Como es una constante desde el año pasado, el Robo de
Identidad es uno de los principales ciberdelitos que utiliza
herramientas tecnológicas para perpetrar el engaño. Pharming
es una de ellas y se observan algunas mutaciones de este
ataque que tienen como objetivo engañar al usuario cuando
intenta acceder a un sitio web conduciéndolo a otro
distinto del original.
Routers de bajo costo, algunos wireless... de esta forma se
pueden crear Redes Internas que quedan configuradas en un
abrir y cerrar de ojos, según reza el paper de Sid Stamm de
la Universidad de Indiana. Desafortunadamente, visitando
sitios Web con código malicioso este mismo dispositivo de
bajo costo es atacado y la configuración ya no es la misma
de la original: los servidores DNS que ahora utilizarán los
usuarios de esa red ya no serán los válidos.
Inadvertidamente, estos inocentes navegarán por algunos
sitios web correctos y otros no tanto…
Los ataques ahora no son ejecutados tratando de engañar al
usuario o explotando alguna vulnerabilidad del browser como
ocurría en las formas tradicionales de Phishing o Pharming,
sólo es necesario que la víctima se comunique a través de
estos baratos dispositivos y que tenga activado JavaScript
(el 95% de los usuarios lo permite).
1º El usuario visita un sitio web a través del router.
2º Ejecuta un Applet que intenta detectar la dirección
interna del usuario.
3º JavaScript habilitado intenta bajar scripts desde el
host hacia la red.
4º Se generan errores que logran revelar la dirección ip
del router.
5º Finalmente el mismo script ataca el router a la
dirección ip ya conocida del dispositivo.
Este ataque no se puede evitar desactivando la opción de
configurar el dispositivo desde Internet ya que lo realiza
desde el usuario, inclusive agiliza la detección probando
con la primera dirección del rango (casi siempre es así
prueben en su red y fíjense cual es su dispositivo de
conexión seguro que es la primera IP).
El script también realiza un barrido de la Red como
detección, o peor aún, los más sofisticados reconocen los
tipos de routers para lanzar ataques sólo a ese dispositivo
específico, prueban usuarios por default o no prueban nada
ya que hay routers autoconfigurables sin autenticación.
Los scripts
tienen un código similar a este:
public class InternalIP extends Applet {
private String getInternalIP() {
int port = 80;
String shost =
getDocumentBase().getHost();
if (getDocumentBase().getPort() != −1)
port = getDocumentBase().getPort();
try {
return (new Socket(shost, port))
.getLocalAddress()
.getHostAddress();
} catch(SecurityException e) {
return ‘‘FORBIDDEN’’;
} catch(Exception e) {
return ‘‘ERROR’’;
}
return ‘‘undefined’’ ;
}
Lo que sigue
después ya es por demás sabido: redireccionamiento a sitios
web apócrifos y finalmente identidad robada, o compromiso de
servidores DNS para redes zombies o denegaciones de
servicio, ¿sigo?... mejor no!.
Algunas
contramedidas técnicas:
-
Asegurar
desde el cliente el entorno de java (JRE) para que no
revele direcciones IP, aplicar políticas de restricción
para el manejo de mensajes de error.
-
El
router debe estar configurado con credenciales robustas
o algún método de autenticación más seguro que el de
usuario y contraseña (no lo permiten la mayoría de los
dispositivos de bajo costo).
-
Desde el
punto de vista del ISP es más complicado, hay que
pedirles que filtren el tráfico DNS: ¡una utopía!
-
Chequear
periódicamente que los servidores DNS sean los
correctos.
Lo que sí no se puede hacer nunca con
Drive-By Pharming o Pharming Inadvertido es asumir el
riesgo, ya están avisados, entonces ahora que terminaron de
leer este artículo verifiquen al menos que los DNS que
tienen seteados sean los correctos.
