Falsa noticia de ingresso gratis da LATAM (Homograph Atack)

49. Re: Falsa noticia de ingresso gratis da LATAM (Homograph Atack)

m0glik1d
m0glik1d

(usa Linux Mint)

Enviado em 17/11/2017 - 02:00h

Londreslondres escreveu:

O meu roteador já foi invadido duas vezes seguidas em 2015!

Não tive cuidado. Instalei o Windows© 7 na VBox para fazer testes com vírus.
Esses vírus invadiram meu roteador, mudaram o DNS. Toda vez que acessava o Google, era redirecionado para uma página falsa pedindo a "atualização" do Java (java_update.exe)

Para resolver esse problema, tive que resetar e configurar o roteador do zero.
Foi trabalhoso, mas consegui. Ao configurá-lo coloquei uma senha forte que eu nem me lembro mais qual era... rsrssrs
Quando ele foi invadido tinha o famoso usuário: admin e a famosa senha: admin
A melhor dica para se proteger desse tipo de problema é definir uma senha forte.

--------------------------------------------------------------------
#voltalisteiro


Tambem concordo com a questão da educação do usuario para acessar a rede. Mas tambem, temos que ver o lado das empresas que produzem os equipamentos de Telecom.

Uma grande falha hoje em dia ainda existir empresas que deixam o "admin/admin" pre configurados nos roteadores e modems residenciais desde a produção. Acho uma grande falha por parte das industrias desse ramo, pois o usuario nao quer (ou simplesmente nao possuem habilidades tecnicas) pra esse tipo de coisa.
Não estou dizendo que a industria deve passar a produzir aparelhos "perfeitamente, divinamente e 100% seguros". Mas sim, um pouquinho mais de preocupação com esse assunto.

Segurança deve começar desde a produção das tecnologias

E se tratando de Extensões e proteção por camadas, um fato que ocorreu com uma pessoa proxima a mim. Recentemente, meu primo teve o roteador invadido atraves de um script. O invasor conseguiu entrar no modem dele e alterou o DNS e quando foi abrir o site do Banco do Brasil, foi redirecionado diretamente para uma pagina falsa do BB que pertencia ao invasor. Página idêntica a oficial. Dai todo o estrago foi feito. Um Phishing básico e uma boa parte da poupança dele foi parar nas mãos dos meliantes em poucos minutos. Só pra constar, o navegador dele tinha as extensoes AdBlock Plus e No-Script.
Mesmo assim nao conseguiu conter.



  


50. Re: Falsa noticia de ingresso gratis da LATAM (Homograph Atack)

Hugo Cerqueira
hrcerq

(usa Outra)

Enviado em 17/11/2017 - 07:31h

m0glik1d escreveu:

Tambem concordo com a questão da educação do usuario para acessar a rede. Mas tambem, temos que ver o lado das empresas que produzem os equipamentos de Telecom.

Uma grande falha hoje em dia ainda existir empresas que deixam o "admin/admin" pre configurados nos roteadores e modems residenciais desde a produção. Acho uma grande falha por parte das industrias desse ramo, pois o usuario nao quer (ou simplesmente nao possuem habilidades tecnicas) pra esse tipo de coisa.
Não estou dizendo que a industria deve passar a produzir aparelhos "perfeitamente, divinamente e 100% seguros". Mas sim, um pouquinho mais de preocupação com esse assunto.

Segurança deve começar desde a produção das tecnologias


De fato, não é apenas uma questão de educação, mas também da produção dos equipamentos, que deveriam ser mais rigorosos com as configurações de segurança. Mas não me entenda mal, quando falei em educação dos usuários, eu não quis dizer que todo mundo deve virar expert. A configuração dos equipamentos de rede em tese é uma responsabilidade do provedor e não do usuário. Cabe a este, porém, estar ciente dos riscos de não se configurar adequadamente os roteadores (mesmo que não saiba ao certo como isso deve ser feito) e cobrar do provedor que faça a devida configuração.

