Ir ao conteúdo
  • Cadastre-se

nitroglico

Membro Júnior
  • Posts

    1
  • Cadastrado em

  • Última visita

Reputação

0
  1. Assinei recentemente o net virtua, e vinha usando normalmente até que percebi algo estranho: Ao digitar na linha de comando: nslookup www.google.com.br percebi que o ip retornado pelo DNS não era o IP público do Google, mas um ip da rede INTERNA da NET. Então tive a ideia de configurar o roteador para usar os DNS da OPENDNS (208.67.222.222) Para meu espanto, ao digitar o comando nslookup www.google.com.br usando o servidor acima, o valor retornado ainda eram os mesmos!! Então percebi que Isto acontece para diversos outros domínios, todos eles apontam para IPs da rede interna da net!: www.msftncsi.com fonts.gstatic.com goo.gl s-v6exp1-ds.metric.gstatic.com a1961.g.akamai.net a1872.g.akamai.net partnerad.l.doubleclick.net static.ak.facebook.com static.ak.facebook.com.edgesuite.ne a749.dsw4.akamai.net a749.dsw4.akamai.net r1.sn-oxunxg8pjvn-cnce.googlevideo.com r2.sn-oxunxg8pjvn-cnce.googlevideo.com r3.sn-oxunxg8pjvn-cnce.googlevideo.com r4.sn-oxunxg8pjvn-cnce.googlevideo.com r5.sn-oxunxg8pjvn-cnce.googlevideo.com r8.sn-oxunxg8pjvn-cnce.googlevideo.com r9.sn-oxunxg8pjvn-cnce.googlevideo.com personal.avira-update.com personal.avira-cdn.com avira-update.com.edgesuite.net a1949.g.akamai.net a1949.g.akamai.net safebrowsing-cache.google.com safebrowsing.cache.l.google.com ssl.gstatic.com apis.google.com plus.l.google.com clients2.google.com clients1.google.com clients.l.google.com safebrowsing.google.com sb.l.google.com www.google.com.br google.com.br www.google.com.br www.google.com.br www.google.com google.com www.brasouza.com.br www.youtube.com.br www.youtube.com.br youtube.com.br www.youtube.com s.youtube.com a1158.b.akamai.net a1158.b.akamai.net www.gstatic.com gstatic.com youtube-ui.l.google.com youtube-ui.l.google.com youtube-ui.l.google.com youtube-ui.l.google.com youtube-ui.l.google.com youtube-ui.l.google.com youtube-ui.l.google.com youtube-ui.l.google.com youtube-ui.l.google.com youtube-ui.l.google.com youtube-ui.l.google.com Em todos estes domínios, eram retornados ips (189.6.76.x); Repare como até mesmo endereços de atualização de antivirus, e do windows estão na lista! Eu desconfiava que estava sofrendo um ataque de DNS POISONING, e MAN IN THE MIDDLE, e por isso mesmo Liguei para o 10621 e pedi para falar com um técnico, o qual para meu espanto, assegurou que isto tudo é absolutamente normal e ainda me perguntou se isto estava atrapalhando a minha 'navegação'. Respondi que não, mas que ao contratar um serviço de acesso a internet eu gostaria que ao digitar google.com, eu tivesse acesso ao ip do google.com e não um outro servidor!! Ele me respondeu que neste caso eu teria que assinar um plano empresarial!! Eu agradeci o atendimento e 'deixei para lá', afinal de contas o que mais eu poderia fazer? O que ainda me causava muita estranheze é eles alterarem um valor legítimo retornado por um servidor da opendns.. Porque forçar a usar o dns da net? PARA PIORAR A SITUAÇÃO: Ao procurar ler sobre o assunto na internet, descobri que existem diversos casos de fraudes envolvendo o DNS na rede do virtua; Por exemplo, casos onde a pessoa digita www.bb.com.br (site do banco do brasil) e acessa um servidor falso que rouba as credenciais da vítima! Existem centenas de casos de fraude envolvendo este DNS poisoning na rede do virtua; Alguns ficaram famosos e saíram até na imprensa de outros países! Vejamos um exemplo: DNS Poisoning Attack Against Major Brazilian ISP Banking Trojan served through fake Google Ads The broadband Internet service of NET Serviços de Comunicação (NET Communications Services), called NET Vírtua, was the target of unnamed attackers earlier this month. According to Brazilian media outlet Globo.com, NET's DNS cache has been poisoned to serve a banking trojan to Virtua costumers, as well as to hijack their online banking details. NET Vírtua reported a number of over two million customers on the Brazilian market during the last trimester of 2008. The company plans to introduce broadband connection at speeds of 60 Mbps across Brazil during this year. A company spokesperson told Globo that 1% of its customer base was affected by this attack. The Domain Name System (DNS) is one of the vital components of the Internet. It is responsible for resolving domain names into IP addresses. DNS servers worldwide communicate with each other in order to keep DNS records in sync, ensuring that changes made to them propagate across the entire Internet. In order to decrease the bandwidth load, DNS servers maintain a cache of records, which they serve to the clients querying them. Due to an underlying flaw in the architecture of DNS discovered by security researcher Dan Kaminsky, it is possible for an attacker to inject fake records into the cache of a DNS server. This technique is called DNS poisoning and can facilitate highly complex attacks. According to the available information, in the NET Vírtua incident, the attackers hijacked two DNS records: one for the domain name used to serve advertisements from Google AdSense, and one for the domain name of Bradesco, one of the largest Brazilian financial institutions. By changing the corresponding IP address, attackers forced websites that were loading ads from Google to unknowingly serve a banking trojan to their visitors instead. Meanwhile, Bradesco customers attempting to reach the company's website were being directed to a cloned version, which was instructing them to input their banking details. The attack reportedly lasted for about four hours, but it is yet unclear how many users actually fell victims to it. Ronaldo Castro de Vasconcellos, a Brazilian IT security professional who monitored the attack, told Security Fix that the server hosting the cloned Bradesco page was located in South Korea. A similar subtle attack targeted one of the biggest ISPs in China, during August last year. In that incident, customers of China Netcom who were typing any inexistent domain name into their address bars were being directed to a malicious Web page that was loading various exploits. More recently, the DNS records of CheckFree, a large online bill-payment service, have been hijacked and set to direct users to a malware-distribution service. The attack has allegedly affected an estimated 160,000 CheckFree customers, but has been the result of the domain account password being stolen. Por favor, quem tem o virtua faça o teste e digite nslookup www.google.com.br no prompt de comando e cole o resultado aqui, para compararmos; Um forte abraço!

Sobre o Clube do Hardware

No ar desde 1996, o Clube do Hardware é uma das maiores, mais antigas e mais respeitadas comunidades sobre tecnologia do Brasil. Leia mais

Direitos autorais

Não permitimos a cópia ou reprodução do conteúdo do nosso site, fórum, newsletters e redes sociais, mesmo citando-se a fonte. Leia mais

×
×
  • Criar novo...