Departamento Especializado en Seguridad - TELMEX

Thursday, January 17, 2008

Definición

Es un ataque que intenta manipular la resolución de nombres de dominios previamente seleccionados por un atacante, así, para cuando dicho ataque llegase a tener éxito, la victima al intentar ingresar a las páginas Web de los dominios previamente comprometidos, realmente estarían ingresando a una página Web clonada y preparada con antelación por el atacante.

La intensión del ataque radica en capturar datos con un significado crítico para las victimas, tales como información de sus cuentas bancarias, cuentas de correo, etc.

Elementos involucrados en un ataque de Pharming

Elementos de carácter obligatorio

- Atacante

- Victima ó grupo de victimas

- Definición del método para la perpetración del ataque

- Página Web clonada para consumar el ataque

· Elementos de carácter opcional según sea el método del ataque

- Computadora de la victima

- Servidor DNS configurado en el computador de la victima

- Router ADSL instalado en el local de la victima, con DHCP activado

- Servidor DNS montado por el atacante

- Servidor DHCP de una organización

Métodos disponibles para el ataque

Comprometiendo el computador de la victima

Para tener éxito se deben considerar los siguientes aspectos:

- El sistema operativo ó cualquier software instalado en el computador de la victima, deberá estar expuesto a una vulnerabilidad sin el respetivo parche.

- Ser victima de un engaño, con la finalidad de modificar la configuración del computador.

Características

- Puede ser manual ó automatizado para aumentar la probabilidad de mayor captación de victimas.

Comprometiendo el servidor DNS, router ADSL, ó servidor DHCP

Para tener éxito se deben considerar los siguientes aspectos:

- El software instalado en el servidor DNS o DHCP, que usa la victima, deberá estar expuesto a una vulnerabilidad sin el respetivo parche.

- El router ADSL con contraseñas por defecto y/o firware del equipo expuesto a una vulnerabilidad sin el respetivo parche.

Secuencia de un ataque de Pharming

Elección de la victima o grupo victimas.
Definición del método para el ataque.
Captura de la información.
Uso de la información capturada con fines ilícitos.

Mitos y desinformaciones

Es un troyano el Pharming?

No, el pharming es un ataque, más evolucionado, que esta orientado específicamente a modificar la resolución de nombres de ciertos dominios, mientras que un troyano es un programa que se instala en la computadora y disfraza su ataque con una supuesta utilidad secundaria que sirve de fachada frente al usuario.

El origen de esta interrogación podría radicar en la similitud del contagió de un troyano, cuando el método usado para el ataque de pharming es a través de un programa enviado al usuario por cualquier medio, pero, a diferencia del troyano este programa en si no envía la información y su ciclo de vida concluye cuando altera registros de resolución de nombres de la computadora del usuario, mientras que un troyano sigue enviando información de manera indefinida hasta que sea detectado.

Mi antivirus puede prevenir un ataque de Pharming?

Será detectado siempre y cuando el método del ataque involucre la ejecución de un programa en el computador de la victima, y dicho programa tenga en su código un patrón que alerte al antivirus de un eventual ataque.

Mi firewall puede prevenir un ataque de Pharming?

Un firewall de filtrado de paquetes, vale decir, que sus políticas de seguridad están basadas en direcciones IPs y puertos de servicio TCP/UDP, no puede detectar este tipo de ataques de manera inteligente a menos que se establezca explícitamente una regla con tal finalidad, tal vez, bloqueando la IP de página clonada, pero, entendamos que sería una detección a posteriori.

El Firewall de Windows no detecta este tipo de ataques.

Mi IDS puede prevenir un ataque de Pharming?

Los IDS son elementos pasivos, es decir, así llegarán a detectar el ataque solamente procedería a detectar y registrar mas no prevenir el ataque.

Mi IPS puede prevenir un ataque de Pharming?

Prevendría el ataque siempre y cuando en sus firmas detecten la actividad maliciosa del ataque, también aplica para cuando el método del ataque se lleva a cabo a través de un gusano o troyano.

Mi ANTISPAM puede prevenir un ataque de Pharming?

Para comprometer se hecha mano de una vulnerabilidad que afecte la seguridad del servidor DNS o equipo del cliente (otro mas) y según sea el caso se modifique los registros que relacionan un dominio con un numero IP.

