¿Qué es exactamente el pharming?Pharming es un nuevo nombre para un tipo de ataque conocido por años, que es básicamente para cambiar la relación entre el nombre de un sitio en Internet y su servidor Web
La técnica clásica se llama envenenamiento de caché de DNS. En este ataque, un servidor de nombres (servidor DNS) se ve comprometida, de modo que las solicitudes de acceso a un sitio por parte de los usuarios del servidor es redirigido a otra dirección, bajo control de los atacantes.
La empresa antivirus Panda Software también se encontraban en el ataque pharming, o se hace a distancia a través de los programas maliciosos como troyanos de los equipos presentes en un archivo, los usuarios finales, llamado de" hosts ". Este archivo, que se encuentra en la mayoría de versiones de Windows y otros sistemas operativos, puede incluir una lista de nombres de los sitios asociados con determinadas direcciones electrónicas, como un directorio telefónico. Si estos son los cambios en las direcciones, el ordenador, el usuario puede a los usuarios a un sitio falso, cada vez que el nombre de un sitio legítimo en esta lista es la que figura en el navegador, Internet.
¿Qué es un servidor de nombres o servidor DNS?
La Internet es una computadora con un software que traduce los nombres de los sitios (zonas), el lenguaje humano para los números (llamadas direcciones IP, o Protocolo de Internet), por lo que puede ser interpretado por otras máquinas en la red. DNS es la sigla en Inglés para sistema de nombres de dominio, y que se refiere al sistema de asignación de nombres de dominio y direcciones electrónicas en redes de ordenadores.
¿Qué es el caché de DNS?Caché es el nombre que se le da en general a la memoria temporal de un programa o máquina, que se utiliza para almacenar y acceder a la información ya reducir el tiempo de acceso a la próxima vez que se solicita la información. En el caso de la caché de DNS, es la memoria temporal de un servidor DNS para que la dirección IP de un sitio previamente accedido se almacenan en la máquina, facilitando el acceso a las carreteras que tenemos por delante.
¿Cómo son los ataques de envenenamiento de caché de DNS? Algunos programas han utilizado en los servidores de las infracciones de la seguridad, la programación o defectos pobres de configuración, permitiendo a "envenenar" la memoria temporal (caché) sistema atacado. Esto se logra inducir, de diferentes maneras, el servidor DNS de la víctima del ataque para hacer una solicitud de datos al servidor Web controlados por los atacantes. Una vez que el servidor malicioso se accede, los datos devueltos comandos para que la memoria caché del servidor DNS sustituir a la dirección IP de un sitio legítimo por otra dirección, forjado. Por lo tanto, un ataque específico, la dirección IP asociada a la esfera banco.com.br, por ejemplo, podría ser cambiado a 200255255255 a 80000000001 en un servidor DNS atacado.
¿Cómo pharming éxitos caseros de los usuarios?En general, los ataques de pharming el tipo de envenenamiento de caché de DNS no están dirigidos a los usuarios finales, sino más bien a los servidores de nombres de los proveedores de Internet o las empresas con redes internas. Sin embargo, un servidor de nombres por mayor puede afectar a miles de usuarios con el equipo. Si el servidor DNS de un ISP o de la empresa que sufren de envenenamiento de caché, todos los usuarios pueden ser redirigidos a falsas direcciones de las páginas y cada vez que intento acceder a un sitio legítimo, sin necesidad de no tener instalado en sus propias máquinas o se hace clic en cualquier vínculo malicioso. Según el centro de investigación para el Internet Storm Center, el Instituto SANS, es una dirección. COM de un servidor DNS está envenenado, las futuras peticiones de todas las direcciones que termina pulgadas COM puede ser redirigido a servidor Web malicioso. Afortunadament
e, el centro también informa de que los usuarios domésticos no es probable blanco de los ataques de envenenamiento de caché de DNS de sus proveedores, ya que estas empresas suelen utilizar los servidores basados en sistemas Unix (Linux y otros), mientras que los servidores son los más vulnerables, sobre la base de sistema de Windows .
En el caso de pharming cambiarse para modificar el fichero de" hosts ", la acción se lleva a cabo el propio equipo del usuario, y es que este equipo será atacado. Si, por un lado, es más fácil atacar con éxito a un usuario final en lugar de una empresa o proveedor, por el contrario, normalmente es necesario contar con la colaboración involuntaria de los usuarios, que tendrán acceso a una página, haga clic en cualquier vínculo o Maléfico instalar algún programa en su computadora.
En ambos casos, el efecto sobre los usuarios dependerá de quién está en el otro extremo del ataque, es decir, con contenido en el servidor utilizado por atacantes maliciosos. No puede ser de la instalación de un programa como un software espía para la presentación de anuncios en la máquina del usuario, como una perfecta imitación de un sitio de la banca, por ejemplo, para inducir al usuario a introducir sus datos financieros y contraseñas inadvertidamen
te.
¿Qué programas se han identificado asociados a los ataques maliciosos?En los ataques denunciados por SANS, en la que los servidores fueron envenenados para redirigir a los usuarios de máquinas comprometidas con los programas maliciosos, se identificaron las siguientes amenazas: Troyano - Downloader.Win
32.Ani.d, en la clasificación de la compañía de antivirus Kaspersky; Exploit - ANIfile según McAfee, o Exploit.Win32.
MS05 - 002.Gen, de acuerdo con BitDefender. Estos archivos explotan una vulnerabilidad descubierta en el navegador Internet Explorer y se usa para instalar el software espía (programa para mostrar publicidad) identificados con los siguientes nombres: AdWare.ToolBar
.SearchIt.h por Kaspersky:; Y Adware / AbxSearch por Panda Software.
