DNS – Por que o time de segurança deve se preocupar?

Quando se fala em segurança, DNS normalmente não é um assunto que surge nas primeiras conversas. Porém, (ficou sem continuidade) a proteção ao DNS deve ser parte integrante da política de segurança corporativa. Os ataques ao DNS ocorrem de várias maneiras e independentemente do tipo de ataque, os objetivos mais comuns são tirar a empresa de operação (DDoS) ou direcionar as visitas a um domínio ou serviço para servidores onde os visitantes possam ser infectados ou terem seus dados privados extraídos, acreditando que estão visitando domínios ou utilizando serviços de sua empresa.

O que é, e para que serve o DNS?

Os servidores de DNS tem por objetivo traduzir os nomes de domínios que digitamos em nossos navegadores ou consultados pelas aplicações que utilizamos para endereços IP. O servido de DNS nos informa o endereço IP do servidor responsável pela página ou serviço que estamos querendo acessar. De forma a simplificar o assunto vamos considerar que estamos utilizando apenas um servidor, embora sejam possíveis uma série de recursos de distribuição de serviços.

Por exemplo, quando você digita em seu navegador https://cgi.br/, este pergunta ao servidor de DNS que você está conectado qual o servidor que deve usar para ter acesso ao conteúdo da página do CGI.BR. O DNS responderá 200.160.4.2. Então seu navegador acessará o servidor na internet responsável pelo IP 200.160.4.2 e pedirá que ele lhe traga a página do CGI.BR. (Esta é uma versão simplificada do processo. Alguns passos adicionais que não serão apresentados aqui ocorrem durante a fase de tradução nome-IP.)

Existem dois tipos de DNS: autoritativo e recursivo. O primeiro é responsável por responder quando alguém questiona informações de um domínio sobre os quais ele tem autoridade. Já o DNS recursivo é utilizado por empresas para centralizar as requisições de modo a minimizar o consumo de banda e até a interferir no resultado que os clientes irão receber.

Como os ataques ocorrem?

O mais simples é quando o invasor acessa um servidor de DNS autoritativo mal configurado e direciona os visitantes para outro servidor diferente daquele que a empresa deseja. Outro ataque bastante comum contra o servidor de DNS autoritativo é o ataque DDoS com o objetivo de evitar que este responda as requisições, impedindo assim que os domínios da empresa sejam acessados.

Os servidores recursivos, seja por má configuração, seja se valendo de ataque de negação de serviço, são alvo do atacante para entrega de respostas com IPs forjados aos clientes internos de modo a direcionar visitas a seus servidores. O usuário de sua rede ao acessar o site de seu banco, por exemplo, não fará distinção entre o real e o falso e a coleta de dados será iniciada.

Estes ataques são os mais comuns, mas não os únicos. Novamente aqui precisamos considerar o ataque, não apenas como uma brincadeira ou auto promoção. Esta prática virou um mercado e os hackers estão sempre buscando novas formas de ganhar dinheiro.

Em 3 de julho de 2020, o pesquisador Zach Edwards publicou em seu Twitter que havia encontrado mais de 250 subdomínios de grandes empresas comprometidos. E esse não era um ataque ao conteúdo do site em si. As entradas de DNS desses subdomínios foram hackeadas de modo a que os visitantes fossem direcionados para servidores de posse dos hackers.

No caso especificamente descrito por Edwards, os hackers tiveram acesso a uma lista de nomes de domínios temporários da Azure. Este tipo de endereço é muito utilizado em sites de campanhas ou sites temporários, tanto por questões de agilidade quanto por questões de custo. Tecnicamente as empresas não foram hackeadas, mas o nome temporário estava lá, disponível para ser usado por qualquer um; e a empresa tinha um endereço que apontava para este nome. Para saber mais sobre este ataque específico na Azure, visite o site “Prevent dangling DNS entries and avoid subdomain takeover”.

