{"id":2973,"date":"2016-05-03T20:40:58","date_gmt":"2016-05-03T23:40:58","guid":{"rendered":"https:\/\/brockerhoff.net\/blog\/?p=2973"},"modified":"2016-05-03T20:40:58","modified_gmt":"2016-05-03T23:40:58","slug":"bb-dns-poisoning","status":"publish","type":"post","link":"https:\/\/brockerhoff.net\/blog\/2016\/05\/03\/bb-dns-poisoning\/","title":{"rendered":"BB DNS Poisoning"},"content":{"rendered":"<p><em>[Note for English-language readers: I describe a transient DNS poisoning attack against Banco do Brasil.]<\/em><\/p>\n<p>Ontem, dia 4 de maio, em torno de 13:00 locais (17:00 GMT) entrei no site do Banco do Brasil. Na tela normal de login, tem-se que informar ag\u00eancia, conta e a senha de 8 d\u00edgitos. Feito isto, apareceu uma tela \u2014 inusitada! \u2014 solicitando, tamb\u00e9m, a senha de 6 d\u00edgitos!<\/p>\n<p>Apesar da tela normal, com todos os logos etc. no lugar, desconfiei e olhei alguns dos links que sa\u00edam desta tela. V\u00e1rios deles se dirigiam a um servidor, tamb\u00e9m, inusitado:\u00a0<code>ndninternetbbseguro.bb.com.br<\/code>. \u00a0Fui verificar via <code>whois<\/code>:<\/p>\n<pre><code>whois ndninternetbbseguro.bb.com.br\r\n...\r\ndomain:      bb.com.br\r\nowner:       BANCO DO BRASIL S.A.\r\nownerid:     000.000.000\/0001-91\r\n<\/code><\/pre>\n<p>ou seja, aparentemente normal. Por\u00e9m, mirando este servidor eu vi:<\/p>\n<pre><code>PING ndninternetbbseguro.bb.com.br (46.166.173.180): 56 data bytes\r\n64 bytes from 46.166.173.180: icmp_seq=0 ttl=48 time=1203.666 ms<\/code><\/pre>\n<p>um endere\u00e7o que n\u00e3o me lembrava de ter visto para um site brasileiro. De fato:<\/p>\n<pre><code>whois 46.166.173.180\r\n...\r\ninetnum:        46.166.173.0 - 46.166.173.255\r\nnetname:        BALTICSERVERS-LT-DEDICATED\r\ndescr:          Dedicated servers\r\ncountry:        LT\r\n...\r\nperson:         Martynas Simkevicius\r\naddress:        Tilzes 74\r\naddress:        LT-76140 Siauliai\r\n<\/code><\/pre>\n<p>ou seja, um servidor localizado na Litu\u00e2nia! Obviamente se tratava de um ataque &#8220;<a href=\"https:\/\/pt.wikipedia.org\/wiki\/DNS_cache_poisoning\">DNS Cache Poisoning<\/a>&#8221; e isto, provavelmente, nos DNS da Vivo, meu provedor atual. Claro, n\u00e3o prossegui nas p\u00e1ginas nem tentei seguir os links; mas, com toda certeza, minha senha de 8 d\u00edgitos j\u00e1 tinha sido enviada ao impostor.<\/p>\n<p>Vi outro relato possivelmente relacionado ao incidente nesta mensagem:<br \/>\n<a href=\"https:\/\/twitter.com\/andreas_schutz\/status\/727143088582434817\">https:\/\/twitter.com\/andreas_schutz\/status\/727143088582434817<\/a><br \/>\n&#8220;Your connection is not secure&#8230;&#8221; e, depois, um erro na configura\u00e7\u00e3o SSL\/certificados do servidor www2.bancobrasil.com.br, que eu sabia ser um dos normalmente usados no internet banking do BB. Tentei acessar este servidor aqui, com o mesmo resultado.<\/p>\n<p>H\u00e1 <a href=\"http:\/\/www.hardmob.com.br\/internet-redes-and-telefonia-fixa\/531865-dns-cache-poisoning-banco-do-brasil.html\">relatos<\/a> <a href=\"http:\/\/cs.brown.edu\/~rfonseca\/notes\/net-bb-dns-poison.html\">espor\u00e1dicos<\/a> de tais ataques contra o BB no passado, e muitos contra outros alvos.<\/p>\n<p>Por precau\u00e7\u00e3o, fui imediatamente ao banco e alterei as minhas senhas \u2014 e, de fato, do terminal de l\u00e1 conseguia acessar a conta normalmente. De volta, mudei para outro DNS e apaguei os caches; tamb\u00e9m, agora, tudo de volta ao normal aqui em casa.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>[Note for English-language readers: I describe a transient DNS poisoning attack against Banco do Brasil.] Ontem, dia 4 de maio, em torno de 13:00 locais (17:00 GMT) entrei no site do Banco do Brasil. Na tela normal de login, tem-se que informar ag\u00eancia, conta e a senha de 8 d\u00edgitos. Feito isto, apareceu uma tela [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"jetpack_post_was_ever_published":false,"_jetpack_newsletter_access":"","_jetpack_dont_email_post_to_subs":false,"_jetpack_newsletter_tier_id":0,"_jetpack_memberships_contains_paywalled_content":false,"_jetpack_memberships_contains_paid_content":false,"footnotes":""},"categories":[1],"tags":[18],"class_list":["post-2973","post","type-post","status-publish","format-standard","hentry","category-misc","tag-brasil"],"featured_image_src":null,"author_info":{"display_name":"Rainer Brockerhoff","author_link":"https:\/\/brockerhoff.net\/blog\/author\/rbrockerhoff\/"},"jetpack_featured_media_url":"","jetpack_shortlink":"https:\/\/wp.me\/p1q3Zc-LX","jetpack_sharing_enabled":true,"_links":{"self":[{"href":"https:\/\/brockerhoff.net\/blog\/wp-json\/wp\/v2\/posts\/2973","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/brockerhoff.net\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/brockerhoff.net\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/brockerhoff.net\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/brockerhoff.net\/blog\/wp-json\/wp\/v2\/comments?post=2973"}],"version-history":[{"count":0,"href":"https:\/\/brockerhoff.net\/blog\/wp-json\/wp\/v2\/posts\/2973\/revisions"}],"wp:attachment":[{"href":"https:\/\/brockerhoff.net\/blog\/wp-json\/wp\/v2\/media?parent=2973"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/brockerhoff.net\/blog\/wp-json\/wp\/v2\/categories?post=2973"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/brockerhoff.net\/blog\/wp-json\/wp\/v2\/tags?post=2973"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}