E se tratando de Extensões e proteção por camadas, um fato que ocorreu com uma pessoa proxima a mim. Recentemente, meu primo teve o roteador invadido atraves de um script. O invasor conseguiu entrar no modem dele e alterou o DNS e quando foi abrir o site do Banco do Brasil, foi redirecionado diretamente para uma pagina falsa do BB que pertencia ao invasor. Página idêntica a oficial. Dai todo o estrago foi feito. Um Phishing básico e uma boa parte da poupança dele foi parar nas mãos dos meliantes em poucos minutos. Só pra constar, o navegador dele tinha as extensoes AdBlock Plus e No-Script.
Mesmo assim nao conseguiu conter.


Você tem certeza de que essa alteração foi feita por javascript mesmo? Ou foi algo que ele baixou e executou fora do navegador? Outra coisa: ele estava usando o recurso de whitelist do noscript, ou deixou só blacklist? O blacklist só filtra o que é explicitamente proibido, enquanto o whitelist só executa o que é explicitamente permitido. Já o adblock e ublock dependem das listas ativas. Existem várias listas diferentes, como easylist, easyprivacy, fanboy, dentre outras. Algumas listas são especializadas em filtrar malware, mas precisam estar ativas e atualizadas.

A propósito, é importante estar atento ao certificado dessas páginas mais sensíveis, como as de banco pra ter certeza que é a página original. Isso além das configurações do roteador já mencionadas, que já teriam evitado essa invasão, em primeiro lugar, supondo que tenha sido via javascript.

---

Atenciosamente,
Hugo Cerqueira


51. Re: Falsa noticia de ingresso gratis da LATAM (Homograph Atack)

Leandro Silva
LSSilva

(usa Outra)

Enviado em 17/11/2017 - 09:06h

Para os interessados, olha aqui um exemplo bem explicado de um dos usuários do VOL (que também possui este Blog):

http://www.prminformatica.com.br/2014/03/vulnerabilidade-em-roteadores-asus-e-tp.html

Ele explica justamente como é feita a troca do DNS via requisição GET em uma marca que é lider mundial de venda de equipamentos de rede.


52. Re: Falsa noticia de ingresso gratis da LATAM (Homograph Atack)

Hugo Cerqueira
hrcerq

(usa Outra)

Enviado em 17/11/2017 - 14:53h

LSSilva escreveu:

Para os interessados, olha aqui um exemplo bem explicado de um dos usuários do VOL (que também possui este Blog):

http://www.prminformatica.com.br/2014/03/vulnerabilidade-em-roteadores-asus-e-tp.html

Ele explica justamente como é feita a troca do DNS via requisição GET em uma marca que é lider mundial de venda de equipamentos de rede.


Isso esclarece bastante... a requisição não é acionada por script, e sim pelo source de uma imagem, usando a API REST do roteador pra alterar as configurações. Engenhoso. Nesse caso realmente só alterando a senha do roteador pra uma mais difícil (e preferencialmente alterar o endereço IP também) pra barrar o ataque.

---

Atenciosamente,
Hugo Cerqueira


53. Re: Falsa noticia de ingresso gratis da LATAM (Homograph Atack)

Alberto Federman Neto.
albfneto

(usa openSUSE)

Enviado em 17/11/2017 - 19:53h

A Galera sai clicando em tudo que acha "bonitinho", ou legal....

é porque, mesmo Windows (e mais ainda winusers do que linusers), tem galera que é "clicador" só,

só usam o micro, não sabem nada de configurações, nem formatar, nem instalar antivírus, só usam o micro, para texto, internet etc...

mesmo no tempo do windows, conhecí gente que levava o micro na assistência técnica, apenas para checar e atualizar o antivírus e até, istalar um programa!

