SlideShare uma empresa Scribd logo

Vírus

Luis Fernando
Luis Fernando

Criminosos brasileiros estão comprometendo modems ADSL vulneráveis para alterar os servidores DNS e redirecionar usuários para sites falsos. Eles exploram falhas nos firmwares que permitem acesso remoto e alteração das configurações, como senhas e DNS. Alguns sintomas incluem redirecionamento para páginas falsas de bancos ou serviços de email. É recomendado atualizar o firmware, usar DNS alternativo ou solicitar troca do modem ao provedor.

Tecnologia
1 de 9
Vírus Infohouse informática
Remoção de Vírus
Dica de hoje Criminosos alteram DNS de modems usando falha para realizar fraudes
Alguns criminosos brasileiros têm preferido atacar modems e roteadores em vez de infectar diretamente o sistema operacional do internauta. Eles fazem isso por meio de uma falha de segurança presente em alguns modelos de modems ADSL, alteram o servidor DNS e depois redirecionam os sites alvo, como os bancos ou grandes portais. Atacar dispositivos de rede como modems, roteadores e gateways não é algo novo no mundo da segurança. Existem centenas de exploits e backdoors que permitem a um atacante acessar esses dispositivos remotamente, alterar a configuração ou ter total controle sobre o equipamento – se ele estiver mal configurado ou vulnerável com uma falha de programação. Isso porque geralmente esses exploits abusam de falhas de segurança presentes no firmware1 do equipamento, o que lhes permite ter acesso ao painel de administração. Ali os criminosos podem mudar toda a configuração do equipamento, ver a estrutura da rede conectada ao dispositivo, entre outros. No Brasil, isso tem sido usado para invadir modems e alterar os servidores DNS, que estão normalmente configurados para o provedor, para um sistema controlado pelos criminosos. Desde meados do ano passado temos presenciado muitos desses ataques no Brasil. No fórum da Linha Defensiva existe um tópico sobre o assunto, no qual diversos usuários, clientes dos maiores provedores de internet no país, relataram sofrer redirecionamentos. Cibercriminosos brasileiros comprometeram modems ADSL pelo país, numa onde ataques regulares, silenciosos e efetivos, com o objetivo de instalar malware nas máquinas ou direcionar as vítimas para sites falsos. Como funcionam os ataques Se um modem ADSL está exposto na internet e usa a senha padrão, não é difícil ele ser atacado e os servidores DNSs do equipamento trocados. Como os números IP são em ordem numérica, os criminosos brasileiros estão utilizando scripts automatizados que varrem os endereços IP, sequencialmente, buscando um equipamento vulnerável e exposto. A Linha Defensiva tem observado vítimas entre os mais diferentes provedores de internet, desde grandes até pequenos – isso não é exclusividade de um ou de outro.
Trocar a senha, no entanto, não impede o ataque em alguns modems. Certos aparelhos possuem uma brecha que permite descobrir a senha remotamente – e os criminosos brasileiros tem tirado proveito disso também. Logo após ter acesso, o criminoso irá alterar os servidores DNS e a senha do equipamento. Se o usuário tentar acessar o painel de administração do modem, não irá conseguir. Nos casos analisados e reportados por alguns usuários, as senhas usadas pelos criminosos geralmente tem sido “dnschange”, “dn5ch4ng3” ou “ch4ng3dn5, por exemplo. Para saber se o modem que você usa é vulnerável, basta tentar acessar o arquivo “password.cgi” no modem. Se o acesso funcionar, o modem provavelmente é vulnerável, porque a senha estará revelada no código fonte da página. Um exploitespecífico, tornado público em março de 2011, consegue explorar esse problema. Entre os modems confirmados com a falha estão o 500B e o 2640B da D-Link, mas outros fabricantes como Comtrend e Intelbrás também tem modelos afetados. O problema existe no chipset da Broadcom, que é usado por vários fabricantes.
Sintomas: como saber se fui atacado? É preciso verificar a configuração de DNS do roteador para ter certeza, mas normalmente há alguns sintomas visíveis. Nos primeiros ataques registrados os usuários eram direcionados pelo DNS malicioso configurado no equipamento para uma página maliciosa oferecendo um suposto “Google Defence”:
Algumas vezes, por problema de sobrecarga nos servidores de DNS maliciosos as vitimas viam uma página de hospedagem ao tentar acessar portais web populares:
Nos piores ataques os usuários estão sendo direcionados para páginas falsas de banco, nas quais as credencias são roubadas. Há também relatos de páginas falsas de serviços de webmail como Gmail, Hotmail, e outros. Nos ataques monitorados pela Linha Defensiva observou-se que vários modems ADLS comprometidos direcionavam para páginas falsas de banco em apenas alguns horários do dia, para não levantar suspeita do usuário. Lembre-se: com os servidores DNS alterados no seu modem todo o trafego de internet do seu computador pode ser monitorado. Como se Proteger dos ataques? Existe um procedimento bastante simples que permite saber se seu modem ADSL está vulnerável e suscetível a ataques: Descubra o IP que seu modem está usando. Isso pode ser feito por meio da configuração de “Gateway” na sua configuração de rede e, em alguns casos, o IP externo também funciona. Você pode descobri-lo visitando sites como ohttp://www.omeuip.com Abra seu navegador e digite na barra de endereço: http://[ip do seu modem]/password.cgi Verifique o código fonte da página que será exibida. Se seu modem estiver vulnerável você verá a senha do equipamento. Caso seu modem esteja vulnerável ou não, é necessário tomar alguma atitude: Atualize o firmware do seu modem. Geralmente no site da fabricante você verá o download disponível gratuitamente conforme o modelo. Porém para fazê-lo é necessário extremo cuidado, pois uma atualização problemática pode fazer o equipamento parar de funcionar. Se não souber como fazer, não faça! Solicite ajuda ao seu provedor de internet. Outra possibilidade é usar o modem no modo Bridge Force o uso de servidores DNS alternativos (como o Google DNS ou o OpenDNS) diretamente nas configurações da placa de rede (no sistema operacional). Configure seu modem do modo correto: desative serviços como o acesso HTTP através da porta WAN, configure uma senha de acesso ao painel de configuração, troque as senhas padrões e portas padrões . Se nada disso resolver, solicite ao seu provedor de internet a troca do modem por outro modelo. Verifique a presença e a autencidade dos certificados de segurança presente em conexões HTTPS. Várias páginas falsas não os exibem. Firmware é o conjunto de instruções operacionais programadas diretamente no hardware de um equipamento eletrônico. É armazenado permanentemente num circuito integrado de memória de hardware.

