Na tarde do dia 03 de Janeiro de 2017 muitos usuários brasileiros foram surpreendidos ao tentar acessar a página do Google, pois em vez da clássica tela de buscas encontravam uma imagem de um desenho japonês e algumas frases em inglês.

A princípio, muitos pensaram se tratar de um ataque do tipo defacement, em que um atacante consegue acessar o servidor onde a página está hospedada e modificar o site, inserindo imagens e frases.

Na verdade, não houve um ataque diretamente à página do Google, o que aconteceu foi um ataque aos servidores DNS (Domain Name System ou Sistema de Nomes de Domínios) responsáveis pela resolução do nome google.com.br, fazendo com que as consultas ao endereço do Google fossem direcionadas para um servidor controlado pelo hacker que hospedava a página com a imagem. Vale ressaltar que o Google não administra estes servidores DNS, pois tem uma empresa terceirizada responsável por essa atividade.

Apenas o domínio do Google Brasil (google.com.br) foi afetado e, consequentemente, só os usuários brasileiros notaram o problema.

Motivação

Apesar desse tipo de ataque ter como objetivo veicular mensagens dos mais variados tipos como ativismo, posições políticas e protestos, desta vez, nenhuma mensagem foi propagada. Acredita-se que o propósito do ataque foi a autopromoção do hacker, que buscava por reconhecimento e fama.

Como funciona

Ainda não foi identificado exatamente como o hacker conseguiu acesso aos servidores DNS, mas uma das hipóteses levantadas é que o servidor hospedava algum outro serviço, como uma página web de administração que poderia ter alguma vulnerabilidade que foi percebida pelo hacker.

Desta forma, o atacante teria modificado os registros do Google para apontar ao endereço IP de um servidor malicioso.

Para entender melhor, os seguintes passos mostram de uma maneira simplificada como o usuário acessa a página falsa após o comprometimento do servidor DNS (os endereços IPs utilizados são fictícios).

  1. O usuário acessa ao www.google.com.br
  2. O computador do usuário faz uma conexão aos servidores DNS responsáveis pelo domínio Google para descobrir o endereço IP da página do Google
  3. O servidor DNS comprometido retorna ao usuário o IP do servidor web controlado pelo hacker ao invés do IP do servidor verdadeiro do Google
  4. O usuário efetua a conexão com o servidor falso – controlado pelo hacker – e visualiza a página alterada

Diagrama DNS Hijacking Google

Prevenção

Como ainda não foi divulgada a real causa do ataque, é difícil afirmar com exatidão o que poderia ter sido feito para evitar o problema; mas tomando como base que o servidor DNS foi comprometido por um serviço vulnerável e que estava em execução, o ataque poderia ter sido evitado, se as seguintes medidas tivessem sido tomadas:

  • Redução da superfície de ataque no servidor, removendo qualquer serviço que não seja necessário à função primária;
  • Aplicação de patches no sistema operacional e aplicação do servidor;
  • Análise de vulnerabilidades na aplicação, como SQL Injection;
  • Execução de pen test no servidor.

O Google não é responsável pelo serviço de DNS e subcontrata empresas para gerenciar seu endereço no Brasil. Uma consulta no Registro.br pelo domínio google.com.br revela que houve uma alteração no registro de seu domínio nesta terça-feira (3). É possível que essa alteração tenha sido realizada para desfazer uma anterior, sendo a do atacante.

Vale ressaltar a importância de garantir a segurança de servidores DNS, pois pode tornar toda a infraestrutura de uma empresa indisponível, causando danos também aos usuários.

Carlos Guerreiro e Carlos Henrique Andrade são Especialistas em Segurança da área de GRC (Governança, Riscos e Compliance) da CIPHER