el pharming y sus consecuencias

Upload: caca012345

Post on 06-Jul-2018

221 views

Category:

Documents


0 download

TRANSCRIPT

  • 8/17/2019 El pharming y sus consecuencias

    1/17

    Introducción ::¿Que es el Pharming?

    El Pharming  es una nueva modalidad de fraude online, que consiste básicamente enmodificar la relación que existe entre el nombre de una web en internet y su respectivo

    servidor Web. Se trata de suplantar el sistema de resolución de nombres de dominio

    (DNS) para conducir al usuario a una página web falsa idéntica a la original.

    Para que se entienda mejor: en situaciones normales, si tipeamos en nuestro InternetExplorer la dirección www.bancorio.com.ar, estaremos ingresando al sitio web del

    Banco Río de Buenos Aires. Pero si hemos sido víctimas de un ataque de Pharming, al

    tipear www.bancorio.com.ar ingresaremos sin saberlo a un sitio web falso exactamente

    igual al del banco, pero que ha sido creado por los atacantes con el fin de robar los datos

    de nuestra cuenta bancaria.

    ¿Cómo opera?

    Existen dos técnicas de pharming: la de envenenamiento de caché DNS, y la demodificación del archivo HOSTS.

    En la primera, un servidor de nombres (servidor DNS) se ve afectado de talforma que los requisitos de acceso a una web hechas por los usuarios de este

    servidor son redireccionadas a otra dirección (sitio web falso) bajo el control de

    los atacantes.Este tipo de ataques no son dirigidos en sí a usuarios finales, sino a losservidores DNS de proveedores de Internet o de empresas con redesinternas. Lo que sucede es que si el servidor DNS de un proveedor o empresasufre un envenenamiento de cache, todos sus usuarios serán redireccionados

    hacia direcciones y páginas falsas cada vez que intenten visitar determinada web

    legítima, sin que sea necesario que hayan instalado nada en sus propias

    máquinas o que hagan clic en ningún link malicioso.

    En el caso del pharming por modificación del archivo "hosts", en cambio, elataque se da en la propia computadora del usuario. Para ello, generalmente es

    necesario contar con la colaboración involuntaria de este usuario, que deberá

    visitar una página, cliquear en algún link o instalar algún programa

    “contaminante” en su PC.

    En lo que sigue nos vamos a dedicar a estudiar en profundidad el pharming basado enla modificación del archivo HOSTS, por ser éste el caso de más relevancia en lo quehace a usuarios domésticos.

  • 8/17/2019 El pharming y sus consecuencias

    2/17

    El archivo HOSTS ::

    ¿Qué es el archivo hosts?

    Es un archivo de texto que se encuentra tanto en sistemas Windows como Linux. Elnombre de este archivo es simplemente “HOSTS”, no tiene ningún tipo de extensión.

    En los sistemas Windows, el archivo HOSTS se encuentra:

    En Windows 95 /98/ Me en el directorio C:\Windows\   En Windows NT /2000 en el directorio C:\WINNT\System32\etc\   En Windows XP /2003 en el directorio C:\WINDOWS\System32\etc\  

    Vista del archivo HOSTS en Windows XP

    Este archivo se puede editar con el BLOC DE NOTAS (ó NOTEPAD) de Windows o

    cualquier otro editor de texto plano.Para abrirlo, hacemos dos clic sobre él; Nos pedirá que elijamos un programa con el

    cual queramos abrirlo: elegimos el Bloc de Notas y le damos aceptar:

  • 8/17/2019 El pharming y sus consecuencias

    3/17

    !

    Así veremos finalmente el archivo:

    Todos los renglones que aparecen con el signo # al comienzo son sólo comentarios, ypodemos borrarlos sin problemas. La última línea nos indica que “localhost” ( o sea

    nuestra propia máquina ) está asociada a la IP 127.0.0.1 ( o sea nuestra propia IP ), lo

    que queda más que claro.

    Todas las entradas del archivo hosts que agreguemos deberán tener siempre la mismaforma, o sea:

    dirección IP dominioPor ejemplo:

    Estas entradas se utilizan para indicarle a nuestra PC cuál es la dirección IP de cada uno

    de los dominios que hemos agregado. Lo que hacemos es asociar cada dominio con su

    correspondiente dirección IP.

    Para saber la dirección IP de un sitio web hacemos lo siguiente:

    1)  Abrimos la ventana de comandos de Windows: para ello, vamos a INICIO >EJECUTAR, escribimos cmd y le damos ENTER.

