Envenenamento de DNS por chips Broadcom
Por Lucas Rossi Araujo | 23/10/2012 | TecnologiaHoje existem diversas possibilidades de proteção e ataques aos computadores e servidores presentes no nosso dia a dia. Com a evolução da tecnologia existe também a progressão e os avanços nos investimentos dos órgãos e também dos usuários domésticos na parte de segurança da tecnologia, pois, obviamente, ninguém quer perder seus dados gravados no computador. Uma das formas existentes hoje muito utilizada para abrir caminho ao hacker e deixa-lo entrar no computador e pegar informações, roubar senhas bancárias ou até utilizar o micro como uma ponte de ataque é o chamado DNS Poisoning (envenenamento de DNS).
Este, por sua vez, ocorre quando o DNS padrão do site (domínio) é modificado e o computador ao acessá-lo entra na verdade em um local pré-determinado pela pessoa mal intencionada que modificou o DNS, podem ser sites totalmente diferentes daqueles pretendidos, ou, na maioria das vezes, em um clone do site no qual se espera entrar. O método mais utilizado é o de bancos, o hacker clona o site do banco e instala no DNS modificado, o usuário entra no site e não vai notar diferença então, ao digitar sua agência, conta e senha, as informações são diretamente passadas para quem está por trás do envenenamento, ficando suscetível também a sites de compra, onde muitos usuários hoje efetuam compras online com os dados do cartão de crédito.
O envenenamento de DNS nesse caso do chip Broadcom ocorre por um problema que vem de fábrica nos chipsets instalados em alguns modens comercializados, como da Motorola, D-Link, Huawei entre outros, só no ano passado (2011) ocorreram mais de 4,5 milhões de quebra de segurança só no Brasil, utilizando essa técnica através da falha de segurança nos modens. O fato veio à tona quando Fabio Assolini, analista de malware da empresa Kaspersky, apresentou durante a conferência Virus Bulletin, nos EUA, o relatório dessas infecções no Brasil, posteriormente, o CERT (Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança) confirmou os números e ainda acrescentou que cerca de 300mil infectados no ano passado continuavam ainda esse ano com o problema.
Tudo ocorre, pois o chipset possui uma falha de segurança que permite a um usuário acessar suas configurações sem login e senhas adequados, ou seja, a pessoa que efetua a infecção não precisa saber sua senha para entrar no modem. Após esse passo é feita uma modificação do DNS padrão para um DNS infectado que vai redirecionar os sites acessados para outros com vírus, quando o usuário digita o nome do site legítimo ele entra em um site que tem a mesma interface e o ‘mesmo endereço’ pois o DNS faz com que ele permaneça no site, e instala na máquina do usuário keyloggers, malwares, trojans, quaisquer vírus que ela colocou no DNS, podendo pegar senhas, históricos, contatos e propaga essa infecção pela internet.
Para solucionar o problema a própria Broadcom lançou uma atualização disponibilizada no site de cada uma das utilizadoras do seu chipset, a fim de atualizar o firmware do modem e não permitir mais que essa falha fique disponível, entretanto, os usuários dificilmente fazem esse tipo de atualização e, para completar, a Anatel não fiscaliza nem testa a segurança dos dispositivos que homologa, facilitando esses erros de ser decorrentes, não suficiente, as provedoras de conexão (Vírtua, Oi, Gvt...) continuam a fornecer modens antigos e defasados no mercado contribuindo ainda mais para que problemas com hardwares antigos ocorram.