Especialista interceptou tráfego do windows.com usando bitsquatting

Expert intercepted windows.com traffic

Um especialista independente conhecido como Remy descobriu que os domínios da Microsoft não estavam protegidos contra bitsquatting e tráfego interceptado do windows.com.

O especialista conduziu seus experimentos usando o exemplo do domínio windows.com, que pode virar, por exemplo, em windnws.com ou windo7s.com no caso de uma pequena mudança.

O termo Ocupação de bits refere-se a um tipo de ciberespeculação que sugere o uso de diferentes variações de domínios legítimos (geralmente 1 um pouco diferente do original).

O uso de domínios bitquatted geralmente acontece automaticamente quando uma consulta DNS é feita no computador no qual ocorreu a inversão de bits..

A base desta pesquisa baseia-se no fato de que todas as informações são essencialmente zeros e uns., e o mesmo vale para domínios. Como você sabe, bits podem virar (0 torna-se em 1 ou vice-versa), respondendo à radiação cósmica, flutuações no poder, temperatura, e assim por diante. Além disso, em a 2010 estudar, já foi constatado que em um computador com 4 GB de RAM existe um 96% chance de virar o bit em três dias.

Agora, suponha que o computador fique muito quente, há uma explosão solar, ou um raio cósmico (uma coisa muito real) inverte os bits no computador. Oh não! Agora, whndows.com é armazenado na memória, não windows.com! O que acontece quando chega a hora de se conectar a este domínio? O domínio não corresponde ao endereço IP. escreve Rémy.

Como resultado, Remy compilou uma lista de domínios que podem se formar devido a bits invertidos. Ele encontrou 32 nomes de domínio válidos, 14 dos quais não estavam registrados e estavam disponíveis para aquisição.

Especialista interceptou tráfego do windows.com

Este é um caso bizarro, pois normalmente, empresas como a Microsoft compram esses domínios para evitar que phishers os utilizem. Então eu os comprei. Todos. Por cerca de $ 126.diz o pesquisador.

Domínios adquiridos por Rami:

  • windnws. com
  • windo7s. com
  • windkws. com
  • windmws. com
  • winlows. com
  • windgws. com
  • wildows. com
  • wintows. com
  • wijdows.com
  • wiodows. com
  • wifdows.com
  • whndows. com
  • wkndows.com
  • www.wmndows.com

Talvez este problema possa parecer puramente teórico, mas os especialistas em segurança da informação relataram repetidamente sobre o sucesso da aplicação prática de tais ataques. Por exemplo, no Chapéu Preto 2011, houve uma palestra intitulada “Sequestro de DNS sem exploração”, em que o pesquisador falou sobre como capturou 31 variantes para oito domínios legítimos de diversas organizações. E em média, contou 3434 consultas diárias de DNS para esses domínios.

Agora Remy fez o mesmo com windows.com. Além do tráfego destinado ao windows.com, o pesquisador conseguiu interceptar o tráfego UDP destinado a time.windows.com e o tráfego TCP destinado a vários serviços da Microsoft, incluindo serviços de notificação push do Windows (WNS) e SkyDrive (anteriormente OneDrive).

Não é nenhuma surpresa que o serviço NTP, que é executado em todas as máquinas Windows do mundo com uma configuração padrão usando time.windows.com, gera o maior tráfego de bits invertidos. Mas eu ainda tinha muito outro tráfego.”Rémy escreve.

A pesquisadora escreve que a possibilidade de beatsquatting é um sinal muito preocupante porque, desta maneira, os invasores podem criar muitos problemas para a segurança dos aplicativos.

Além do tráfego gerado pelos bits invertidos, Remy descobriu que muitas solicitações pareciam vir de usuários que inseriram nomes de domínio incorretamente. No entanto, não é possível entender exatamente qual a porcentagem de solicitações originadas de erros de digitação:

Infelizmente, devido ao beatsquatting, não há como verificar se não são erros ortográficos. A única informação disponível para pesquisa é a que é enviada junto com a solicitação (por exemplo, o cabeçalho do referenciador e outros cabeçalhos).

O especialista oferece várias maneiras de se defender contra ataques de bitquatting. Por exemplo, empresas podem registrar domínios que podem ser usados ​​para bitquatting. Este é o caso mais frequentemente. Por exemplo, time.apple.com está protegido contra tais ataques, ao contrário de time.windows.com. Rami também menciona memória ECC, o que pode ajudar a proteger computadores e dispositivos móveis contra o problema de bit flip.

Representantes da Microsoft disse à mídia que eles são “ciente das técnicas de engenharia social que podem ser usadas para direcionar os clientes a sites maliciosos” e aconselhou os usuários a “tenha cuidado ao seguir links, abrindo arquivos desconhecidos, ou aceitar transferências de arquivos.”

Deixe-me lembrá-lo que recentemente o especialista contou como ele invadiu uma usina nuclear.

Por Vladimir Krasnogolovy

Vladimir é um especialista técnico que adora dar conselhos e dicas qualificadas sobre os produtos GridinSoft. Ele está disponível 24 horas por dia, 7 dias por semana para ajudá-lo em qualquer dúvida relacionada à segurança na internet.

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *