --dport 53 -s $faixaredeinterna -d $dns -m state --state NEW -j ACCEPT
done
iptables -A FORWARD -i eth0 -o eth1 -s $faixaredeinterna -p tcp --dport 53 -j DROP
iptables -A FORWARD -i eth0 -o eth1 -s $faixaredeinterna -p udp --dport 53 -j DROP

Isto faria com que só fossem consultados dns's confiáveis, mesmo sendo adicionados outros ao PC ou router (router que teria que estar após o firewall, é claro).

hrcerq
(usa Outra)

Enviado em 16/11/2017 - 16:03h

Interessante.

Você sugere isso em função da hipótese levantada sobre páginas Web executarem scripts que de alguma maneira possam alterar a configuração do roteador? Nesse caso, você saberia responder à minha dúvida sobre como isso seria possível? Ou é apenas mais uma camada de segurança (não menosprezando, claro), mas que talvez não chegue a ser necessária, supondo que o script já seja barrado pelo browser?

---

Atenciosamente,
Hugo Cerqueira

Henrique - RJ
(usa Outra)

Enviado em 16/11/2017 - 16:11h

Hugo Cerqueira

http://blog.trendmicro.com.br/malware-dns-changer-de-olho-nos-roteadores-domesticos/

hrcerq
(usa Outra)

Enviado em 16/11/2017 - 16:46h

Enfim, temos uma referência. Só que ela só confirma o que eu estava dizendo: não é um anti-vírus que vai proteger o usuário desses ataques. E sim o navegador e as configurações do roteador.

Vou destacar aqui as recomendações desse artigo:



Em resumo, configurações e precauções. Ficar atento sempre. Nada isenta o usuário disso, a não ser claro, como disse o colega Clodoaldo, voltar à vida analógica.

---

Atenciosamente,
Hugo Cerqueira

LSSilva
(usa Outra)

Enviado em 16/11/2017 - 18:02h

Sim Hugo, normalmente há códigos de acesso à funções de roteadores, principalmente através de HTTP; ex: access ip-x user=x pass=y exec=função-x. Isso é muito comum em routers da TP-Link, por exemplo.

Com o código proposto acima no firewall do gateway da rede, os clientes poderiam ser afetados, porém não conectariam à outros DNS's a não ser os confiáveis destacados na variável "trusteddns".

E claro, assumindo que os roteadores afetados estariam depois do firewall (fizessem parte da lan) e não antes.

Henrique - RJ
(usa Outra)

Enviado em 16/11/2017 - 18:20h

Sr Hugo Cerqueira

Já há antivírus que detectam esse tipo de ataque sim e faz tempo.

Londreslondres
(usa Parabola)

Enviado em 16/11/2017 - 18:25h

O meu roteador já foi invadido duas vezes seguidas em 2015!

Não tive cuidado. Instalei o Windows© 7 na VBox para fazer testes com vírus.
Esses vírus invadiram meu roteador, mudaram o DNS. Toda vez que acessava o Google, era redirecionado para uma página falsa pedindo a "atualização" do Java (java_update.exe)

Para resolver esse problema, tive que resetar e configurar o roteador do zero.
Foi trabalhoso, mas consegui. Ao configurá-lo coloquei uma senha forte que eu nem me lembro mais qual era... rsrssrs
Quando ele foi invadido tinha o famoso usuário: admin e a famosa senha: admin
A melhor dica para se proteger desse tipo de problema é definir uma senha forte.

--------------------------------------------------------------------
#voltalisteiro

hrcerq
(usa Outra)

Enviado em 16/11/2017 - 18:27h

Se há ou não há, não é a questão. A questão é se é necessário. Conforme explicado pelo artigo que você mesmo apresentou, basta que as configurações do roteador não estejam default (isto é, alterar endereço padrão e senha padrão, e até mesmo desabilitar a configuração por wi-fi). Adicionalmente, pode-se usar o NoScript pra barrar esse tipo de script, e ainda tem a configuração que o colega LSSilva apresentou para configurar o iptables no roteador.

Aliás, se levarmos à risca o conceito de anti-vírus, não faz nem sentido dizer que há anti-vírus pra esse tipo de ameaça (troca de DNS), já que troca de DNS não é um vírus.

---

Atenciosamente,
Hugo Cerqueira