Recomendados

Zdroje
ZdrojeZdroje
ZdrojeProject Etwinning
 
Tema 3 | Formulários
Tema 3 | FormuláriosTema 3 | Formulários
Tema 3 | FormuláriosHenry Raúl González Brito
 
Mount Tabor Academy of Sports Marketing & Hospitality Management
Mount Tabor Academy of Sports Marketing & Hospitality ManagementMount Tabor Academy of Sports Marketing & Hospitality Management
Mount Tabor Academy of Sports Marketing & Hospitality ManagementScott Armstrong
 
NJHPwES 2013 Paperwork Review Webinar 01.17.13
NJHPwES 2013 Paperwork Review Webinar 01.17.13NJHPwES 2013 Paperwork Review Webinar 01.17.13
NJHPwES 2013 Paperwork Review Webinar 01.17.13Kristin McKelvey Del Pino
 
Paul Crane - TalkTalk
Paul Crane - TalkTalkPaul Crane - TalkTalk
Paul Crane - TalkTalkIndependent Networks Co-operative Association
 
Using Creativity To Win - DAS, 3/3/16
Using Creativity To Win - DAS, 3/3/16Using Creativity To Win - DAS, 3/3/16
Using Creativity To Win - DAS, 3/3/16Digiday
 
From Prototyping to Optimization; UX/UI a continuous process
From Prototyping to Optimization; UX/UI a continuous processFrom Prototyping to Optimization; UX/UI a continuous process
From Prototyping to Optimization; UX/UI a continuous processArabNet ME
 
