Neste artigo iremos apresentar os riscos e possíveis problemas que um usuário pode ter utilizando dispositivos com configurações padrão de fábrica. Para fins de demonstração, iremos focar nos roteadores da Cisco, modelo LinkSys.

Gostaríamos de informar que as informações aqui contidas são de caráter didático, e não nos responsabilizamos pelo mau uso delas.

A história

Assim como todo analista de Segurança da Informação com a curiosidade aguçada, resolvemos investigar mais sobre o endereço IP daquele dado website ao navegarmos em um fórum.

Inicialmente utilizamos a ferramenta Shodan (shodan.io), mecanismo de busca, para localizar aparelhos conectados à internet, identificar portas abertas e serviços ativos.

Repetimos o processo, porém dessa vez com a ferramenta Censys (censys.io), com a qual foi possível obter mais informações sobre os serviços ativos.

No momento da análise, algo nos chamou a atenção: ‘Linksys Smart Wi-fi’ e ‘lighttpd’.

Como um servidor web estava ativo na porta 80, resolvemos navegar na página para obter mais informações. A primeira coisa que nos veio à mente foi: “testar senhas padrão”. Logo, fizemos um teste com a senha mais básica de todas e, sem muitas expectativas, digitamos “admin”. O resultado?

Obtivemos acesso ao roteador.

Efetuamos, então, uma pesquisa utilizando as seguintes palavras “cisco linksys” e, para nossa surpresa, foram encontrados milhares de roteadores na internet. Após realizarmos uma validação, identificamos que muitos deles também possuíam configurações padrão.

O fato de não alterar determinadas configurações de fábrica representa um problema grave de segurança da informação, pois abre um leque grande de opções de ataques.

Alguns desses ataques envolvem a perda de acesso ao roteador (caso o atacante altere a senha), alteração de configurações que impossibilitarão usuários de acessarem a rede (mudança da senha do wi-fi, adição de MAC addresses na black list do roteador, etc.), chegando até ao ponto de envenenamento de DNS.

A seguir trataremos sobre o caso que consideramos ser o mais sério: o envenenamento de DNS. Primeiramente devemos entender a definição de DNS.

O que é um servidor DNS?

Os sistemas de nomes de domínio (ou DNS, sua sigla em inglês) é o que nos permite definir o nome de uma página web pelo endereço de IP. No entanto, os usuários acabam não lembrando da sequência de números que formam um IP (ou número e letras em IPV6) e podemos acessar, por exemplo, uma página como “www.facebook.com” digitando da mesma forma que aparece em nosso navegador, no lugar de escrever “31.13.92.36”.

A tarefa de definir qual é o nome entendível para os usuários em um endereço IP pertence aos servidores DNS, que se baseiam em uma base de dados distribuída e hierárquica que armazena o endereço IP correspondente para cada nome do domínio, entre outras funções. Dessa forma, é mais fácil lembrar dos endereços web, até pelo simples motivo que o endereço IP pode chegar a ser alterado por várias razões.

Conhecendo a importância desses servidores, eles se tornam um alvo muito visado que resulta em muitos ataques desse tipo, nos quais atacantes se aproveitam dessas vulnerabilidades existentes nesses servidores ou roteadores.

DNS Envenenado X Envenenamento do cache DNS

Quase sempre interpretados como se fossem o mesmo tipo de ataque, tecnicamente existem várias diferenças entre os dois. Em linhas gerais, podemos dizer que o envenenamento do cache DNS é uma das diversas formas de se obter um DNS Envenenado (que se refere a grande variedade de ataques existentes que tentam substituir as informações armazenadas nos servidores DNS).

O DNS Envenenado representa o objetivo final do ataque (conseguir modificar os registros que são armazenados no servidor DNS, conforme for decido pelo atacante), no qual são utilizados diferentes mecanismos. Entre eles, encontramos o Envenenamento do cache DNS, além de ataques Man-In-The-Middle, uso de estações base falsas ou até mesmo o comprometimento da segurança de um servidor DNS.

Também é possível ver como se faz referência ao envenenamento do cache DNS quando falamos de ataques orientados ao usuário. Um exemplo disso seria a representação do endereço dos servidores DNS configurados em nosso sistema operacional ou roteador. O normal é que seja introduzido o endereço DNS do nosso provedor de Internet ou outros como os do Google. Podemos ver a seguir um exemplo ilustrativo desse tipo de ataque:

Conclusão

Os riscos apresentados neste artigo deixam bem claro o quão perigoso é a não alteração das configurações iniciais do roteador, possibilitando até que um atacante envenene a tabela de DNS do roteador levando a possíveis perdas de credenciais de diversos serviços (e-mails, redes sociais, internet bankings, entre outros), consequentemente possibilitando que transações de Internet banking sejam efetuadas por pessoas não autorizadas, acarretando em perda de dinheiro e dores de cabeças, por exemplo.

Então é de extrema importância que:

• Sejam alteradas as senhas padrões;
• Seja efetuada a atualização do firmware com o objetivo de mitigar possíveis ataques;
• Manter-se atualizado quanto as boas práticas de segurança da informação.

Para perguntas, críticas e sugestões podem entrar em contato conosco e até uma próxima.