Drive-by Pharming: un clic que puede salirte caro

Enviado por admin el 16. Febrero 2007 - 23:14.

Zulfikar Ramzan (experimentado investigador de Symantec), Markus Jakobsson y Sid Stamm (Universidad de Indiana, EE.UU.) han presentado lo que denominan Drive-by Pharming, un nuevo tipo de ataque que permitiría a un sitio web malicioso reconfigurar sobre la marcha el router de un usuario de banda ancha, sin más que lograr que éste visite una página web maliciosa.

Como el propio Ramzan explica, cuando quieres llamar a tu banco coges la guía telefónica, buscas el número, descuelgas el teléfono y llamas. Ahora, imagina que te han cambiado tu listín por otro falso, donde bajo el nombre de tu banco figura el teléfono del atacante. Guauu!!

[18-FEB] Un ejemplo práctico: Una página web que incluya el siguiente código:
<script src="http://192.168.0.1/h_wan_dhcp.cgi?dns1=69.6.6.6"> en un router D-Link establece 69.6.6.6 como el servidor DNS de la red local, que se envía por DHCP a todos sus clientes.

A grandes rasgos, el ataque podría funcionar así...

En primer lugar, en un sitio totum revolutum -tipo Digg o Menéame- alguien envía una noticia lo suficientemente atractiva como para que no puedas evitar cliquear (primera estupidez y origen de todos los males que te aguardan ;).

Una vez en la página maliciosa, si tu Javascript no está activo (y sólo el 5% de los usuarios navegan sin activarlo) se te pedirá cortésmente que lo habilites, o no podrás ver la página en cuestión.

Si lo haces (segunda estupidez), la página maliciosa te carga un código javascript, que tu navegador -obediente- ejecuta y que, mediante CSRF (Cross Site Request Forgery), se loguea a tu router. Lógicamente, para que esto suceda has debido cometer otra estupidez (la tercera): dejar puesta la contraseña por defecto.

Tranquilo, que no estás solo: hay estudios que indican que el 50% de los usuarios de routers, inalámbricos o no, no se molestan en cambiar las passwords que vienen por defecto.

A partir de ese momento, el código atacante cambia tu configuración DNS, haciendo que apunte a donde él quiera, en el peor de los casos a un servidor DNS falso, donde la URL correcta de tu banco on-line se hace corresponder con la IP que el atacante desee, donde previamente el muy ladino habrá colocado una web falsa idéntica a la de tu banco. Creyendo que vas al sitio correcto, en realidad te metes derechito en la trampa (concepto de Pharming). Ya te puedes imaginar lo que va a ocurrir con tus contraseñas de acceso... y con tus fondos.

De momento, el ataque parece ser más teórico que real, pero nada impide que funcione... aparte del sentido común y la información de los usuarios.

Referencias:

»

Comentarios

Selecciona arriba tu forma preferida de visualizar
los comentarios y pulsa el botón para guardar tus
preferencias. Éstas sólo se recordarán para tus
próximas visitas si eres usuario registrado.

O_o

Enviado por JokinGonzalez. el 17. Febrero 2007 - 0:34.

Gracias por el aviso... Acabo de cambiar la dirección del router que, efectivamente, ni me había preocupado de modificarla en tres años

Competicion de negados.

Enviado por DarwinSoft el 17. Febrero 2007 - 9:21.

Realmente el ataque es mas teorico que real por que repasemos. - Tiene que falsear algo en le web para obligarte a cliquear. - Si el javascript de tu navegador no esta activo (cosa poco probable) te pide que lo actives. - Debes tener (y esta ya es la repera) el password de tu router memorizado en el navegador. A partir de ahi el se loguea en tu router lo modifica y te saquean todo lo que pueden. Sinceramente si consiguen que una sola persona pique en este ataque ya pueden darse con un canto en los dientes. Por otra parte no creo (y espero que asi sea) que exista nadie tan tonto como para cumplir todos esos requisitos, mas que nada por que el javascript siempre viene activado por defecto y si te has molestado en desactivarlo es que te preocupa tu seguridad, pero tener el password del router almacenado en el navegador (o cualquier password) me parece una barbaridad. Ni siquiera yo que uso Linux tengo ningun password almacenado en el navegador (aparte de que mi router es mio y la administracion web la tengo desactivada, only for telnet my friend), una cosa es tener enlaces directos y otra muy diferente dejar todas las puertas abiertas. Un Saludo.