Squline Mandarin Business Beginner 1 Lesson 18
Squline Mandarin Business Beginner 1 Lesson 18Squline Mandarin Business Beginner 1 Lesson 18
Squline Mandarin Business Beginner 1 Lesson 18squline
 

Recomendados

Zdroje
ZdrojeZdroje
ZdrojeProject Etwinning
 
Tema 3 | Formulários
Tema 3 | FormuláriosTema 3 | Formulários
Tema 3 | FormuláriosHenry Raúl González Brito
 
Mount Tabor Academy of Sports Marketing & Hospitality Management
Mount Tabor Academy of Sports Marketing & Hospitality ManagementMount Tabor Academy of Sports Marketing & Hospitality Management
Mount Tabor Academy of Sports Marketing & Hospitality ManagementScott Armstrong
 
NJHPwES 2013 Paperwork Review Webinar 01.17.13
NJHPwES 2013 Paperwork Review Webinar 01.17.13NJHPwES 2013 Paperwork Review Webinar 01.17.13
NJHPwES 2013 Paperwork Review Webinar 01.17.13Kristin McKelvey Del Pino
 
Paul Crane - TalkTalk
Paul Crane - TalkTalkPaul Crane - TalkTalk
Paul Crane - TalkTalkIndependent Networks Co-operative Association
 
Using Creativity To Win - DAS, 3/3/16
Using Creativity To Win - DAS, 3/3/16Using Creativity To Win - DAS, 3/3/16
Using Creativity To Win - DAS, 3/3/16Digiday
 
From Prototyping to Optimization; UX/UI a continuous process
From Prototyping to Optimization; UX/UI a continuous processFrom Prototyping to Optimization; UX/UI a continuous process
From Prototyping to Optimization; UX/UI a continuous processArabNet ME
 
Squline Mandarin Business Beginner 1 Lesson 18
Squline Mandarin Business Beginner 1 Lesson 18Squline Mandarin Business Beginner 1 Lesson 18
Squline Mandarin Business Beginner 1 Lesson 18squline
 
Segurança na Internet - Conceitos fundamentais
Segurança na Internet - Conceitos fundamentaisSegurança na Internet - Conceitos fundamentais
Segurança na Internet - Conceitos fundamentaisJoão Gabriel Lima
 
Como configurar uma rede sem fio
Como configurar uma rede sem fioComo configurar uma rede sem fio
Como configurar uma rede sem fioFaculdade Dr. Francisco Maeda - Ituverava-SP
 
10 problemas seguranca_ecommerce
10 problemas seguranca_ecommerce10 problemas seguranca_ecommerce
10 problemas seguranca_ecommerceSite Blindado S.A.
 
Apresentação sobre DDoS - Semana da Computação - Thiago Escobar
Apresentação sobre DDoS - Semana da Computação - Thiago EscobarApresentação sobre DDoS - Semana da Computação - Thiago Escobar
Apresentação sobre DDoS - Semana da Computação - Thiago EscobarThiago Escobar
 
Sistema de segurança_web
Sistema de segurança_webSistema de segurança_web
Sistema de segurança_webFavsro Fot
 
Pentest teórico
Pentest teóricoPentest teórico
Pentest teóricoFelipe Perin
 
Capítulo 07 - Segurança em sistemas de informação
Capítulo 07 - Segurança em sistemas de informaçãoCapítulo 07 - Segurança em sistemas de informação
Capítulo 07 - Segurança em sistemas de informaçãoEverton Souza
 
Palestra - Visão geral da norma ANSI/ISA 99, Status da Norma e Tendências.
Palestra - Visão geral da norma ANSI/ISA 99, Status da Norma e Tendências.Palestra - Visão geral da norma ANSI/ISA 99, Status da Norma e Tendências.
Palestra - Visão geral da norma ANSI/ISA 99, Status da Norma e Tendências.TI Safe
 
Internet
InternetInternet
InternetLizandra Braga
 
manual_ufcd_1421_segurana_informatica.pdf
manual_ufcd_1421_segurana_informatica.pdfmanual_ufcd_1421_segurana_informatica.pdf
manual_ufcd_1421_segurana_informatica.pdfCarlos Gomes
 