  • 8/17/2019 El pharming y sus consecuencias

    4/17

    "

    2) Usamos el comando ping, de la siguiente manera:

    ping nombre del sitio

    Por ejemplo, si queremos ver la IP de Google.Com  hacemos: ping google.com, talcual como vemos a continuación:

      !

    "# !$ % &&'$("# !$ % &&'$("# !$ % &&'$("# !$ % &&'$(

    )* +

    ,-# . $ / +! $ / + $

    %0 +/

    & + .# #

    1* $ / 12 $ / 1 $

    En la primer línea nos muestra la IP 216.239.39.104 que es la IP de www.google.com.

    Para Hotmail y Yahoo!, como vimos en el ejemplo, hacemos lo mismo:

     

    34 !

    "# !$ $ &&'$

    "# !$ $ &&'$"# !$ $ &&'$"# !$ $ &&'$

    )* + ,-# . $ / +! $ / + $ 50 +6/

    & + .# #1* $ / 12 $ / 1 $ (

     

    34 !

    & + + #& + + #& + + #& + + #

    )* + ,-# . $ / +! $ / + $ 50 +6/

    De acá obtenemos que la IP de Yahoo.com  es la 216.109.112.135; y la deHotmail.Com es la 64.4.33.7.

  • 8/17/2019 El pharming y sus consecuencias

    5/17

    #

    ¿Para qué sirve el archivo HOSTS?

    Para poder entender la respuesta a esta pregunta, primero debemos tener en claro

    algunos conceptos:

    Direcciones IP ::Al navegar por internet, nosotros nos manejamos con nombres de dominio, es decir, con

    palabras, por ejemplo: www.google.com. En Internet sin embargo, las máquinas se

    manejan con otro lenguaje, el de las direcciones IP. Las direcciones IP son direcciones

    numéricas de la forma: x.x.x.x donde las “x” son números que van del 0 al 255, por

    ejemplo: 200.239.80.55.

    Cada sitio en Internet que se visita tiene un nombre de dominio y una dirección IP. El

    nombre de dominio de Google, por ejemplo, es Google.com, y su dirección IP es216.239.39.104. Si escribimos en la barra de direcciones de nuestro Internet Explorer laIP 216.239.39.104, aparecerá el sitio de Google, igual que si hubiéramos escrito

    www.google.com.

    Al ser más fácil recordar palabras en vez números, las personas usamos siempre

    nombres de dominio, mientras que las máquinas lo hacen siempre con direcciones IP. Sinuestro navegador de Internet no sabe cuál es la IP de un determinado sitio queintentamos visitar, no podremos ver la página.

    Servidores DNS ::A groso modo, un Servidor DNS  es una computadora que en Internet se encarga de“traducir” nombres de dominio a direcciones IP, de tal forma que puedan ser

    interpretados por las otras computadoras de la red. DNS es la sigla en inglés de DomainName System (Sistema de Resolución de Nombres de Dominio).Hay miles de servidores DNS en Internet que resuelven las peticiones de miles de

    usuarios. Cada empresa prestadora de servicios de acceso a Internet (ISP) además suele

    proporcionar uno o varios servidores DNS a sus usuarios.

    Estos servidores DNS, entonces, son los que se encargan de decirle a nuestroNavegador de Internet cuál es la dirección IP del sitio que estamos queriendovisitar.Cada vez que ingresamos a un sitio web por primera vez observamos que existe un

    pequeño retardo (casi imperceptible hoy día por las altas velocidades de conexión a

    Internet) hasta que nos muestra la página. Ese retardo se debe precisamente a que se está

    produciendo una consulta a un servidor DNS para saber la dirección IP del sitio

    solicitado.

    La función del archivo HOSTS ::

    Hay algo que no mencioné anteriormente y me lo guardé para el final, y es que antes de

    consultar a un Servidor DNS, nuestra PC consultará el archivo HOSTS para ver si

    encuentra en él la dirección IP del sitio que queremos visitar. Si la encuentra, se

    conectará directamente a esa IP, si no, consultará a algún Servidor DNS, y luego

    mostrará la página (si es que el DNS le indica la IP, claro!).

    Si nosotros conocemos la IP de los sitios que visitamos frecuentemente, podemos

    agregarlas al archivos HOSTS, y de esta manera aceleramos la conexión, pues cada vez

  • 8/17/2019 El pharming y sus consecuencias

    6/17

    que accedamos a estos sitios, nuestra máquina no tendrá necesidad de consultar a un

    Servidor DNS las direcciones IP correspondientes.

