Entenda como um ataque aos servidores DNS atingiu o Google

Na terça-feira passada, dia 3de janeiro, muitos usuários brasileiros foram
surpreendidos ao tentar acessar a página do Google, pois em vez da
clássica tela de buscas encontravam uma imagem de um desenho japonês e
algumas frases em inglês. A princípio, muitos pensaram se tratar de um
ataque do tipo defacement, em que um atacante consegue acessar o servidor no qual a página está hospedada e modificar o site, inserindo imagens e frases.

Na
verdade, não houve um ataque diretamente à página do Google, o que
aconteceu foi um ataque aos servidores DNS (Domain Name System ou
Sistema de Nomes de Domínios) responsáveis pela resolução do nome de
domínio google.com.br, fazendo com que as consultas ao endereço do
Google fossem direcionadas para um servidor controlado pelo hacker que
hospedava a página com a imagem. Vale ressaltar que o Google não
administra estes servidores DNS, pois tem uma empresa terceira
responsável por essa atividade.

Apenas o domínio do
Google Brasil (google.com.br) foi afetado e, consequentemente, só os
usuários brasileiros notaram o problema.

Apesar
desse tipo de ataque ter como objetivo veicular mensagens dos mais
variados tipos como ativismo, posições políticas e protestos, desta vez,
nenhuma mensagem foi propagada. Acredita-se que o propósito do ataque
foi a autopromoção do hacker, que buscava por reconhecimento e fama.

Ainda
não foi identificado exatamente como o hacker conseguiu acesso aos
servidores DNS, mas uma das hipóteses levantadas é que o servidor
hospedava algum outro serviço, como uma página web de administração que
poderia ter alguma vulnerabilidade que foi percebida pelo hacker. Desta
forma, o atacante teria modificado os registros do Google para apontar
ao endereço IP de um servidor malicioso.

Para
entender melhor, os seguintes passos mostram de uma maneira
simplificada como o usuário acessa a página falsa após o comprometimento
do servidor DNS (os endereços IPs utilizados são fictícios – veja diagrama abaixo).

1. O usuário acessa ao www.google.com.br.

2. O
computador do usuário faz uma conexão aos servidores DNS responsáveis
pelo domínio Google para descobrir o endereço IP da página do Google.

3. O
servidor DNS comprometido retorna ao usuário o IP do servidor web
controlado pelo hacker ao invés do IP do servidor verdadeiro do Google.

4. O usuário efetua a conexão com o servidor falso – controlado pelo hacker – e visualiza a página alterada.

Prevenção
Como
ainda não foi divulgada a real causa do ataque, é difícil afirmar com
exatidão o que poderia ter sido feito para evitar o problema, mas
tomando como base que o servidor DNS foi comprometido por um serviço
vulnerável e que estava em execução, o ataque poderia ter sido evitado,
se as seguintes medidas tivessem sido tomadas:

· Redução da superfície de ataque no servidor, removendo qualquer serviço que não seja necessário à função primária;

· Aplicação de patches no sistema operacional e aplicação do servidor;

· Análise de vulnerabilidades na aplicação, como SQL Injection;

· Execução de pen test no servidor.

O
Google não é responsável pelo serviço de DNS e subcontrata empresas
para gerenciar seu endereço no Brasil. Uma consulta no Registro.br pelo
domínio google.com.br revela que houve uma alteração no registro de seu
domínio nesta terça-feira (3). É possível que essa alteração tenha sido
realizada para desfazer uma anterior, sendo a do atacante. 

Vale
ressaltar a importância de garantir a segurança de servidores DNS, pois
pode tornar toda a infraestrutura de uma empresa indisponível, causando
danos também aos usuários.

(*) Carlos Guerreiro é especialista em segurança do Managed Security Services (MSS) da Cipher