FISL11: Protegendo webservers na intranet contra ataques Man-In-The-Middle
FISL11: Protegendo webservers na intranet contra ataques Man-In-The-MiddleFISL11: Protegendo webservers na intranet contra ataques Man-In-The-Middle
FISL11: Protegendo webservers na intranet contra ataques Man-In-The-MiddleFernando Mercês
 
Aps power point
Aps power pointAps power point
Aps power pointEliane Oliveira
 
Speed stream 5200
Speed stream 5200Speed stream 5200
Speed stream 5200maxytetsu
 
Sophos Endpoint - Apresentação completa
Sophos Endpoint - Apresentação completaSophos Endpoint - Apresentação completa
Sophos Endpoint - Apresentação completaDeServ - Tecnologia e Servços
 
Como funcionam as ameaças da internet e o cybercrime
Como funcionam as ameaças da internet e o cybercrimeComo funcionam as ameaças da internet e o cybercrime
Como funcionam as ameaças da internet e o cybercrimeClavis Segurança da Informação
 
DDOS
DDOSDDOS
DDOSEmmanuel Saes
 
PenTest com Kali linux - VI Engitec
PenTest com Kali linux - VI EngitecPenTest com Kali linux - VI Engitec
PenTest com Kali linux - VI EngitecAlcyon Ferreira de Souza Junior, MSc
 
Ataques na internet
Ataques na internetAtaques na internet
Ataques na internetAna Júlia Damião
 
181554969 protecao-seguranca
181554969 protecao-seguranca181554969 protecao-seguranca
181554969 protecao-segurancaMarco Guimarães
 
Os 10 erros mais comuns de segurança na operação de um ecommerce
Os 10 erros mais comuns de segurança na operação de um ecommerceOs 10 erros mais comuns de segurança na operação de um ecommerce
Os 10 erros mais comuns de segurança na operação de um ecommerceE-Commerce Brasil
 
Assessement Boas Praticas em Kubernetes.pdf
Assessement Boas Praticas em Kubernetes.pdfAssessement Boas Praticas em Kubernetes.pdf
Assessement Boas Praticas em Kubernetes.pdfNatalia Granato
 
ATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docx
ATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docxATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docx
ATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docx2m Assessoria
 

Mais conteúdo relacionado

Semelhante a Vírus

Segurança na Internet - Conceitos fundamentais
Segurança na Internet - Conceitos fundamentaisSegurança na Internet - Conceitos fundamentais
Segurança na Internet - Conceitos fundamentaisJoão Gabriel Lima
 
10 problemas seguranca_ecommerce
10 problemas seguranca_ecommerce10 problemas seguranca_ecommerce
10 problemas seguranca_ecommerceSite Blindado S.A.
 
Apresentação sobre DDoS - Semana da Computação - Thiago Escobar
Apresentação sobre DDoS - Semana da Computação - Thiago EscobarApresentação sobre DDoS - Semana da Computação - Thiago Escobar
Apresentação sobre DDoS - Semana da Computação - Thiago EscobarThiago Escobar
 
Sistema de segurança_web
Sistema de segurança_webSistema de segurança_web
Sistema de segurança_webFavsro Fot
 
Capítulo 07 - Segurança em sistemas de informação
Capítulo 07 - Segurança em sistemas de informaçãoCapítulo 07 - Segurança em sistemas de informação
Capítulo 07 - Segurança em sistemas de informaçãoEverton Souza
 
Palestra - Visão geral da norma ANSI/ISA 99, Status da Norma e Tendências.
Palestra - Visão geral da norma ANSI/ISA 99, Status da Norma e Tendências.Palestra - Visão geral da norma ANSI/ISA 99, Status da Norma e Tendências.
Palestra - Visão geral da norma ANSI/ISA 99, Status da Norma e Tendências.TI Safe
 
manual_ufcd_1421_segurana_informatica.pdf
manual_ufcd_1421_segurana_informatica.pdfmanual_ufcd_1421_segurana_informatica.pdf
manual_ufcd_1421_segurana_informatica.pdfCarlos Gomes
 