    Proceso de acceso a un sitio web ::

    1) El usuario intenta ingresar a un sitio web escribiendo la dirección (porejemplo www.misitio.com.ar) en la barra de direcciones del InternetExplorer.

    2) La máquina consulta el archivo HOSTS en busca de la IP de ese sitio. Si

    la encuentra, se conecta a esa dirección IP para pedir la página

    solicitada, si no, consulta a algún Servidor DNS.

    3) Si el Servidor DNS le indica la IP del sitio en cuestión, la máquina se

    conecta a esa IP y nos muestra la página. Si el Servidor DNS consultado

    tampoco conoce la IP, la máquina consulta en otro Servidor. Si ningún

    Servidor DNS sabe la IP del sitio, entonces nos aparece el mensaje

    “Página web no encontrada”.

    Por otro lado, el archivo HOSTS  también nos sirve para evitar el acceso a undeterminado sitio. Sólo necesitamos asociar el dominio de ese sitio a la IP 127.0.0.7.

    Por ejemplo, si no quiero que los usuarios con los cuales comparto el uso de mi PC,

    ingresen al sitio www.sexo.com, agrego al final del archivo HOSTS la entrada que semuestra en rojo en la siguiente imagen:

    *** Arhcivo Host modificado para impedir el acceso a www.sexo.com ***

    7

    7 8 # 9 +. :;&; # + 1+, + ?@

    7

    7 ) +. + >, !+ 7 + ! ++ # * .# ' +A >,

    7 ! + ++ #/ # !+ ++

    7 ' +A >, !+ ! ++ #

    7

    7

    7 &!B # ++ + 5 B6 * .#

    7 #A !+ -# 2 *! C7C

    7

    7 ,+ 9

    7

    7 + 7 +.+ +

    7 ( 7

    Cada vez que los usuarios intenten acceder al sitio www.sexo.com les saldrá el mensaje“No se encuentra la página solicitada”.

  • 8/17/2019 El pharming y sus consecuencias

    7/17

    $

    El proceso del Pharming ::

    Un ataque de Pharming  sucede cuando en el archivo HOSTS se asocia, con finesdelictivos, un dominio a una IP distinta de la original. Por ejemplo, un atacante puede

    crear un sitio idéntico al del Banco Río de Buenos Aires, alojarlo en un servidor web, y

    luego alterar de algún modo nuestro archivo HOSTS, asociando el dominio

    bancorio.com.ar a la IP del servidor donde ha creado la página falsa. De este modo, altipear la dirección www.bancorio.com.ar  estaremos ingresando sin saberlo al sitiofalso. Como ven, el riesgo en este tipo de ataques puede llegar a ser muy alto.

    Veamos un ejemplo sencillo para que se entienda mejor: 

    Vamos a asociar en el archivo HOSTS el dominio YAHOO.COM  con la IP deGOOGLE (216.239.39.104), de modo que todos los usuarios que intenten acceder a lapágina de Yahoo! sean automáticamente llevados a la de Google (dicho de otro modo:ningún usuario podrá ingresar a yahoo.com, pues al intentar hacerlo siempre aparecerá

    la página de Google).Para ello, abrimos el archivo HOSTS con el Bloc de Notas, y agregamos la entrada quevemos en rojo a continuación:

    * Muestro con rojo la línea que debemos agregar nosotros.

    Guardamos los cambios, cerramos esta ventana y luego nos vamos al InternetExplorer. Escribimos www.yahoo.com en la barra de direcciones, y le damos ENTER.Como verán a continuación, lo que se muestra es la página de Google.Com, no la de

    Yahoo!.

  • 8/17/2019 El pharming y sus consecuencias

    8/17

  • 8/17/2019 El pharming y sus consecuencias

    9/17

    &

    Así es la conexión cuando utilizamos el archivo HOSTS:

    Y si “alguien” quisiera robar nuestra clave de GMAIL, y utilizara para ello unataque de pharming, así sería nuestra conexión:

  • 8/17/2019 El pharming y sus consecuencias

    10/17

    '

    Bien, llegó el momento más esperado: el de la puesta en práctica. Vamos a ver un

    procedimiento, a modo de ejemplo, de cómo haría un criminal para robar los datos de

    una cuenta de Banco.

