crimeware

Zulfikar Ramzan (experimentado investigador de Symantec), Markus Jakobsson y Sid Stamm (Universidad de Indiana, EE.UU.) han presentado lo que denominan Drive-by Pharming, un nuevo tipo de ataque que permitiría a un sitio web malicioso reconfigurar sobre la marcha el router de un usuario de banda ancha, sin más que lograr que éste visite una página web maliciosa.

17-02-2007 - Como el propio Ramzan explica, cuando quieres llamar a tu banco coges la guía telefónica, buscas el número, descuelgas el teléfono y llamas. Ahora, imagina que te han cambiado tu listín por otro falso, donde bajo el nombre de tu banco figura el teléfono del atacante. Guauu!!

A grandes rasgos, el ataque podría funcionar así...

En primer lugar, en un sitio totum revolutum -tipo Digg o Menéame- alguien envía una noticia lo suficientemente atractiva como para que no puedas evitar cliquear (primera estupidez y origen de todos los males que te aguardan ;).

Una vez en la página maliciosa, si tu Javascript no está activo (y sólo el 5% de los usuarios navegan sin activarlo) se te pedirá cortésmente que lo habilites, o no podrás ver la página en cuestión.

Si lo haces (segunda estupidez), la página maliciosa te carga un código javascript, que tu navegador -obediente- ejecuta y que, mediante CSRF (Cross Site Request Forgery), se loguea a tu router. Lógicamente, para que esto suceda has debido cometer otra estupidez (la tercera): dejar puesta la contraseña por defecto.

Tranquilo, que no estás solo: hay estudios que indican que el 50% de los usuarios de routers, inalámbricos o no, no se molestan en cambiar las passwords que vienen por defecto.

A partir de ese momento, el código atacante cambia tu configuración DNS, haciendo que apunte a donde él quiera, en el peor de los casos a un servidor DNS falso, donde la URL correcta de tu banco on-line se hace corresponder con la IP que el atacante desee, donde previamente el muy ladino habrá colocado una web falsa idéntica a la de tu banco. Creyendo que vas al sitio correcto, en realidad te metes derechito en la trampa (concepto de Pharming). Ya te puedes imaginar lo que va a ocurrir con tus contraseñas de acceso... y con tus fondos.

De momento, el ataque parece ser más teórico que real, pero nada impide que funcione... aparte del sentido común y la información de los usuarios.

Referencias:

* Drive-By Pharming: How Clicking on a Link Can Cost You Dearly [Descripción del ataque por su autor en Symantec Security Response Weblog].
http://www.symantec.com/enterprise/security_response/weblog/
2007/02/driveby_pharming_how_clicking_1.html

* Drive-By Pharming [Documento con los detalles técnicos, 13 páginas, pdf].
http://www.symantec.com/avcenter/reference/Driveby_Pharming.pdf


Fuente; http://www.kriptopolis.org