Recomendaciones para prevenir el Pharming

No navegar en páginas de dudosa reputación.
Evitar bajar versiones demo de software desconocido.
No abrir correos de personas desconocidas
Mantener actualizado el sistema operativo y software de la computadora.
Cerciorarse que los dispositivos que le permiten el acceso a Internet tales como router y/o router ADSL están debidamente configurados, por ejemplo sin claves de acceso por defecto.
Cultivar una cultura de seguridad.
Recuerde que no hay seguridad perfecta, una persona con suficiente tiempo y recursos tiene una alta probabilidad de vulnerar un sistema.

Departamento Especializado en Seguridad - Internet

TELMEX PERÚ S.A.

Pharming

Thursday, January 17, 2008 4:22:40 PM UTC

Comments [8]

Monday, March 31, 2008 2:10:23 PM UTC

Amigos, Este es un excelente compendio técnico del problema con el pharming. Efectivamente, vía CSRF (Cross-site request forgery), un router DSL puede recibir comandos maliciosos para la actualización o mas bien reemplazo de los DNS por defecto, al aprovechar una sesión pre-existente. En tal caso, no es necesario que se tenga una password por defecto en el router DSL, mas bien, que los usuarios víctima no sigan vuestra recomendación de no caer en trampas de ingeniería social o visitar páginas poco confiables. Pero, como también dijeron, incluso con toda esta recomendación nada es seguro. Últimamente las páginas confiables no son tan confiables (ellas son víctimas de hacking para regar malware u abusos XSS que anda fuertemente de moda). Quizás, sea bueno asegurarse que el router no permite ese session riding, aunque eso complica el asunto para un usuario promedio. Por tanto, lo mejor sería evaluar otros mecanismos más a la medida de cada quien, quien sabe, hasta menos rebuscados, como pagar un seguro por fraude electrónico por Internet.

JaCkSecurity

Thursday, April 17, 2008 7:54:46 PM UTC

http://phentermine.com.md/pharmacy/tylenol.html http://phentermine.com.md/pharmacy/ultram.html http://phentermine.com.md/pharmacy/valium.html http://phentermine.com.md/pharmacy/valtrex.html http://phentermine.com.md/pharmacy/viagra.html http://phentermine.com.md/pharmacy/xanax.html http://phentermine.com.md/pharmacy/xenical.html http://phentermine.com.md/pharmacy/zoloft.html http://phentermine.com.md/pharmacy/zovirax.html http://phentermine.com.md/pharmacy/zyban.html http://phentermine.com.md/pharmacy/zyrtec.html http://phentermine.com.md/pharmacy/acyclovir.html http://phentermine.com.md/pharmacy/adipex.html http://phentermine.com.md/pharmacy/cialis.html http://phentermine.com.md/pharmacy/codeine.html http://phentermine.com.md/pharmacy/diazepam.html http://phentermine.com.md/pharmacy/didrex.html http://phentermine.com.md/pharmacy/drugs.html http://phentermine.com.md/pharmacy/ionamin.html http://phentermine.com.md/pharmacy/levitra.html http://phentermine.com.md/pharmacy/lipitor.html http://phentermine.com.md/pharmacy/meds.html http://phentermine.com.md/pharmacy/meridia.html http://phentermine.com.md/pharmacy/paracetamol.html http://phentermine.com.md/pharmacy/phentermine.html http://phentermine.com.md/pharmacy/propecia.html http://phentermine.com.md/pharmacy/prozac.html http://phentermine.com.md/pharmacy/soma.html http://phentermine.com.md/pharmacy/tenuate.html http://phentermine.com.md/pharmacy/tramadol.html

Phaurdas

Monday, April 21, 2008 10:02:46 AM UTC

Online Pharmacy online buy USA,http://www.blackplanet.com/phenterminehere http://www.jamendo.com/en/user/customhrtphentermine37.5 http://uk.groups.yahoo.com/group/Buy_oxycontin http://www.stickam.com/buyadderall http://www.stickam.com/buyoxycontin http://www.stickam.com/buydiazepam http://www.stickam.com/buymethadone http://www.stickam.com/lipitor http://www.stickam.com/Metformin http://www.stickam.com/Lexapro http://www.stickam.com/Cymbalta http://www.stickam.com/Cephalexin http://www.stickam.com/buyxanax