Sempre haverão usuários "finais mesmo", eles só clicam, veem vídeos, escutam rádio, escrevem cartas e navegam... Não tem interesse em Kernel, configurar, reformatar, fazer partições, executar comandos etc...

Para vcs, profissionais de TI, é bom...., emprego de vcs!

se todo o mundo fosse o "Super Nerd", o "Mega Blaster Hacker", o Overclocker, o Gamer etc... etc.... não precisava profissionais de TI.
¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨
Albfneto,
Ribeirão Preto, S.P., Brasil.
Usuário Linux, Linux Counter: #479903.
Distros Favoritas: Sabayon, Gentoo, openSUSE, Mageia e OpenMandriva.


54. Re: Falsa noticia de ingresso gratis da LATAM (Homograph Atack)

Hugo Cerqueira
hrcerq

(usa Outra)

Enviado em 17/11/2017 - 20:25h

albfneto escreveu:

A Galera sai clicando em tudo que acha "bonitinho", ou legal....

é porque, mesmo Windows (e mais ainda winusers do que linusers), tem galera que é "clicador" só,

só usam o micro, não sabem nada de configurações, nem formatar, nem instalar antivírus, só usam o micro, para texto, internet etc...

mesmo no tempo do windows, conhecí gente que levava o micro na assistência técnica, apenas para checar e atualizar o antivírus e até, istalar um programa!

Sempre haverão usuários "finais mesmo", eles só clicam, veem vídeos, escutam rádio, escrevem cartas e navegam... Não tem interesse em Kernel, configurar, reformatar, fazer partições, executar comandos etc...

Para vcs, profissionais de TI, é bom...., emprego de vcs!

se todo o mundo fosse o "Super Nerd", o "Mega Blaster Hacker", o Overclocker, o Gamer etc... etc.... não precisava profissionais de TI.
¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨
Albfneto,
Ribeirão Preto, S.P., Brasil.
Usuário Linux, Linux Counter: #479903.
Distros Favoritas: Sabayon, Gentoo, openSUSE, Mageia e OpenMandriva.


Eu não concordo totalmente com o que você diz. Veja por quê: quando você está no ensino fundamental, aprende a ler e escrever, correto? Isso permite que você exerça a cidadania e não fique totalmente à mercê daqueles que detem esse conhecimento. Você não precisa ter um conhecimento absolutamente detalhado da língua portuguesa, mas há um mínimo necessário que deve conhecer para exercer plena cidadania.

Pois bem, no século XXI, essa mesma regra vale para a informática. Você não precisa entender como funciona um kernel, não precisa saber programar, não precisa saber como funciona um firewall, etc. mas há um mínimo de conhecimento necessário, pois muito do nosso dia a dia foi incorporado aos sistemas informatizados. Daí a necessidade de algum conhecimento na área, por mínimo que seja, para pleno exercício da cidadania. Porém, ainda vemos muita gente usando computadores sem ao menos saber o que é um navegador Web, algumas pessoas até mesmo pensam que o Facebook é a Internet. Isso mostra uma falha muito grave no nosso sistema educacional, que não evoluiu junto com as demais áreas, como a economia, o setor energético, as indústrias em geral, o comércio, entre outros.

---

Atenciosamente,
Hugo Cerqueira


55. Re: Falsa noticia de ingresso gratis da LATAM (Homograph Atack)

Ricardo Groetaers
ricardogroetaers

(usa Linux Mint)

Enviado em 17/11/2017 - 20:44h

Henrique - RJ escreveu:
É, parece que vocês não sabem como acontece a troca do DNS sem conhecimento do usuário .....
... A troca é feita automaticamente por meio do navegador que acessa as configurações do roteador/modem...
Pronto, com o seu DNS trocado, seu Linux passa a navegar por sites fakes com risco de ter seus dados sigilosos sequestrados. ....

Não manjo nada de redes, nem de internet, nem de DHCP, nem de GATEWAY, nem de DNS e outras entidades afins.