FISL11: Protegendo webservers na intranet contra ataques Man-In-The-Middle
FISL11: Protegendo webservers na intranet contra ataques Man-In-The-MiddleFISL11: Protegendo webservers na intranet contra ataques Man-In-The-Middle
FISL11: Protegendo webservers na intranet contra ataques Man-In-The-MiddleFernando Mercês
 
Speed stream 5200
Speed stream 5200Speed stream 5200
Speed stream 5200maxytetsu
 
181554969 protecao-seguranca
181554969 protecao-seguranca181554969 protecao-seguranca
181554969 protecao-segurancaMarco Guimarães
 
Os 10 erros mais comuns de segurança na operação de um ecommerce
Os 10 erros mais comuns de segurança na operação de um ecommerceOs 10 erros mais comuns de segurança na operação de um ecommerce
Os 10 erros mais comuns de segurança na operação de um ecommerceE-Commerce Brasil
 

Semelhante a Vírus (20)

Segurança na Internet - Conceitos fundamentais
Segurança na Internet - Conceitos fundamentaisSegurança na Internet - Conceitos fundamentais
Segurança na Internet - Conceitos fundamentais
 
Como configurar uma rede sem fio
Como configurar uma rede sem fioComo configurar uma rede sem fio
Como configurar uma rede sem fio
 
10 problemas seguranca_ecommerce
10 problemas seguranca_ecommerce10 problemas seguranca_ecommerce
10 problemas seguranca_ecommerce
 
Apresentação sobre DDoS - Semana da Computação - Thiago Escobar
Apresentação sobre DDoS - Semana da Computação - Thiago EscobarApresentação sobre DDoS - Semana da Computação - Thiago Escobar
Apresentação sobre DDoS - Semana da Computação - Thiago Escobar
 
Sistema de segurança_web
Sistema de segurança_webSistema de segurança_web
Sistema de segurança_web
 
Pentest teórico
Pentest teóricoPentest teórico
Pentest teórico
 
Capítulo 07 - Segurança em sistemas de informação
Capítulo 07 - Segurança em sistemas de informaçãoCapítulo 07 - Segurança em sistemas de informação
Capítulo 07 - Segurança em sistemas de informação
 
Palestra - Visão geral da norma ANSI/ISA 99, Status da Norma e Tendências.
Palestra - Visão geral da norma ANSI/ISA 99, Status da Norma e Tendências.Palestra - Visão geral da norma ANSI/ISA 99, Status da Norma e Tendências.
Palestra - Visão geral da norma ANSI/ISA 99, Status da Norma e Tendências.
 
Internet
InternetInternet
Internet
 
manual_ufcd_1421_segurana_informatica.pdf
manual_ufcd_1421_segurana_informatica.pdfmanual_ufcd_1421_segurana_informatica.pdf
manual_ufcd_1421_segurana_informatica.pdf
 
FISL11: Protegendo webservers na intranet contra ataques Man-In-The-Middle
FISL11: Protegendo webservers na intranet contra ataques Man-In-The-MiddleFISL11: Protegendo webservers na intranet contra ataques Man-In-The-Middle
FISL11: Protegendo webservers na intranet contra ataques Man-In-The-Middle
 
Aps power point
Aps power pointAps power point
Aps power point
 
Speed stream 5200
Speed stream 5200Speed stream 5200
Speed stream 5200
 
Sophos Endpoint - Apresentação completa
Sophos Endpoint - Apresentação completaSophos Endpoint - Apresentação completa
Sophos Endpoint - Apresentação completa
 
Como funcionam as ameaças da internet e o cybercrime
Como funcionam as ameaças da internet e o cybercrimeComo funcionam as ameaças da internet e o cybercrime
Como funcionam as ameaças da internet e o cybercrime
 
DDOS
DDOSDDOS
DDOS
 
PenTest com Kali linux - VI Engitec
PenTest com Kali linux - VI EngitecPenTest com Kali linux - VI Engitec
PenTest com Kali linux - VI Engitec
 
Ataques na internet
Ataques na internetAtaques na internet
Ataques na internet
 
181554969 protecao-seguranca
181554969 protecao-seguranca181554969 protecao-seguranca
181554969 protecao-seguranca
 
