Hackers poison DNS
Diverted to hell
By Nick Farrell
Monday 07 March 2005, 08:01

HACKERS HAVE found a way of diverting interweb punters from famous websites to dodgy URLs where they plied with spy and adware.
Security outfit, The Internet Storm Centre, posted a warning about “DNS cache poisoning” on its website on Friday.
It said that it had reports that this particular attack was redirecting traffic from google.com, ebay.com, and weather.com.
Basically the hackers are attacking a domain name server and poisoning the cache by planting counterfeit data in the cache of the name server.
(…)
The Inquirer (ler notícia completa)

Nos últimos dias, foram detectados comportamentos estranhos no acesso a alguns dos blogs portugueses mais conhecidos. Como se vê pela data do extracto da notícia acima (07.03.05), este “fenómeno” não é novo nem exclusivo daqueles endereços mais “mediáticos”, por assim dizer; diversos blogs, nacionais e estrangeiros, sofreram o mesmo tipo de ataque e viram também os seus conteúdos ser substituídos por outros, de forma mais ou menos prolongada, mais ou menos destrutiva.

Existem diversas organizações que se dedicam à defesa da segurança na Internet, e em especial quanto àquilo que diz respeito aos chamados “hackers“. Uma dessas organizações é a Honeynet, da qual existe um ramo português, e que se dedica à monotorização das actividades da pirataria informática ou cibernética, providenciando ao utilizador comum algumas ferramentas de detecção e de protecção.

O que sucedeu recentemente com o blog Abrupto, à semelhança dos outros casos, poderá ter sido, com maior probabilidade, uma de duas coisas: ou houve manipulação de DNS(*), como referido na notícia, ou os dados de identificação do(s) detentor(es) do(s) blog(s) foram detectados remotamente. Para eliminar uma delas, seria necessário estarmos em presença (sincronicamente) da versão pirateada do blog. Poderia também ajudar alguma coisa saber quais os períodos em que esteve on-line a página pirateada e se, nesses períodos, os acessos iriam todos dar a esta, ou se alguns acederiam à página/endereço original.

Pela experiência recente verificada no nosso domínio (cedilha.com), para não ir mais longe, e embora se trate de “acidentes” de características diferentes, dispondo daqueles dados poder-se-ia concluir muita coisa e mesmo, se calhar, isolar o problema (e, no limite, a sua fonte); o empastelamento de DNS poderá ter sido efectuado em apenas alguns servidores e, nesse caso, não tendo havido um registo abusivo de domínio, com a respectiva propagação (altamente improvável), seria possível detectar os canais de acesso seguro… bem como os outros, onde residiria o problema. Ou ainda montar um esquema de acesso alternativo e de recurso como, por exemplo, utilizando o Anonymouse, um “mirror site”, redireccionamento alternativo, etc.

Hoje em dia, existem ferramentas terrivelmente eficazes fabricadas por e destinadas a piratas informáticos. Há programas específicos para detectar e gravar remotamente qualquer “password”, número de cartão de crédito ou de conta bancária (keyboard recording). Não existe nenhum sistema pessoal absolutamente impenetrável ou 100% seguro (com o back orifice, por exemplo).

Todo o cuidado é pouco, portanto; aprender algumas regras de segurança básicas - aliás, como na vida real - e investir em ferramentas adequadas de defesa (pessoal) torna-se cada vez mais indispensável para a sobrevivência neste submundo em que se vai transformando a World Wide Web.

(*) Dynamic DNS Client, por exemplo, é uma forma legal de baralhar e tornar a dar endereços. Serve como ilustração daquilo que se poderá fazer por meios menos legais.

Para quem quiser saber, de forma simples e nada técnica, o que é e para que serve o DNS cache poisoning, deve ler este artigo de James Turnbull, no Ablog.