crimeware

Pharming

Zulfikar Ramzan (experimentado investigador de Symantec), Markus Jakobsson y Sid Stamm (Universidad de Indiana, EE.UU.) han presentado lo que denominan Drive-by Pharming, un nuevo tipo de ataque que permitiría a un sitio web malicioso reconfigurar sobre la marcha el router de un usuario de banda ancha, sin más que lograr que éste visite una página web maliciosa.

Como el propio Ramzan explica, cuando quieres llamar a tu banco coges la guía telefónica, buscas el número, descuelgas el teléfono y llamas. Ahora, imagina que te han cambiado tu listín por otro falso, donde bajo el nombre de tu banco figura el teléfono del atacante. Guauu!!

A grandes rasgos, el ataque podría funcionar así...

En primer lugar, en un sitio totum revolutum -tipo Digg o Menéame- alguien envía una noticia lo suficientemente atractiva como para que no puedas evitar cliquear (primera estupidez y origen de todos los males que te aguardan ;).

Una vez en la página maliciosa, si tu Javascript no está activo (y sólo el 5% de los usuarios navegan sin activarlo) se te pedirá cortésmente que lo habilites, o no podrás ver la página en cuestión.

Si lo haces (segunda estupidez), la página maliciosa te carga un código javascript, que tu navegador -obediente- ejecuta y que, mediante CSRF (Cross Site Request Forgery), se loguea a tu router. Lógicamente, para que esto suceda has debido cometer otra estupidez (la tercera): dejar puesta la contraseña por defecto.

Tranquilo, que no estás solo: hay estudios que indican que el 50% de los usuarios de routers, inalámbricos o no, no se molestan en cambiar las passwords que vienen por defecto.

A partir de ese momento, el código atacante cambia tu configuración DNS, haciendo que apunte a donde él quiera, en el peor de los casos a un servidor DNS falso, donde la URL correcta de tu banco on-line se hace corresponder con la IP que el atacante desee, donde previamente el muy ladino habrá colocado una web falsa idéntica a la de tu banco. Creyendo que vas al sitio correcto, en realidad te metes derechito en la trampa (concepto de Pharming). Ya te puedes imaginar lo que va a ocurrir con tus contraseñas de acceso... y con tus fondos.

De momento, el ataque parece ser más teórico que real, pero nada impide que funcione... aparte del sentido común y la información de los usuarios.

Referencias:

* Drive-By Pharming: How Clicking on a Link Can Cost You Dearly [Descripción del ataque por su autor en Symantec Security Response Weblog].
http://www.symantec.com/enterprise/security_response/weblog/
2007/02/driveby_pharming_how_clicking_1.html

* Drive-By Pharming [Documento con los detalles técnicos, 13 páginas, pdf].
http://www.symantec.com/avcenter/reference/Driveby_Pharming.pdf


Fuente; http://www.kriptopolis.org