Sites que infectam roteadores

Visão geral da seção: Nesta seção, o apresentador fala sobre como sites podem infectar roteadores e modems de provedores de internet. Ele menciona um caso específico envolvendo um site brasileiro popular chamado "O Fuxico".

O caso do site "O Fuxico"

• O site "O Fuxico" é um site legítimo de notícias de celebridades e fofocas.

• Um estudo revelou que o site estava infectando os roteadores dos visitantes sem que eles soubessem.

• Isso ocorreu porque a rede de anúncios usada pelo site permitia aos anunciantes inserir qualquer conteúdo dentro desses anúncios, incluindo malware.

• A vítima não precisava fazer nenhum download ou executar algum vírus para ter seu roteador comprometido.

Como ocorre a infecção

• Quando você acessa um site pelo navegador, ele se conecta ao servidor do site e solicita a página que você está especificando.

• Para carregar alguns elementos da página, como imagens e vídeos, o navegador faz outras requisições aos servidores que hospedam esses elementos.

• O problema é que o próprio site pode pedir para o navegador do usuário fazer essas requisições, mesmo sem o conhecimento do usuário.

Recursos para se proteger

• Os navegadores estão adotando recursos que ajudam a proteger contra esses tipos de ataques.

• Um desses recursos é o "SameSite", que impede que cookies sejam enviados em requisições cross-site.

• Outro recurso é o "Content Security Policy" (CSP), que permite aos sites especificar quais fontes de conteúdo são confiáveis e quais não são.

Tokens e Cross Site Request Forgery

Visão geral da seção: Nesta seção, o palestrante explica como os tokens são usados para diferenciar usuários legítimos de navegadores manipulados em um site. Ele também discute como o Cross Site Request Forgery (CSRF) pode ser usado para explorar vulnerabilidades em roteadores.

Tokens

• Os tokens são usados para diferenciar usuários legítimos de navegadores manipulados em um site.

• Um valor aleatório é passado para o navegador do usuário enquanto ele navega no site legítimo, e a rede social valida esse token quando uma requisição é feita.

• O uso de um valor aleatório e imprevisível impede que sites maliciosos forcem o navegador do usuário a realizar uma ação sem consentimento.

• A falta de medidas como tokens ou outras formas de diferenciação entre usuários legítimos e navegadores manipulados é considerada uma vulnerabilidade CSRF.

Roteadores

• A maioria dos roteadores possui um painel administrativo acessível por meio de um site normal oferecido como aplicação web.

• O acesso ao painel administrativo só é permitido quando a pessoa está na rede local conectada ao roteador por cabo ou wi-fi.

• Sites externos não podem acessar o painel administrativo do roteador, mas podem forçar o navegador do usuário a enviar requisições para esse painel.

• Malwares tentam chutar combinações pré-cadastradas de logins e senhas para diferentes modelos de roteador, a fim de encontrar uma combinação válida.

• O malware não sabe qual é o modelo do roteador ou o IP da rede local que ele está usando, então tenta várias combinações até encontrar uma válida.

O que é DNS Hijacking?

Visão geral da seção: Nesta seção, o palestrante explica o que é DNS Hijacking e como ele funciona.

O que é DNS?

• DNS é uma espécie de GPS que dá as coordenadas para onde o seu sistema deve se direcionar para acessar os sites e servidores.

• As conexões que nosso sistema faz quando a gente quer acessar sites ou enviar e-mail jogar jogos na internet por exemplo são estabelecidas a endereços IP de servidores.

O que é DNS Hijacking?

• É quando um invasor muda os IPS dos Servidores DNS usados pelo roteador para rede local.

• Isso permite ao invasor ter controle dessas traduções de nomes para IPs, podendo direcionar navegação dos usuários daquela rede comprometida para qualquer outro lugar.

• Quando o seu sistema força a consultar o IP do YouTube, por exemplo, ele pode responder com o IP de um outro site dele fazendo com que seu sistema se conecte nessa página falsa achando que tá entrando no YouTube de verdade.

Como evitar DNS Hijacking?

• Use https:// na barra de endereços. Por mais que você esteja usando uma rede comprometida e o seu sistema tente se conectar no IP do invasor achando que tá entrando ali no site original do banco, o servidor do invasor não vai ter um certificado TLS válido desse domínio do banco e sem esse certificado, seu navegador ia te alertar com uma baita de uma tela vermelha dizendo que a navegação não é segura.

• Sites oferecem navegação segura via https. Quando recebe essa conexão via http ele te redireciona o endereço e o correto usando https eles fazem o seu navegador e para o caminho seguro e reconectar via https para você seguir navegando ali de forma segura.

Técnicas de segurança para evitar ataques de roteadores infectados

Visão geral da seção: Nesta seção, o palestrante discute técnicas de segurança que podem ser usadas para evitar ataques de roteadores infectados.

Recursos HSTS e HSTS Preload List

• O recurso HSTS permite que os sites informem ao navegador que a comunicação deve ser feita apenas por HTTPS.

• A lista HSTS Preload é uma lista que os proprietários de sites podem cadastrar em seus sites e essa lista é instalada dentro dos navegadores. Quando você faz o download do seu Chrome ou Firefox, ele já vem com uma baita lista de sites dentro dele e essa lista indica aos navegadores que eles só devem acessar esses sites via HTTPS.

Novidades recentes na segurança do navegador

• Desde a versão 90, o Chrome passou a definir como protocolo padrão o HTTPS e não mais o HTTP.

• A partir da próxima versão do Chrome (92), o navegador vai bloquear qualquer requisição à rede local solicitada por uma página que não esteja na sua rede local.

Melhorando a segurança do seu roteador

• Altere as senhas padrão dos seus roteadores caso ainda estejam usando senhas padrão.

• Confira se existem novas atualizações de firmware disponíveis para o seu roteador.