10 de nov de 2011

Usuários da GVT e OI foram redirecionados para sites maliciosos e possivelmente ainda são

Tudo teve inicio em 25/10/2011, quando o Linha Defensiva alertava que principalmente usuários da GVT estavam a ser redirecionados para sites que continham Malwares, infetando quem os visitasse.
Nesse mesmo dia passei aqui o alerta, no dia seguinte recebo um e-mail da GVT a dizer que tudo estava bem com os DNS da GVT e o departamento técnico não tinha encontrado nehum problema. Quando na realidade o alerta tinha todo o sentido, visto que o problema passa sim pelos DNS, mas ao que tudo indica o problema se centra nos Roteadores instalados pelas empresas, GVT e OI, em que os Roteadores com o login padrão podem ser facilmente invadidos.

A Oi quando questionado pelo G1 declarou  que o serviço de cache do Domain Name System (DNS) da companhia segue as recomendações internacionais de segurança e está imune ao tipo de ataque citado pela reportagem. A companhia acrescenta que, durante a realização de visitas técnicas para instalação ou reparo do serviço Velox, os técnicos das empresas que prestam serviço à Oi não são autorizados a alterar as configurações de acesso dos roteadores domésticos dos clientes."

A GVT não conseguiu responder as questões sobre os roteadores de seus clientes, mas adiantou que “não há nenhum registro de ataque em massa ao DNS da empresa”. A operadora garantiu que irá analisar os casos informados pelo G1.

Agora coloco a questão técnica e da prestação de um bom serviço, que por sinal caro e por vezes de qualidade duvidosa, que é a realidade da Internet no Brasil.

Quer a OI quer a GVT ou qualquer outra operadora de Internet, tem o dever Moral e Profissional de dar segurança a quem lhes paga, sim, o Usuário que paga, a Oi diz que os técnicos não têm autorização para mexer nas configurações de acesso ao Roteador, deixando assim o usuário exposto na Internet e entregue à sorte.

A GVT nada sabe sobre os que os técnicos fazem nos roteadores em casa dos Clientes, visto não se terem pronunciado sobre esta assunto, quando questionados pelo G1

O usuário comum não sabe entrar no Roteador e saber o que deve ser feito.
Visto as operadoras de Internet estarem hoje a colocar modems roteadores em casa das pessoas, deveriam o deixar o mais seguro possível, como mudar o login padrão, ativar firewall e proteção a:

 DoS Protection
ICMP-FLOOD Attack
UDP-FLOOD Filtering
SYN Flood
Ignore Ping Packet From WAN Port

Isto seria no minimo um trabalho com qualidade, e uma segurança para o usuário.

Matéria publicada em 25/10/2011 pelo Linha Defensiva 

Informação divulgada por blgrodpaulo em 25/10/2011

Matéria publicada pelo G1 em 09/11/2011


A situação é séria e muito rentável do lado do crime, no dia 31/10/2011 um técnico de um provedor de Internet foi preso e confessou que recebia R$10 Mil por mês para roubar dados de usuários que redirecionava para sites clonados
Jovem é preso por roubar dados bancários de internautas em Londrina

8 comentários:

  1. verdade o twitter foi redirecionado,somos clientes da gvt do pr,eu consegui bloquear o site onde era redirecionado mas o twitter ainda nao recuperei.

    ResponderExcluir
  2. Viva Leo
    Desde já boa sorte ao recuperar a sua conta do Twitter.
    Ajudava bastante se pudesse responder às seguintes questões:
    Usa Modem e Roteador?
    O Modem ou Rotear usam senhas padrão dos aparelhos?
    Os DNS que usa foram colocados por você, ou são os da GVT?
    O modem e ou o Roteador estão da forma como o técnico da empresa GVT deixou na altura da instalação.
    O seu Host foi alterado?
    Para ver o host:
    No XP: no executar (RUN)
     %WINDIR%\system32\drivers\etc\hosts
    No windows7: Abrir o bloco de notas como administrador, clicar em arquivo e depois em abrir, no campo de pesquisa digitar
     c:\windows\System32\drivers\etc\hosts

    O motivo destas perguntas é para tentar entender de que forma foi feito o redirecionamento.

    Um abraço e bom final de semana.