Os 10 erros mais comuns de segurança na operação de um ecommerce
Os 10 erros mais comuns de segurança na operação de um ecommerceOs 10 erros mais comuns de segurança na operação de um ecommerce
Os 10 erros mais comuns de segurança na operação de um ecommerce
 

Último

Assessement Boas Praticas em Kubernetes.pdf
Assessement Boas Praticas em Kubernetes.pdfAssessement Boas Praticas em Kubernetes.pdf
Assessement Boas Praticas em Kubernetes.pdfNatalia Granato
 
ATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docx
ATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docxATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docx
ATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docx2m Assessoria
 
ATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docx
ATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docxATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docx
ATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docx2m Assessoria
 
Padrões de Projeto: Proxy e Command com exemplo
Padrões de Projeto: Proxy e Command com exemploPadrões de Projeto: Proxy e Command com exemplo
Padrões de Projeto: Proxy e Command com exemploDanilo Pinotti
 
ATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docx
ATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docxATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docx
ATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docx2m Assessoria
 
Boas práticas de programação com Object Calisthenics
Boas práticas de programação com Object CalisthenicsBoas práticas de programação com Object Calisthenics
Boas práticas de programação com Object CalisthenicsDanilo Pinotti
 

Último (6)

Assessement Boas Praticas em Kubernetes.pdf
Assessement Boas Praticas em Kubernetes.pdfAssessement Boas Praticas em Kubernetes.pdf
Assessement Boas Praticas em Kubernetes.pdf
 
ATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docx
ATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docxATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docx
ATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docx
 
ATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docx
ATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docxATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docx
ATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docx
 
Padrões de Projeto: Proxy e Command com exemplo
Padrões de Projeto: Proxy e Command com exemploPadrões de Projeto: Proxy e Command com exemplo
Padrões de Projeto: Proxy e Command com exemplo
 
ATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docx
ATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docxATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docx
ATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docx
 
Boas práticas de programação com Object Calisthenics
Boas práticas de programação com Object CalisthenicsBoas práticas de programação com Object Calisthenics
Boas práticas de programação com Object Calisthenics
 