Li num livro, me corrijam por favor se entendi errado, que DNS é um "servidor" que descobre o ip (numérico 123.456.789.... ) de uma máquina da rede (internet por exemplo) a partir de um endereço (nominal, tipo www.blablabla....) digitado e vice versa. Razoavelmente esse "cara" (o servidor DNS) não está no meu computador nem no meu modem. Ele está lá fora, no meu provedor ou em outro servidor qualquer na internet, fora do alcance da minha manipulação e do meu controle. Se alguem roubar ou alterar as configurações desse "cara", isso será lá fora e não aqui dentro, e não sou eu que vou impedir nem tampouco resolver.

Se um hipotético script malicioso, um raio, uma sobrecarga na linha telefônica, ou um exu desconfigurar meu modem, o máximo que vai acontecer é eu não conseguir acessar meu provedor e por consequência não conseguir navegar na internet. Nada que enfiar um palito no "buraco" de reset do modem, e por conseguinte restaurar as configurações de fábrica, não resolva. Depois é só reconfigurar, trabalho para 2 minutos aproximadamente.

Se, por outro lado, o navegador sair executando indiscriminadamente qualquer script malicioso que encontrar numa página da internet, o que eu posso fazer? Eu não sou projetista de navegadores nem de scripts. Vale o principio de clodoaldops:
clodoaldops escreveu:
-se alguém não quer se raqueado não use pc, notebook, netbook, tablet ou smartphone
-único modo 100% seguro disso não acontecer




56. Re: Falsa noticia de ingresso gratis da LATAM (Homograph Atack)

m0glik1d
m0glik1d

(usa Linux Mint)

Enviado em 17/11/2017 - 21:00h

hrcerq escreveu:

E se tratando de Extensões e proteção por camadas, um fato que ocorreu com uma pessoa proxima a mim. Recentemente, meu primo teve o roteador invadido atraves de um script. O invasor conseguiu entrar no modem dele e alterou o DNS e quando foi abrir o site do Banco do Brasil, foi redirecionado diretamente para uma pagina falsa do BB que pertencia ao invasor. Página idêntica a oficial. Dai todo o estrago foi feito. Um Phishing básico e uma boa parte da poupança dele foi parar nas mãos dos meliantes em poucos minutos. Só pra constar, o navegador dele tinha as extensoes AdBlock Plus e No-Script.
Mesmo assim nao conseguiu conter.


Você tem certeza de que essa alteração foi feita por javascript mesmo? Ou foi algo que ele baixou e executou fora do navegador? Outra coisa: ele estava usando o recurso de whitelist do noscript, ou deixou só blacklist? O blacklist só filtra o que é explicitamente proibido, enquanto o whitelist só executa o que é explicitamente permitido. Já o adblock e ublock dependem das listas ativas. Existem várias listas diferentes, como easylist, easyprivacy, fanboy, dentre outras. Algumas listas são especializadas em filtrar malware, mas precisam estar ativas e atualizadas.

A propósito, é importante estar atento ao certificado dessas páginas mais sensíveis, como as de banco pra ter certeza que é a página original. Isso além das configurações do roteador já mencionadas, que já teriam evitado essa invasão, em primeiro lugar, supondo que tenha sido via javascript.



Brother, segundo os relatos que ele mesmo me passou foi isso.
Ele tinha as extensoes instaladas no navegador.
Agora nao sei se na hora ele usou outro navegador, nao sei te informar.



57. Re: Falsa noticia de ingresso gratis da LATAM (Homograph Atack)

Hugo Cerqueira
hrcerq

(usa Outra)

Enviado em 17/11/2017 - 21:02h

Ricardo, o ataque descrito (de troca de DNS) não visa o servidor em si, e sim o roteador, que vai apontar para o servidor DNS errado. Esse tipo de ataque pode ser facilmente mitigado, trocando a configuração do roteador. A propósito, essa não é uma configuração difícil, as interfaces Web dos roteadores modernos tornam isso bem trivial, até. É apenas uma questão de pegar o manual dele e ver como faz.