El Panda informa también de que algunos caballos de Troya de los hogares "Bancos", "Banca" y "Banbra", que se utiliza en los trazos de estafa de "phishing" la posibilidad de modificar el fichero de "hosts" de Windows para redireccionar a los usuarios a las páginas bancarias Falsa.
¿Qué se puede hacer para proteger tus datos? La mejor manera de proteger a toda amenaza a la Internet es de mantenerse al día, tanto en la información como los programas instalados en la computadora, y prevenir los ataques antes de que ocurran. Obviamente, usted debe elegir un proveedor de acceso de confianza, que invierte en la seguridad de sus instalaciones y de impedir ataques contra sus servidores. Pero debe tener cuidado de la seguridad interior de la máquina, especialmente en la defensiva siguientes acciones:
Mantener el sistema operativo, navegador y programa de correo electrónico constantemente actualizado. Para quienes usan Windows y otros productos de Microsoft, la forma más fácil de hacerlo es visitar el sitio de Windows Update regularmente. Para corregir la vulnerabilidad específica de Internet Explorer utilizado en los ataques descritos por el Instituto SANS, debería descargar la actualización en este boletín MS05 - 002, de Microsoft.
Instalar y mantener actualizado un programa de antivirus que es capaz de identificar no sólo las amenazas ya identificadas, pero las amenazas desconocidas, a través del análisis del comportamiento del archivo sospechoso (análisis heurística). También es importante para instalar otros programas de protección, como la lucha contra el spyware.
Instalar un cortafuegos, que bloquea todo el tráfico de entrada y salida de datos del ordenador, y sólo deja pasar lo que los permisos de usuario.
Tenga cuidado con los mensajes no solicitados (Spam), incluso si parece proceder de fuentes fiables y no hacer clic en enlaces o archivos de instalación se hace referencia en estos mensajes.
Para ver este enlace Registrate o Inicia SesionQue es el SCAM??
Todo lo que dice ahí arriva lo saque de distintas web’s
Existen 2 maneras de pharming atacando directamente a los servidores DNS lo cual todo los usuarios se verian afectados o tambien puede ser atacando una computadora en concreto mediante la modificacion de un archivo llamado “hosts”
La verdad es que yo nunca he hecho un ataque directo al servidor DNS asi que no puedo explicar mas de lo que dice arriva
Pero s he hecho este ataque mediante la modificacion del fichero host
¿Donde se encuentra el archivo “hosts”???Unix (en general): /etc/hosts
Linux (en general): /etc/hosts
MacOS (en general): /etc/hosts
Windows 95/98/Me: C:\Windows\Hosts
Windows NT/2000: C:\WINNT\System32\drivers\etc
Windows XP: C:\WINDOWS\system32\drivers\etc
Windows 2003: C:\WINDOWS\system32\drivers\etc
Windows Vista: C:\WINDOWS\system32\drivers\etc
espero que la ruta de mac este bien xD sinseramente se poco de mac
bueno que pasa?...este archivo si lo podemos leer ni modificar manualmente pero para explotar un "hosts" remoto nesesitamos un programa que lo haga por nosotros
bueno basicamente a lo que quiero llegar es que en todos los sistemas operativos se encuentra un archivos llamdo hosts donde se guardan todas las url's y las ip's a las que estas mismas se dirigen
entonses si podemos escribir sobre este archivo reasosiariamos cualquier ip con el nombre que queramos (DNS)
entoses con esto podemos redireccionar por ejemplo la ip de google con la de portalhacker entonses cuando escribamos en nuestro navegador google pedira la peticion a la ip de google (y nos daria google) pero como le dijimos que la ip de google era portalhacker nos redirecionara a portalhacker
esta bueno no solo con cambiar un archivo de nuestra pc podemos redireccionar web's (localmente no crean que esto susede a nivel web, para nivel web esta el ataque directo al servidor DNS)
bueno entonses esto esta bueno para mandar modificaciones de este archivo a la gente y asi hacer propaganda o spam
pero el verdadero pharming....il
egal por cierto va mucho mas alla del spam va a por las cuentas bancarias , cuentas de paypal o cosas por el estilo.
¿¿como hacemos para hacer este ataque(modificacion de fichero “hosts”??ya teniendo el SCAM (xploit lo llaman algunos) de la pagina a la que queramos mandar a la victima
debemos asociar la ip a ese DNS
ejemplo tenemos el SCAM de
Para ver este enlace Registrate o Inicia Sesionwww.google.com .ar
en la ip 190.168.25.74
lo que tenemos que hacer es esto
190.168.25.74 google.com.ar
te quedo alguna duda???
claro que te tiene que haber quedado...como haces para que todo esto suseda
bueno estoy estudiando perl y es un lenguaje muy completo
en este caso podemos programar el exploit (y sin usar el 100% del lenguaje solamente utilizo un 10% de lo que este asombroso lenguaje puede hacer!!!)
my $mensaje = "190.168.25.74 google.com.ar";
$dir = ' C:\WINDOWS\system32\drivers\etc\hosts ';
open (HOSTS, ">>$dir");
print HOSTS $mensaje;
close HOSTS;
bueno para quienes entiendan perl es facilito lo que hice
el pharming es usado para muchas cosas, globalmente para phishing (de cualquier tipo)
bueno se acabo...espero que lo hayan entendido porque no pienso responder muchas dudas ya que los lamers pueden ponerse muy molestos y peligrosos con el pharming
salu2 a to2
waeswaes
Autor