    ACLARACIÓN:Lo que veremos a continuación podría ser uno de los tantos procedimientos utilizados

    por los delincuentes informáticos para el robo de cuentas bancarias. NO PRETENDOCON ESTO HACER APOLOGÍA DE ESTOS DELITOS, sólo trato de abrirles losojos a aquellos que piensan que el robo de claves bancarias es solo cosa de genios

    cibernéticos. Ahora podrán confirmar ustedes mismos, como con simples herramientas

    y un poco de ingenio todo es posible.

    Bien, comenzamos...

    Objetivo:Obtener la clave de la cuenta en el CitiBank de Argentina que tiene el usuario “ X ”. 

    Supuestos: El usuario  X   suele estar conectado varias horas a Internet, y chequea por lo

    menos dos veces en el día su cuenta bancaria en el sitio web del CitiBank. Nosotros tenemos una IP fija. *** Si tuviéramos una IP variable, este proceso

    debe hacerse en el mismo día y sin haber desconectado nuestra máquina enningún momento durante el ataque. 

    Mediante ingeniería social, logramos chatear con la víctima a través de MSN o

    Yahoo! Messenger, y logramos que acepte bajar un archivo, o bien se lomandamos por e-mail, y éste lo acepta.

    Herramientas necesarias:

    1) El WinRar y/o WinZip  Para bajar WinRar: www.rarlab.com  Para bajar WinZip: www.winzip.com/es 

    2) El Xerver Free Web Server: http://www.javascript.nu/xerver/  

    Paso a paso…(pero con reservas)…

    1) Crear un sitio web idéntico al del CitiBank:

    Debemos crear un par de páginas idénticas a las del CitiBank donde el usuario debeloguearse  para acceder al panel de su cuenta. No pretendan que les explique cómo

  • 8/17/2019 El pharming y sus consecuencias

    11/17

    ''

    hacer una réplica de las páginas, ni cómo deberíamos estructurarlas para crear un

    engaño perfecto. Eso está en el ingenio de cada uno. Yo me limito a explicar el proceso

    que usaría un delincuente para robar los datos de una cuenta, no a enseñarles con lujo de

    detalles el proceso completo. *** Lo importante, como en cualquier sitio web, es que la

    primer página a la que pretendemos que el usuario ingrese se llame index.htm.

    Una vez creado el sitio, lo guardamos en una carpeta de fácil acceso. En mi caso, laguardo en “C:\CitiBank\”.

    Deberíamos imitar el formulario de logueo del CitiBank como el que vemos en esta imagen.

    2) Instalamos un servidor Web en nuestra máquina para alojar este sitio falso delCitiBank.

    Instalaremos, por su fácil y rápida configuración, el XERVER Web Server 4.20  (lopueden bajar de http://www.download.com/Xerver-Free-Web-Server/3000-2165-

    10074595.html?part=dl-XerverFre&subj=uo&tag=button ). *** Nota: para poder usar

    este servidor web, necesitan tener instalada la última versión de Sun Java (pueden

    bajarla de http://www.java.com/es/download/manual.jsp  ).

    En la página del XERVER  (http://www.javascript.nu/xerver/ ) tienen ayuda online deeste soft, el cual es más que fácil, por lo que no voy a entrar en detalles tampoco.

    Una vez instalado, cuando lo configuren, la carpeta que deben “compartir” es aquella

    donde tienen el sitio del CitiBank, en mi caso: “C:\CitiBank\”.

  • 8/17/2019 El pharming y sus consecuencias

    12/17

    '

    3) Creamos un ejecutable que modifique el archivo HOSTS de nuestra futuravíctima.

    Para esto, en una misma carpeta cualquiera, creamos tres archivos:

    Un archivo HOSTS que contenga el dominio citibank.com asociado a nuestradirección IP.

    Un archivo para unir al ejecutable y que despiste al usuario, en mi caso es un

    archivo de Word: hola.doc. Un archivo .bat con el código para reemplazar el archivo hosts de la víctima por

    el que acabamos de crear.

    Vamos por partes...

    a) Creamos un nuevo archivo HOSTS:  Para ello, abrimos el Bloc de Notas, yescribimos dos líneas como vemos a continuación:

    En rojo puse la IP que tengo en este momento, ustedes colocan ahí la suya.

    Guardamos este archivo con el nombre HOSTS.txt, luego desde el Explorador deWindows le quitan la extensión (recuerden que el archivo HOSTS no tiene ninguna

    extensión!)

    b) Creamos un archivo de Word para que el usuario vea al abrir nuestroejecutable: El contenido del archivo y el nombre lo determinan ustedes. Yo para esteejemplo creo “hola.doc”.

    c) Creamos un BAT con el siguiente código:

    D

  • 8/17/2019 El pharming y sus consecuencias

    13/17

    '!