Não estou dizendo que essa tarefa deveria recair sobre o usuário. Em um mundo ideal, os técnicos responsáveis por instalar todo o equipamento deveriam estar mais do que preparados pra fazer isso, ainda mais sendo algo tão simples. Mas na prática sabemos que não é bem assim. O cliente deve cobrar que as configurações de segurança sejam feitas, porém se não forem, ele não pode esperar toda a burocracia dos provedores pra ficar seguro. Nesse caso, basta pegar o manual e ver como alterar a senha, pelo menos.

---

Atenciosamente,
Hugo Cerqueira


58. Re: Falsa noticia de ingresso gratis da LATAM (Homograph Atack)

skjdeecedcnfncvnrfcnrncjvnjrnfvjcnjrjvcjrvcj
Londreslondres

(usa Parabola)

Enviado em 17/11/2017 - 21:08h

O pior é que existem "técnicos" que configuram o roteador com senhas fáceis como: admin, 123...
Aí fica fácil invadir.
A melhor maneira de evitar esses ataques de DNS é definir uma senha forte.
--------------------------------------------------------------------
#voltalisteiro


59. Re: Falsa noticia de ingresso gratis da LATAM (Homograph Atack)

m0glik1d
m0glik1d

(usa Linux Mint)

Enviado em 17/11/2017 - 21:10h

ricardogroetaers escreveu:

Henrique - RJ escreveu:
É, parece que vocês não sabem como acontece a troca do DNS sem conhecimento do usuário .....
... A troca é feita automaticamente por meio do navegador que acessa as configurações do roteador/modem...
Pronto, com o seu DNS trocado, seu Linux passa a navegar por sites fakes com risco de ter seus dados sigilosos sequestrados. ....

Não manjo nada de redes, nem de internet, nem de DHCP, nem de GATEWAY, nem de DNS e outras entidades afins.

Li num livro, me corrijam por favor se entendi errado, que DNS é um "servidor" que descobre o ip (numérico 123.456.789.... ) de uma máquina da rede (internet por exemplo) a partir de um endereço (nominal, tipo www.blablabla....) digitado e vice versa. Razoavelmente esse "cara" (o servidor DNS) não está no meu computador nem no meu modem. Ele está lá fora, no meu provedor ou em outro servidor qualquer na internet, fora do alcance da minha manipulação e do meu controle. Se alguem roubar ou alterar as configurações desse "cara", isso será lá fora e não aqui dentro, e não sou eu que vou impedir nem tampouco resolver.

Se um hipotético script malicioso, um raio, uma sobrecarga na linha telefônica, ou um exu desconfigurar meu modem, o máximo que vai acontecer é eu não conseguir acessar meu provedor e por consequência não conseguir navegar na internet. Nada que enfiar um palito no "buraco" de reset do modem, e por conseguinte restaurar as configurações de fábrica, não resolva. Depois é só reconfigurar, trabalho para 2 minutos aproximadamente.

Se, por outro lado, o navegador sair executando indiscriminadamente qualquer script malicioso que encontrar numa página da internet, o que eu posso fazer? Eu não sou projetista de navegadores nem de scripts. Vale o principio de clodoaldops:
clodoaldops escreveu:
-se alguém não quer se raqueado não use pc, notebook, netbook, tablet ou smartphone
-único modo 100% seguro disso não acontecer



Amigo, realmente voce começou conceituar corretamente o DNS. E ele realmente nao fica instalado na sua maquina ou algo do tipo.
E um servidor que fica na internet, capaz de traduzir URL (www.site.com.br) para Endereços IP (000.000.000.000)
Mas e necessario que se indique qual servidor DNS na internet que seu Roteador/Modem ou ate seu PC deve utilizar.
Voce pode alterar isso atraves das configuraçoes do seu roteador ou no seu sistema operacional.
Ai que os invasores aproveitam.
Obtem credenciais para acessar as configuraçoes do roteador ou do sistema e alteram as configuraçoes de DNS.