Vamos a um exemplo. A empresa HGK32 criou um hotsite (site específico para uma campanha) chamado Casa na Praia, uma campanha em que sortearia uma casa na praia entre os clientes que participassem da promoção. O endereço criado, casanapraia.empresahgk32.com.br, não aponta diretamente para um servidor da empresa, mas para um endereço temporário de um cloud do provedor, utilizando uma entrada especial de DNS chamada CNAME. Este hotsite foi tirado do ar em abril de 2020.

O hacker utiliza um script que varre subdomínios apontando para domínios temporários e/ou IPs que não estão mais em uso. Quando identifica um, ele não precisa se preocupar em alterar o DNS da empresa. Basta contratar aquele domínio temporário ou IP e passar a executar algum serviço em um servidor que atenda o endereço temporário do provedor. No nosso exemplo, subir um servidor no endereço temporário que atendia por casanapraia.empresahgk32.com.br.

Existe uma prática do provedor que necessita ser revista ao repetir o nome de servidores temporários. Entretanto, a principal falha foi da empresa que não se preocupou em remover a entrada de DNS casanapraia de seu DNS ou simplesmente apontá-la para o site principal, quando a campanha foi encerrada.

Muitas vezes a resposta que escuto é que a gerência deste tipo de campanha é do time de Marketing. É preciso ressaltar que por mais que o time de marketing possa e deva ter autonomia para contratar e cancelar este tipo de serviço, a gerência do DNS deve ser de responsabilidade do time de TI, preferencialmente do time de segurança.

E como prevenir?

Conforme apresentado no artigo “Segurança em Cloud – O que é preciso saber?”, leia as práticas recomendadas de seu fornecedor e entenda os serviços que está contratando.

Informação e treinamento sempre. Os times de marketing e desenvolvimento, assim como todos os profissionais da empresa, devem receber informações e treinamento. A agilidade, mais do que necessária ao lançamento de novidades e informações importantes da empresa, não deve se engessada. Os profissionais devem estar comprometidos com a segurança da empresa e o entendimento de seu grau de participação para o bom resultado faz parte da maturidade de um plano de segurança.

Sempre que descomissionar (cancelar) um serviço, lembre-se de remover as entradas de DNS vinculadas a ele. Se desejar que os visitantes não recebam uma página de erro, direcione-os a outro lugar, como a página principal de sua organização. Para isso altere a entrada de DNS para a de seu site e solicite aos responsáveis pelo site as alterações necessárias para que o cliente não receba uma página de erro 404.

Tenha em mente que qualquer entrada de DNS do tipo CNAME ou A apontados para servidores ou endereços IP que você não tem controle são passíveis de um sequestro de DNS. Os hackers utilizam ferramentas automatizadas para procurar este tipo de registro. Para dupla verificação, faça o mesmo com as entradas em seu DNS.

Avalie a possibilidade de uso de DNSSEC em seus domínios. Esta tecnologia permite que os registros de DNS recebidos sejam validados com as assinaturas de DNSSEC.

A terceirização do DNS para um provedor externo transfere algumas responsabilidades que antes eram da organização. Entretanto, a empresa deve ter um entendimento de segurança de DNS e das práticas para defendê-lo, de modo a poder tomar as medidas necessárias. Cobre de seu provedor a disponibilidade de duplo fator de autenticação para gerenciamento do DNS e ative-o.

Se os servidores de DNS estão dentro de casa ou se rodam em clouds gerenciados por sua empresa, configure-os corretamente. Mantenha os servidores de DNSs autoritativos e responsivos em servidores diferentes. Mantenha-os atualizados.

Configure seu firewall para não permitir que requisições externas cheguem aos DNS responsivos de sua rede. Bloqueie IPs forjados (ingress filtering).

Falando em firewall, sempre que possível configure suas VPNs para utilizar seu servidor de DNS recursivo e não o servidor de DNS da fornecedora de link de seu colaborador. Isso evita que seu usuário seja direcionado a sites indesejados, simplesmente porque o DNS recursivo da operadora de link utilizada sofreu um ataque.

Monitore seus servidores de DNS. Sejam internos ou terceirizados, adicione status e alteração a sua monitoria.