Vírus

  • 3. Dica de hoje Criminosos alteram DNS de modems usando falha para realizar fraudes
  • 4. Alguns criminosos brasileiros têm preferido atacar modems e roteadores em vez de infectar diretamente o sistema operacional do internauta. Eles fazem isso por meio de uma falha de segurança presente em alguns modelos de modems ADSL, alteram o servidor DNS e depois redirecionam os sites alvo, como os bancos ou grandes portais. Atacar dispositivos de rede como modems, roteadores e gateways não é algo novo no mundo da segurança. Existem centenas de exploits e backdoors que permitem a um atacante acessar esses dispositivos remotamente, alterar a configuração ou ter total controle sobre o equipamento – se ele estiver mal configurado ou vulnerável com uma falha de programação. Isso porque geralmente esses exploits abusam de falhas de segurança presentes no firmware1 do equipamento, o que lhes permite ter acesso ao painel de administração. Ali os criminosos podem mudar toda a configuração do equipamento, ver a estrutura da rede conectada ao dispositivo, entre outros. No Brasil, isso tem sido usado para invadir modems e alterar os servidores DNS, que estão normalmente configurados para o provedor, para um sistema controlado pelos criminosos. Desde meados do ano passado temos presenciado muitos desses ataques no Brasil. No fórum da Linha Defensiva existe um tópico sobre o assunto, no qual diversos usuários, clientes dos maiores provedores de internet no país, relataram sofrer redirecionamentos. Cibercriminosos brasileiros comprometeram modems ADSL pelo país, numa onde ataques regulares, silenciosos e efetivos, com o objetivo de instalar malware nas máquinas ou direcionar as vítimas para sites falsos. Como funcionam os ataques Se um modem ADSL está exposto na internet e usa a senha padrão, não é difícil ele ser atacado e os servidores DNSs do equipamento trocados. Como os números IP são em ordem numérica, os criminosos brasileiros estão utilizando scripts automatizados que varrem os endereços IP, sequencialmente, buscando um equipamento vulnerável e exposto. A Linha Defensiva tem observado vítimas entre os mais diferentes provedores de internet, desde grandes até pequenos – isso não é exclusividade de um ou de outro.
  • 5.
  • 6. Trocar a senha, no entanto, não impede o ataque em alguns modems. Certos aparelhos possuem uma brecha que permite descobrir a senha remotamente – e os criminosos brasileiros tem tirado proveito disso também. Logo após ter acesso, o criminoso irá alterar os servidores DNS e a senha do equipamento. Se o usuário tentar acessar o painel de administração do modem, não irá conseguir. Nos casos analisados e reportados por alguns usuários, as senhas usadas pelos criminosos geralmente tem sido “dnschange”, “dn5ch4ng3” ou “ch4ng3dn5, por exemplo. Para saber se o modem que você usa é vulnerável, basta tentar acessar o arquivo “password.cgi” no modem. Se o acesso funcionar, o modem provavelmente é vulnerável, porque a senha estará revelada no código fonte da página. Um exploitespecífico, tornado público em março de 2011, consegue explorar esse problema. Entre os modems confirmados com a falha estão o 500B e o 2640B da D-Link, mas outros fabricantes como Comtrend e Intelbrás também tem modelos afetados. O problema existe no chipset da Broadcom, que é usado por vários fabricantes.
  • 7. Sintomas: como saber se fui atacado? É preciso verificar a configuração de DNS do roteador para ter certeza, mas normalmente há alguns sintomas visíveis. Nos primeiros ataques registrados os usuários eram direcionados pelo DNS malicioso configurado no equipamento para uma página maliciosa oferecendo um suposto “Google Defence”:
  • 8. Algumas vezes, por problema de sobrecarga nos servidores de DNS maliciosos as vitimas viam uma página de hospedagem ao tentar acessar portais web populares:
  • 9. Nos piores ataques os usuários estão sendo direcionados para páginas falsas de banco, nas quais as credencias são roubadas. Há também relatos de páginas falsas de serviços de webmail como Gmail, Hotmail, e outros. Nos ataques monitorados pela Linha Defensiva observou-se que vários modems ADLS comprometidos direcionavam para páginas falsas de banco em apenas alguns horários do dia, para não levantar suspeita do usuário. Lembre-se: com os servidores DNS alterados no seu modem todo o trafego de internet do seu computador pode ser monitorado. Como se Proteger dos ataques? Existe um procedimento bastante simples que permite saber se seu modem ADSL está vulnerável e suscetível a ataques: Descubra o IP que seu modem está usando. Isso pode ser feito por meio da configuração de “Gateway” na sua configuração de rede e, em alguns casos, o IP externo também funciona. Você pode descobri-lo visitando sites como ohttp://www.omeuip.com Abra seu navegador e digite na barra de endereço: http://[ip do seu modem]/password.cgi Verifique o código fonte da página que será exibida. Se seu modem estiver vulnerável você verá a senha do equipamento. Caso seu modem esteja vulnerável ou não, é necessário tomar alguma atitude: Atualize o firmware do seu modem. Geralmente no site da fabricante você verá o download disponível gratuitamente conforme o modelo. Porém para fazê-lo é necessário extremo cuidado, pois uma atualização problemática pode fazer o equipamento parar de funcionar. Se não souber como fazer, não faça! Solicite ajuda ao seu provedor de internet. Outra possibilidade é usar o modem no modo Bridge Force o uso de servidores DNS alternativos (como o Google DNS ou o OpenDNS) diretamente nas configurações da placa de rede (no sistema operacional). Configure seu modem do modo correto: desative serviços como o acesso HTTP através da porta WAN, configure uma senha de acesso ao painel de configuração, troque as senhas padrões e portas padrões . Se nada disso resolver, solicite ao seu provedor de internet a troca do modem por outro modelo. Verifique a presença e a autencidade dos certificados de segurança presente em conexões HTTPS. Várias páginas falsas não os exibem. Firmware é o conjunto de instruções operacionais programadas diretamente no hardware de um equipamento eletrônico. É armazenado permanentemente num circuito integrado de memória de hardware.