    Paulo Rodrigues  

    ResponderExcluir
  3. opa eu nao sei exatamente porque eu moro numa pensao e divido a internet aqui,e nao foi so o twitter que foi redirecionado mas tambem o mercado livre,deve ter outros sites mas por hora que eu descobri foram estes!

    ResponderExcluir
  4. Olá Paulo, tudo bem?
    Eu tenho sido assombrado por este problema há tempos. Nada fiz de errado, meu modem Wireless estava com senha padrão, sim, o tal do admin/admin, e eu era redirecionado para vários site que baixavam automaticamente vários executáveis, principalmente o facebook_setup.exe e o google_setup.exe.

    Como trabalho em um Mac, não tive problemas, mas também não iria executar mesmo que fosse em um PC.

    Para identificar o problema, entrei na internet via wireless pelo meu celular e ele também fazia redirecionamento, logo, não era coisa do Mac. 

    Os principais sites que redirecionam para um IP específico são:
    globo.com
    uol.com.br
    twitter.com
    facebook.com
    orkut.com.br
    terra.com.br

    As vezes os sites tentam até imitar a aparência dos sites originais, mas dá pra perceberi a falsificação pois ela é grosseira.

    O que fiz foi resetar o modem, trocar as senhas padrão, inclusive do support, admin e user e reconfigurá-lo todo.

    Antes disso eu tinha apenas resetado o modem e configurado novamente, mas o problema vem e vai sem frequência definida.

    É isso, muito obrigado pela ajuda e esclarecimento. Qualquer coisa é só avisar.

    Grande abraço!

    ResponderExcluir
  5. Viva Renan
    Desculpe a demora do seu post aparecer aqui, mas post com links ficam em moderação até eu os liberar.
    Caso queira aumentar a sua segurança pode usar os DNS e as configurações do OpenDns, em que os DNS são inseridos no roteador e toda a navegação é filtrada pelas soluções de segurança, que conta com algumas opções como: 
    DNS SmartCache
    Malware/Botnet
    Phishing
    Adware
    Respostas suspeitas da nossa máquina
    Filtrar páginas pelo seu conteúdo
    Bloquear domínios
    Estes recursos são com uma conta gratuita.
    Para ficar a conhecer as opções de segurança OpenDns>> http://goo.gl/yfjzc

    Um abraço e volte sempre

    ResponderExcluir
  6. Viva Renan
    Pegou pesado ai.

    Se for D-link a sugestão é que se atualize o firmware para a ultima versão.
    Verifique se o acesso remota está ativado, se for o caso, desabilite

    Um grande abraço e boa sorte

    ResponderExcluir
  7. Olá Paulo, depois de insistentes tentativas, consegui resolver o meu problema (por hora). Atualizei o Firmware mas de nada adiantou, já que o meu era o último disponibilizado pela D-Link.

    Como meu modem não tem configurações suficientes para que me proteja, o que pude fazer é desabilitar o acesso HTTP tanto em WAN quanto LAN. Agora nem eu acesso a página de configurações do modem a não ser com um reset físico, mas até então, Ok, eu só quero navegar com segurança.

    Muito obrigado pela ajuda. Deixo como indicação de leitura o fórum Adrenaline onde falam muuito sobre o assunto:

    http://adrenaline.uol.com.br/forum/internet-redes/350113-rede-de-clientes-da-gvt-e.html

    Grande abraço e sucesso!

    ResponderExcluir
  8. Viva Renan
    Ainda bem que resolveu o problema, não muito ortodoxo mas resolveu. Sugiro que compre um modem e entregue esse à GVT, se ele estiver como alugado, tem direita ao abatimento do valor na sua conta ,mensal.É responsabilidade da GVT e eles deveriam trocar todos esses modens D-link que colocaram em casa dos clientes.E o problema não fica por ai, outros modems de outras marcas vêm com acesso remoto habilitado e porta 80 liberada.Os Clientes que tenho com GVT aqui no Rio, sempre seguem a minha indicação de serem eles a comprar o modem roteador e não aceitar o modem deles, visto que eles colocam modems de baixa qualidade e umas configurações que deixam a desejar e o resultado está à vista.Um grande abraço e bom final de semana.

    ResponderExcluir