    Este BAT lo guardan con el nombre que quieran, yo le puse x.bat.

    Creación del ejecutable ::

    Por último ahora, juntamos todo en un ejecutable .exe que luego enviaremos a lavíctima:

    Para crear este .exe, usaremos WinRar, de la siguiente manera:

    a)  Seleccionamos los tres archivos creados, cliqueamos botón derecho del mouse, yelegimos “Añadir al archivo...”:

    Veremos la siguiente ventana:

  • 8/17/2019 El pharming y sus consecuencias

    14/17

    '"

    Tildamos “CREAR UN ARCHIVO SFX”,  y en el nombre ponemos hola.exe  (o elnombre que quieran, claro!). Vamos luego a la opción AVANZADO:

    Vamos a “OPCIONES SFX”, veremos la siguiente ventana:

  • 8/17/2019 El pharming y sus consecuencias

    15/17

    '#

    En “Ejecutar tras la extracción”, escribimos el nombre de nuestro archivo BAT, enmi caso: x.bat. Luego vamos a “MODOS”, y tildamos las casillas que vemos acontinuación:

    Por último, vamos a “TEXTO e ICONO”:

  • 8/17/2019 El pharming y sus consecuencias

    16/17

    '

    Ya que le inyectamos un archivo de Word, le debemos poner un icono de esteprograma. Lo hacemos y le damos aceptar. Veremos a continuación nuestro ejecutable

    casi listo para enviar!:

    La extensión “.exe” no se mostrará en la PC víctima, salvo que así lo haya establecidoen su configuración, algo no muy común.

    Bien, pero para poder enviar este archivo por mail o por MSN, primero debemoscomprimirlo. Lo mejor es hacerlo con el WinZip, ya que es el que tienen la mayoría delas personas.

    Terminamos! Ahora todo es cuestión de enviarle este archivo a la víctima, que ella loejecute, y listo! Desde ese momento, la próxima vez que se conecte a

    www.citibank.com, estará ingresando sin saberlo, a nuestra página, y al loguearse , susdatos de acceso pasarán a nuestras manos. La víctima JAMÁS podrá ingresar al sitioreal del CitiBank, mientras no se vuelva a modificar el archivo HOSTS. 

    Esto, por supuesto, se trata no más que de un ensayo, pero si fuese real, al criminal no le

    importaría demasiado si la víctima puede o no luego ingresar al sitio real del Banco,

    pues para cuando se de cuenta de lo que está sucediendo, ya el delincuente habrá

    vaciado los fondos de su cuenta bancaria.

    Nota:  como vimos, fue un procedimiento bastante sencillo, y con herramientas muy precarias.  Ha habido varias desprolijidades en este proceso  (hemos usado nuestra propia máquina, no hemos ocultado nuestra IP, etc, etc, etc.), pero se debe a que esto esSOLO UNA PRUEBA, una DEMOSTRACIÓN para ver que el PHARMING no es algodifícil de hacer. No íbamos a dar un curso de “Robo de cuentas bancarias”  obviamente, se trata de un ensayo, nada más.

  • 8/17/2019 El pharming y sus consecuencias

    17/17

    '$

    ()* + + + ,

    Lo mejor es siempre la PREVENCIÓN:

    Mantener el sistema operativo, navegador y programa de e-mail constantemente

    actualizados. Quienes usan Internet Explorer, actualizar todos los parches

    de seguridad. Instalar y mantener actualizado un programa anti-vírus que tenga capacidad de

    identificar no sólo amenazas ya identificadas, sino también amenazas

    desconocidas, por medio del análisis del comportamiento del archivo sospechoso

    (análisis heurístico).

    También es importante instalar otros programas de protección, como anti-spywares.

    Instalar un firewall, que bloquea todo el tráfico de entrada y salida de datos de laPC, y sólo deje pasar aquello que el usuario autorice.

    Tener cuidado con mensajes no solicitados (spam), aunque parezcan venir defuentes confiables, y no cliquear en links o instalar archivos que vengan en estos

    mensajes.

    :: FIN ::Espero les sea de gran utilidad.

    Saludos. FG – DICIEMBRE DE 2006LILIANGROUP [ARROBA] GMAIL [PUNTO] COM