¿Qué puede y no puede hacer un DNS malicioso?

5

He estado pensando en utilizar enlace para acceder a "sitios web prohibidos por geo-IP" como netflix.

Sin embargo, tengo mis preocupaciones sobre la seguridad de usar algún servidor DNS de terceros para todo. Por lo tanto, mi pregunta es. Supongamos que uso algo como tunlr.net o algún otro servidor DNS de terceros. ¿Qué "mal" pueden y no pueden hacer?

También agreguemos estos supuestos.

  • Accedo a correos electrónicos, Facebook y, lo que es más importante, a cuentas bancarias only a través de https, pero no reviso los certificados a mano, pero dejo que mi navegador lo haga por mí.
  • Generalmente, rechazo cualquier complemento de terceros en el navegador tanto como pueda (flash, java, Acrobat)
  • Soy lo suficientemente inteligente como para no caer en phishing completamente obvio
  • Instalo la actualización, pero no uso antivirus (ya que uso OS X y Ubuntu)

Dicho todo esto, si uso un servidor DNS de terceros y se vuelve malicioso, ¿qué pueden hacer?

[edit, 2017 - tunlr.net ya no funciona; fue un servidor DNS que redirigió netflix a la versión de proxy de EE. UU. de forma gratuita. Puede haber servidores similares ahora.]

    
pregunta Karel Bílek 20.06.2013 - 17:58
fuente

3 respuestas

4

La alteración malintencionada del DNS generalmente lleva a las personas a sitios de phishing en lugar del sitio legítimo que desean, pero también puede usarse para evitar que las máquinas recuperen actualizaciones para su software OS / Security, o enrutar sus conexiones a través de un proxy donde un adversario puede interceptar comunicaciones.

    
respondido por el Frank Thomas 20.06.2013 - 18:04
fuente
4

Supongamos que va a https://www.facebook.com pero al usar una entrada de DNS controlada por el atacante, www.facebook.com apunta a una dirección IP controlada por el atacante. ¿Qué pueden hacer? A primera vista, no demasiado a menos que controlen o puedan engañar a una autoridad de certificados en la que su navegador confíe y pueda obtener un certificado privado firmado para www.facebook.com (o simplemente robar el certificado privado para www.facebook.com . No deberían poder para redirigirlo a enlace sin que su navegador muestre una gran advertencia de que el certificado no es para www.facebook.com y algo de ingeniería social para explicar fuera.

Por supuesto, si solo escribe facebook.com / www.facebook.com en su navegador, su navegador puede ir primero a http://www.facebook.com y normalmente lo redireccionará a https://www.facebook.com . Con una entrada de DNS maliciosa, podrían interceptar la solicitud a http://www.facebook.com y no redirigirle a la versión HTTPS. Luego pueden completar la escucha, interceptar sus contraseñas y realizar un ataque Man-in-the-Middle.

    
respondido por el dr jimbob 20.06.2013 - 21:06
fuente
1

Si está utilizando la misma computadora para sus operaciones bancarias, verificando correos electrónicos, le sugiero encarecidamente que no cambie la configuración de su DNS. En caso de que olvide volver a cambiarlo al servidor DNS de su ISP e intente acceder a su sitio de correo electrónico o bancario, tal vez lo redirija a uno de sus sitios para ingresar la información.

    
respondido por el user2480011 20.06.2013 - 18:11
fuente

Lea otras preguntas en las etiquetas