En mi opinión, en absoluto

Enviado por admin el 17. Febrero 2007 - 9:57.

Quizás la culpa de que se entienda de ese modo haya sido de mi redacción, pero cuando digo que el ataque es más teórico que real lo hago sólo -ojo- porque aún no se tiene constancia de que haya sido utilizado.

En realidad el ataque es facilísimo y tiene grandes posibilidades de éxito, lo que le convierte en altamente peligroso.

En la práctica (puesto que visitar páginas de dudosa fiabilidad e ir con javascript activado podemos darlo por hecho), el único requisito previo es no haber cambiado la contraseña del router. Eso sí que es un error y clara responsabilidad del usuario, pero no pienses en los términos de un usuario de Kriptópolis. Las estadísticas dicen que el 50% de los routers están funcionando así y te aseguro que debemos creerlo (piensa en el usuario normal de ordenadores que ni entiende de contraseñas ni quiere entender).

Y no es por dar ideas, pero basta lanzar un ataque de phishing al uso, mediante mensajes de correo, por ejemplo, para encaminar la víctima al sitio malicioso y robarle la cartera.

Si no he leído mal

Enviado por mced el 17. Febrero 2007 - 11:22.

Si no he leído mal, el ataque no consiste en averiguar contraseñas guardadas por el navegador (algo que por otra parte sería bastante complejo, al estar cifradas), sino en algo bastante más simple como es introducir usuario y password por defecto.

Lógicamente, hay una ingente cantidad de marcas distintas de dispositivos SOHO; pero, al igual que con el concepto clásico del phishing, se trata de un ataque en bruto. Basta con usar una relación de las más frecuentes (pongamos las normales de 3Com, USR, Netgear, Linksys y D-Link) para conseguir un porcentaje de éxito superior al 10%; lo que para estos propósitos es más que suficiente.

Respecto al porcentaje de usuarios y contraseñas por defecto, lo desconozco; pero echando un vistazo al de redes wifi abiertas, que es muy elevado, se puede deducir que es similar, puesto que la base del problema es la misma: routers que vienen preconfigurados por defecto y que, para funcionar, no hacen necesario que el usuario se meta en su configuración. Lo que suele equivaler a que éste ni siquiera sepa que tal cosa existe (comprobado por experiencia personal).

Considerando un 5% como porcentaje de éxito con tal sólo cinco combinaciones usuario-contraseña, y estimando --siendo generosos-- que sólo un tercio de los dueños de router se ha olvidado de cambiar las que vienen por defecto, nos sale un 1.6% de porcentaje de éxito. Limando ese 0.6% por los usuarios que toman precauciones con los scripts (de nuevo, siendo generosos), nos queda un 1% de porcentaje efectivo de éxito. Podrá parecer pequeño, pero si el ataque lo extiendes con una campaña de E-mails, la cosa comienza a tomar forma.

Yo no lo veo tan inofensivo. Y hay un aspecto más preocupante: salvo el "ataque" inicial basado en scripts, el resto de las acciones pasan totalmente desapercibidas para antivirus, firewalls y demás herramientas de seguridad. Se puede confiar en los filtros antiphishing de los navegadores, pero yo soy muy escéptico con esta característica concreta.

No considero tan trivial

Enviado por anónimo el 10. Enero 2008 - 16:45.

No considero tan trivial o teórico el ataque, ya que el usuario y son millones y "no son tontos", no tienen el conocimiento ni las costumbres de preveer situaciones como las podes preveer vos . Para la gran mayoría, Internet es una herramienta que cumple funciones especificas y no conocen quizas que es un router ni para que sirve, entonces te darás cuenta que pueden tranquilamente ejecutar codigos maliciosos sin tener la menor idea de lo que hacen. Si no fuese asi no existiria la llamada ingenieria social para realizar ataques

Medidas básicas de seguridad

Enviado por mced el 17. Febrero 2007 - 9:52.

Es curioso observar como el ramillete de medidas básicas sigue siendo eficaz para detener en buena parte los nuevos ataques, incluso los imaginativos como éste. Concretamente, aquí tenemos dos, la primera muyyyy básica y la segunda no tanto:

- Cambiar las contraseñas por defecto. Y yo aún diría más: además de cambiarse, ha de ser sólida. La contraseña del router (tanto la de administración como la WEP/WPA en wifi) tiene la ventaja de ser de las pocas que se puede apuntar en un post-it y pegar en el propio aparato, sin ser un agujero de seguridad demasiado gordo (una medida desaconsejable, en cualquier caso).

- Prescindir de los servidores DNS cuando se trata de acceder a webs susceptibles de phishing/pharming. Esto es: bancos, paypal, eBay... incluso nuestro buzón webmail. En estos casos, es mejor entrar directamente usando la IP del servidor. O si no lo permite (hola, Banesto.es; yo también os quiero), comprobar en cada login su certificado Verisign (normalmente, pulsando en el candadito). Sin excusas.

Esto sí

Enviado por admin el 17. Febrero 2007 - 10:03.

Estos sí que me parecen buenos consejos.

Pero por más que los repitamos aquí su alcance nunca será el necesario, porque nunca llegará a millones de internautas -sólo en España- que ni tienen formación ni ganas de tenerla.

Resultado: phishing imparable.

Si quieres acceder

Enviado por guannais el 17. Febrero 2007 - 14:36.

Si quieres acceder a banesto.es usando la dirección IP que tu elijas puedes poner una linea en "/etc/hosts" en Linux, "C:\WINDOWS\HOSTS" en Windows 98 o "C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS" en Windows XP, tal que así:

195.76.19.228 www(punto)banesto(punto)es

Yo además lo uso para bautizar mis ordenadores en mi red local, así como librarme de la publicidad redirigiéndola a mi mismo, que evidentemente no tengo servicio web:

127.0.0.1 publicidad(punto)cansina(punto)es

Gracias. Ya estaba usando el hosts

Enviado por mced el 17. Febrero 2007 - 18:14.

Gracias. Ya estaba usando el hosts como mencionas, pero el problema no está ahí.

El caso es que cuando abrí la cuenta en Banesto.es sí que podía acceder directamente usando la IP; pero en determinado momento lo modificaron inhabilitando el acceso. Puedes comprobarlo:

http://195.76.19.228

Escribí un mail al webmaster argumentando el porqué de mi petición, pero hasta ahora he recibido el silencio como respuesta.

Usa https

Enviado por brosaj el 23. Febrero 2007 - 12:34.

Si usas el protocolo https://195.76.19.228 podrás acceder a la web de banesto.

Espero que sea útil

12siguientefinal

Opinar

Salvo circunstancias especiales LOS COMENTARIOS DE ESTE SITIO SERÁN MODERADOS.

Como norma general, en este sitio NO SE PUBLICARÁN aquellos comentarios que incluyan datos personales, ni direcciones de correo, ni ninguna otra forma de establecer contactos privados o comerciales. Tampoco los que no se ajusten al tema, a la netiqueta, la ortografía o la educación, así como los comentarios ofensivos o claramente publicitarios, los que no aporten nada a la discusión o los que pretendan suplantar a terceras personas.

En cualquier caso los comentarios publicados en este sitio expresan sólo la opinión de su autor, quien será el único responsable -incluso ante la Ley- de los mismos. La publicación de cualquier comentario no supone en absoluto la conformidad del responsable de este sitio con su contenido.

Para poder enviar tus comentarios no necesitas ningún registro, pero has de permitir las cookies del sitio. Sólo si deseas disponer de un alias permanente has de registrarte.

Si no aceptas estas condiciones, por favor, absténte de participar en los debates. Muchas gracias

Kriptópolis, 21 de noviembre de 2008.

  • Etiquetas HTML permitidas: <a> <em> <strong> <ul> <ol> <li> <p> <u> <br><strike> <blockquote> <div>

Más información sobre las opciones de formato...

CAPTCHA
Esta prueba busca evitar la entrada de mensajes basura automatizados. Muchas gracias por tu colaboración.
1 + 15 =
Resuelve esta sencilla operación e introduce el resultado.