Pmurkat

Tuesday, April 22, 2008 12:23:01 AM UTC

http://www.asianave.com/oxycontin buy oxycontin official online 98623147 http://www.asianave.com/viagra buy viagra official online http://www.asianave.com/phentermine buy phentermine official online http://www.asianave.com/tramadol buy tramadol official online www.indeed.com/forum/profile/herzog phentermine official online http://www.indeed.com/forum/profile/stringfellow buy cialis online http://us.cyworld.com/viagrabuy http://www.stickam.com/phentermineonline buy phentermine 37.5 online custom 0125498

Joneerdred

Friday, November 14, 2008 6:46:06 PM UTC

Good luck,

Yvrhmmmd

Saturday, December 06, 2008 9:07:43 AM UTC

gay http://www.beponline.net/moodle/user/view.php?id=381&course=1 gay http://www.brainmattertechnology.com/moodle/user/view.php?id=388&course=1 gay http://www.brosseau.org/moodle/user/view.php?id=333&course=1 gay http://www.bs.ustu.ru/elearning/user/view.php?id=1012&course=1 gay http://www.building-bridges.is/courses/user/view.php?id=1414&course=1 gay http://www.bitontoonline.it/corsi/user/view.php?id=182&course=1 gay http://www.bscheele.com/lms/user/view.php?id=723&course=1 gay http://www.challengeit.info/moodle/user/view.php?id=234&course=1 gay http://www.christianmarriage.com/university/user/view.php?id=170&course=1 gay http://www.ciph.ie/online/user/view.php?id=1321&course=1 gay http://www.cfrta.net/moodle/user/view.php?id=39&course=1 gay http://www.ceta.eu/moodle/user/view.php?id=1088&course=1 gay http://www.acselearning.org/user/view.php?id=55&course=1 gay http://www.cherin.net/room461/user/view.php?id=364&course=1

analgay

Monday, December 08, 2008 7:12:18 AM UTC

gay http://lnx.liceoasproni.it/moodle16/moodle/user/view.php?id=1214&course=1 gay http://mcauston.org/moodle/user/view.php?id=73&course=1 gay http://maybe-useful.ch/moodle/user/view.php?id=1033&course=1 gay http://lnx.fortelmarche.eu/formazione/user/view.php?id=1076&course=1 gay http://mimir.moodlefarm.socialminds.jp/user/view.php?id=978&course=1 gay http://lnx.marcellofesteggiante.it/fad/user/view.php?id=220&course=1 gay http://menzies.us/teach/user/view.php?id=75&course=1 gay http://mftot.jointokyo.org/user/view.php?id=3937&course=1 gay http://lnx.agenda21polesine.it/moodle/user/view.php?id=2372&course=1 gay http://moodle.aea1.k12.ia.us:8888/moodle18/user/view.php?id=365&course=1 gay http://moodle.adistanza.com/moodle/user/view.php?id=1476&course=1 gay http://ll.alphalearning.school.nz/user/view.php?id=1176&course=1 gay http://modellus.fct.unl.pt/user/view.php?id=6926&course=1 gay http://moodle.abouttraining.edu.au/moodle/user/view.php?id=125&course=1

teengay

Monday, January 19, 2009 5:50:42 AM UTC

gay http://moodle.tstboces.org/gjr/user/view.php?id=503&course=1 gay http://moodle.cs.grinnell.edu/user/view.php?id=1353&course=1 gay http://moodle.tstboces.org/groton/user/view.php?id=689&course=1 gay http://moodle.thedrum.org.uk/user/view.php?id=1342&course=1 gay http://moodle.sd71.bc.ca/user/view.php?id=3285&course=1 gay http://moodle.klevar.com/user/view.php?id=111&course=1 gay http://moodle2.kidderminster.ac.uk/gmb/user/view.php?id=449&course=1 gay http://moodle161.drosson.eu/user/view.php?id=667&course=1 gay http://ll.alphalearning.school.nz/user/view.php?id=1269&course=1 gay http://moodle.heathconsulting.co.uk/user/view.php?id=1227&course=1 gay http://myclass.nipomotitans.net/user/view.php?id=870&course=1 gay http://moodletest.iawire.org/user/view.php?id=107&course=1 gay http://moodle.interlochen.org/user/view.php?id=732&course=1 gay http://myeslspot.com/eslonmoodle/user/view.php?id=110&course=1 gay http://moodle.wrap.org.uk/user/view.php?id=373&course=1

forcedgay

Comments are closed.

On this page....

Categories