2013/08/28
Ataque de Hackers ao NY Times e Twitter foi feito via DNS
Hoje em dia, qualquer site na internet tem que levar a questão da segurança bem a sério - e ainda mais caso tenha a seu cargo dados de utilizadores ou informação privada de terceiros. Mas o próprio funcionamento da Internet faz com que seja possível ultrapassar todas as protecções que qualquer site utilize atacando directamente o "livro de endereços" da Internet - que foi precisamente o que aconteceu num recente ataque que afectou o site do NY Time e alguns serviços do Twitter.
Já por aqui falamos dos DNS, o serviço que é responsável por nos direccionar para o site desejado sempre que introduzimos no browser um nome como "google.com", "facebook.com", ou qualquer outro. O serviço de DNS funciona como um livro de endereços que faz corresponder o nome de um site ao seu endereço IP, um número bem ao gosto dos computadores que é utilizado internamente para todas as comunicações.
O grupo de hackers Syrian Electronic Army optou por ignorar completamente os sites em questão, e centrou os seus esforços no serviço responsável pela manutenção dos registos DNS destes sites - um registar chamado MelbourneIT, e que era considerado um dos mais seguros. Depois de terem conseguido infiltrar-se no serviço (de forma ainda não revelada), tiveram apenas que mudar o tal endereço, de forma a que quem tentasse visitar o site nytimes.com fosse redireccionado para outro servidor em vez do servidor do NY Times.
De forma simplificada, podem equipará-lo a trocarem o nome da rua e número da porta, de forma a que o carteiro passasse a entregar em vossa casa o correio que era destinado a outra morada.
É um cenário assustador, pois nem convém imaginar o que seria se um ataque deste tipo afectasse um site como o Facebook ou Google, direccionando todos os visitantes para uma página infestada de malware pronta a aproveita-se das vulnerabilidades de browsers mais antigos. Uma das formas de se precaverem contra este tipo de ataques consiste mudar o estado estes registos para um estado de "bloqueado", de forma a que não possam ser alterados de forma automática - algo que os registars (as empresas que gerem os domínios) não apreciam muito pois dar-lhes-á mais trabalho sempre que for necessária alguma modificação.
Foi isso que evitou que o Twitter.com fosse redireccionado para um site "hackado", como aconteceu com o NYTimes.com e vários subdomínios do Twitter que não estavam "locked".
... Serve este episódio para demonstrar que as vertentes de ataque são muitas e variadas, e que por vezes não adiante ter uma casa hiper-segura e à prova de ladrões, se os atacantes forem capazes de alterar a nossa morada para iludir os nossos visitantes.
Subscrever:
Enviar feedback (Atom)
A solução para o utilizador passa por usar um app para sempre que receber uma resposta de DNS, verificar essa resposta a mais servidores de DNS. Se a resposta for a mesma na maior parte é porque a resposta "deve ser" legitima.
ResponderEliminarQuanto ao LOCK de subdominios, trata-se mesmo de subdominios.
ResponderEliminarO ataque de DNS Cache poisoning utiliza a manipulação de registos de subdominios para permitir dar respostas adulteradas.
A solução é usar DNSSEC mas isso dá trabalho e custa mais por isso os utilizadores finais que se cuidem.