Em uma rede nao atacada por exemplo, voce digita www.bb.com.br e ele te redireciona para o IP real da pagina do banco 85.40.23.5 (Endereco ficticio).
Ja em uma rede atacada com o DNS alterado, quando voce digita www.bb.com.br, voce sera redicionado para um IP falso completamente diferente daquele original, contendo uma pagina identica a do Banco do Brasil.



60. Re: Falsa noticia de ingresso gratis da LATAM (Homograph Atack)

Leandro Silva
LSSilva

(usa Outra)

Enviado em 17/11/2017 - 21:22h

ricardogroetaers escreveu:

Henrique - RJ escreveu:
É, parece que vocês não sabem como acontece a troca do DNS sem conhecimento do usuário .....
... A troca é feita automaticamente por meio do navegador que acessa as configurações do roteador/modem...
Pronto, com o seu DNS trocado, seu Linux passa a navegar por sites fakes com risco de ter seus dados sigilosos sequestrados. ....

Não manjo nada de redes, nem de internet, nem de DHCP, nem de GATEWAY, nem de DNS e outras entidades afins.

Li num livro, me corrijam por favor se entendi errado, que DNS é um "servidor" que descobre o ip (numérico 123.456.789.... ) de uma máquina da rede (internet por exemplo) a partir de um endereço (nominal, tipo www.blablabla....) digitado e vice versa. Razoavelmente esse "cara" (o servidor DNS) não está no meu computador nem no meu modem. Ele está lá fora, no meu provedor ou em outro servidor qualquer na internet, fora do alcance da minha manipulação e do meu controle. Se alguem roubar ou alterar as configurações desse "cara", isso será lá fora e não aqui dentro, e não sou eu que vou impedir nem tampouco resolver.

Se um hipotético script malicioso, um raio, uma sobrecarga na linha telefônica, ou um exu desconfigurar meu modem, o máximo que vai acontecer é eu não conseguir acessar meu provedor e por consequência não conseguir navegar na internet. Nada que enfiar um palito no "buraco" de reset do modem, e por conseguinte restaurar as configurações de fábrica, não resolva. Depois é só reconfigurar, trabalho para 2 minutos aproximadamente.

Se, por outro lado, o navegador sair executando indiscriminadamente qualquer script malicioso que encontrar numa página da internet, o que eu posso fazer? Eu não sou projetista de navegadores nem de scripts. Vale o principio de clodoaldops:
clodoaldops escreveu:
-se alguém não quer se raqueado não use pc, notebook, netbook, tablet ou smartphone
-único modo 100% seguro disso não acontecer



O DNS, ou domain name system, é um serviço de resolução de nomes. Ele evita, basicamente, que você tenha que decorar endereços IP para acessar sites/aplicações. Isso seria bem confuso, não?! Assim como todos os outros serviços que você citou, ele também é um serviço e funciona no paradigma de cliente/servidor; existem vários servidores de DNS confiáveis e quanto mais próximo o DNS, melhor será o tempo gasto na resolução de nomes, dado o fato de o tempo de resposta ser menor, assim assumimos que teoricamente o DNS do seu provedor é o mais eficiente (quase todos são eficazes); porém existem também os que não são confiáveis e se não controlar isto em sua rede (no seu conhecido gateway) poderá obter "péssimos resultados". As regras (muito básicas, para controle também muito básico) estão já neste tópico em um comentário meu (ou não, vai saber :)), pois se houver tráfego livre para qualquer endereço de DNS, os computadores/roteadores podem ser configurados e utilizarão de fato DNS " impróprios ", pois o default GW da sua rede permite.






Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts