O que é o DNS Poisoning?
O envenenamento por DNS é um termo genérico que se refere a qualquer ataque que comprometa a integridade do Sistema de Nomes de Domínio (DNS), de modo a reencaminhar os utilizadores para websites nocivos. Pense no DNS como a lista telefónica da Internet; traduz nomes de domínio legíveis por humanos como http://www.ovhcloud.com/ para endereços IP de leitura automática que os computadores utilizam para localizar websites.
Quando os DNS são envenenados, esta lista telefónica é adulterada, levando os utilizadores a falsos websites que imitam os legítimos.
Esses sites falsos podem então ser usados para roubar informações confidenciais, como credenciais de login ou dados de cartão de crédito, ou instalar malware em dispositivos de vítimas desprevenidas. Essencialmente, o envenenamento por DNS engana seu computador para que ele vá para o local on-line errado, arriscando seus dados e privacidade.
Isto pode ser conseguido manipulando os ficheiros do host, onde o atacante altera ficheiros do host no dispositivo de um utilizador para resolver um nome de domínio para os endereços IP incorretos. Os servidores DNS piratas são também um culpado, uma vez que os atacantes configuram servidores DNS maliciosos e levam os clientes a utilizá-los.
O que é o Cache Poisoning?
Sempre que pretender visitar um website, o seu computador pede a uma resolução de DNS - um servidor especial que funciona como um bibliotecário - que procure o endereço IP correto para a localização do alojamento web. Para acelerar as coisas, este bibliotecário mantém um registo de números recentemente pesquisados na sua "cache", para que não tenham que procurar em toda a lista telefónica todas as vezes.
O Cache Poisoning de DNS explora este atalho. Um atacante tenta levar a resolução de DNS a associar um número errado com um nome legítimo, tal como listar um endereço falso para o Web site do seu banco.
Após o ataque, os pedidos efetuados ao servidor de cache DNS reencaminham o pedido para uma entrada incorreta. Esta entrada "envenenada" permanece na cache por algum tempo, potencialmente enganando vários usuários até que seja limpa ou atualizada.
Como funciona a Cache DNS?
A cache DNS é um mecanismo que melhora a eficácia e a velocidade da resolução de nomes de domínio. Quando um dispositivo do utilizador necessita de aceder a um website, o sistema operativo ou a aplicação inicia uma consulta do DNS para resolver o nome do domínio num endereço IP.
Geralmente, esta consulta é enviada para uma resolução de DNS recursiva, frequentemente operada por um fornecedor de serviços Internet ou um fornecedor de DNS dedicado.
O endereço IP correspondente será armazenado na sua cache se a resolução já tiver resolvido o mesmo nome de domínio. A resolução enviará imediatamente o endereço IP a partir da respetiva cache, eliminando a necessidade de consultar servidores de nomes autoritários. Este processo reduz significativamente a latência e melhora os tempos de carregamento dos websites para os utilizadores.
Entretanto, suponha que o resolvedor não tenha o nome de domínio solicitado em seu cache. Nesse caso, ele iniciará uma série de consultas a servidores de nomes autoritários para obter o endereço IP correto. A cache DNS resolve os nomes de domínio primários e os subdomínios DNS, garantindo assim um acesso mais rápido aos conteúdos específicos dos subdomínios.
Esse processo envolve consultas a servidores raiz, servidores de domínio de nível superior (TLD) e servidores de nomes autoritários para o domínio específico. Depois de o resolvedor receber o endereço IP, armazena-o na sua cache para utilização futura e devolve-o ao dispositivo requerente.
Como É Que Os Atacantes Fazem O Envenenamento Da Cache De DNS?
Geralmente, os atacantes utilizam técnicas que exploram a falta de verificação de autenticação e integridade nos DNS tradicionais. Segue-se uma repartição do processo de ataque DNS:
Explorar as condições preditivas e raciais: Frequentemente, os atacantes iniciam um grande volume de pedidos de DNS para um domínio direcionado, para uma resolução de DNS vulnerável. Simultaneamente, enviam uma resposta DNS falsa contendo um endereço IP malicioso, esperando que chegue antes da resposta legítima do servidor de nomes autoritário. Isso explora o comportamento preditivo do resolvedor e cria uma condição de corrida.
Ataques "Man-in-the-middle": Os atacantes podem posicionar-se entre um utilizador e uma resolução DNS, intercetando e manipulando as consultas e respostas DNS. Ao falsificar as suas respostas, podem reencaminhar os utilizadores para websites maliciosos sem o seu conhecimento. Isto pode ser conseguido através de spoofing ARP ou do comprometimento da infraestrutura de rede.
Compromisso dos servidores de nomes autoritários: Em alguns casos, os atacantes podem obter acesso não autorizado aos servidores de nomes autoritários de um domínio. Isto permite-lhes modificar diretamente os registos DNS, envenenando assim todo o sistema DNS desse domínio.
Note-se igualmente que alguns resolvedores DNS estão configurados como "resolvedores abertos", o que significa que aceitam e processam pedidos DNS a partir de qualquer fonte na Internet. Os atacantes podem explorar estes resolvedores abertos para amplificar os seus ataques ou para envenenar as caches de outros resolvedores que dependem deles.
Como detetar, prevenir e corrigir o DNS Poisoning?
O envenenamento por DNS pode ser difícil de detetar, mas algumas bandeiras vermelhas podem indicar um problema em potencial. Um reencaminhamento inesperado para um website que parece diferente pode ser um sinal de envenenamento por DNS ou pode pedir credenciais de login quando não deveria.
Outros indicadores incluem discrepâncias nos certificados de segurança, endereços de websites incomuns ou dificuldades de acesso a websites que estavam anteriormente acessíveis. A prevenção do envenenamento por DNS requer uma abordagem multifacetada:
1. Implementar extensões de segurança DNS (DNSSEC): O DNSSEC adiciona uma camada de autenticação às entradas do DNS, dificultando consideravelmente a injeção de informações falsas por parte dos hackers. Utiliza assinaturas digitais para verificar a autenticidade dos dados DNS, assegurando que as informações recebidas pelos resolvedores são genuínas.
2. Utilizar resolvedores DNS seguros: Opte por resolvedores DNS fiáveis de organizações de confiança como o Google Public DNS ou o Cloudflare. Estes solucionadores recorrem frequentemente a medidas de segurança para mitigar os ataques de envenenamento por DNS.
3. Atualização regular dos softwares DNS: Mantenha atualizado o sistema operativo, o browser e o software do servidor DNS. As atualizações de software incluem frequentemente correções de segurança destinadas a corrigir vulnerabilidades conhecidas exploradas pelos atacantes.
4. Seguimento da atividade DNS: Implementar ferramentas de monitorização da rede para controlar as consultas e respostas DNS. Isto pode ajudar a identificar padrões invulgares ou atividades suspeitas que possam indicar um ataque.
5. Educar os utilizadores: Treine os utilizadores a reconhecer potenciais sinais de envenenamento por DNS, como reencaminhamentos inesperados de websites ou pedidos de informações sensíveis. Incentivá-los a assinalar qualquer atividade suspeita.
Se suspeitar de envenenamento da sua rede DNS, siga os seguintes passos para solucionar o problema. Quanto mais rápida for a resolução, melhor para a sua empresa e para os seus clientes:
- Alinhar a cache DNS: A limpeza da cache DNS remove quaisquer registos potencialmente corrompidos. Isso pode ser feito através de ferramentas de linha de comando ou reiniciando seu roteador e dispositivos.
- Alteração do servidor DNS: Migrar para uma resolução de DNS diferente e mais segura.
- Investigar e mitigar a fonte: Se o envenenamento tiver origem na sua rede, identifique o dispositivo ou servidor comprometido e tome as medidas apropriadas para remover o software ou a configuração maliciosa.
Qual é a diferença entre o spoofing de DNS e o envenenamento de DNS?
Embora os termos sejam frequentemente usados de forma intercambiável, há uma distinção subtil entre spoofing DNS e envenenamento DNS. A usurpação de DNS é um termo mais amplo que engloba qualquer ataque que tenha como objetivo falsificar dados DNS, incluindo a alteração de registos DNS para redirecionar os usuários para sites maliciosos.
O envenenamento por DNS, ou cache poisoning, é um tipo específico de spoofing DNS que se concentra em corromper os registos DNS em cache num resolvedor DNS.
O envenenamento por DNS é um dos métodos utilizados para obter spoofing de DNS, mas outras técnicas, como ataques "man-in-the-middle" ou servidores de nomes autorizados comprometedores, também se enquadram no conceito de spoofing de DNS.
OVHcloud e DNSSEC
O DNSSEC da OVHcloud é a forma perfeita de melhorar a segurança do seu domínio. O DNSSEC, ou Domain Name System Security Extensions, é um conjunto de especificações que acrescenta uma camada de segurança adicional ao Domain Name System (DNS).
O DNSSEC utiliza assinaturas digitais para verificar a autenticidade dos dados DNS. Quando o computador de um utilizador pede o endereço IP do seu domínio, o DNSSEC da OVHcloud verifica que a resposta é proveniente de um servidor DNS autorizado e que os dados não foram adulterados. As vantagens do DNSSEC da OVHcloud incluem:
- Segurança Reforçada Proteja o seu website e os seus utilizadores de ataques baseados em DNS.
- Fiabilidade melhorada: Mostre aos seus clientes que leva a segurança deles muito a sério.
- Fácil de ativar: Ative o DNSSEC com um simples clique na Área de Cliente OVHcloud.
