Tuesday, February 20, 2007

DRIVE-BY PHARMING: CUANDO HACES CLIC, YA NO HAY STOP.

Érase que se era una vez que Zulfikar Ramzan (experimentado investigador de Symantec), Markus Jakobsson y Sid Stamm (Universidad de Indiana, EE.UU.) han presentado lo que denominan Drive-by Pharming, un nuevo tipo de ataque que permitiría a un sitio web malicioso reconfigurar sobre la marcha el router de un usuario de banda ancha, únicamente consiguiendo que éste visite una página web maliciosa.


Como el propio Ramzan explica, cuando quieres llamar a tu banco coges la guía telefónica, buscas el número, descuelgas el teléfono y llamas. Ahora, imagina que te han cambiado tu listín por otro falso, donde bajo el nombre de tu banco figura el teléfono del atacante. Trás Pedrín!!!


Un ejemplo práctico: Una página web que incluya el siguiente código:

script src=http://192.168.0.1/h_wan_dhcp.cgi?dns1=69.6.6.6

en un router D-Link establece 69.6.6.6 como el servidor DNS de la red local, que se envía por DHCP a todos sus clientes.

A grandes rasgos, el ataque podría funcionar así...

PRIMER PASO: INGENIERÍA SOCIAL.
En primer lugar, en un sitio de estos con mucho tráfico y donde abundan los pardillos -tipo Terra, Yahoo..... en fin... los típicos- alguien envía una noticia lo suficientemente atractiva como para que no puedas evitar pinchar en ella [primera cagada -usemos eufemismos, no empecemos ya a calentarnos- y origen de todos los males que te aguardan, querido amigo.... ;)].

EJEMPLOS: Vídeo porno de Elsa Pataky completamente desnuda, Angelina Jolie en actitud digna de verse, increíble escena sexual de Scarlett Johansson..... Y UN LARGO ETCÉTERA... Podríamos a lo mejor probar con hombres, así también de paso haríamos un estudio sobre el grado de guarrismo real de las mujeres del mundo... Que ya se sabe, que críate fama y échate a andar (o como sea el refrán)...


SEGUNDO PASO: TENER LA CONFIGURACIÓN TÍPICA
Una vez en la página maliciosa, si tu Javascript no está activo (y sólo el 5% de los usuarios navegan sin activarlo) se te pedirá muy educadamente que lo habilites, o no podrás ver la página en cuestión. ("Advertimos que la escena a continuación queda terminantemente prohibida a mayores de 18 años. Si está completamente seguro que es mayor de edad, y bla bla bla....debe aceptar el mensaje que le aparece..."). Y POR SUPUESTO, EL 101% DE LA PEÑA DA A ACEPTAR. ¿TÚ NO? ;) -Sí, joder, me sé el mensaje de puta madre oño... He leído mucho por ahí joé!!!-


Si lo haces (vamos ya por la segunda cagada), la página maliciosa te carga un código javascript, que tu navegador -obediente, rápido y veloz- ejecuta y que, mediante CSRF (Cross Site Request Forgery), se logea en tu router.

TERCER PASO: PÁ QUE TOCAR SI EL INTERNETE FUNCIONA ¿NO?
Lógicamente, para que esto suceda se ha debido hacer otra cagada (la tercera y última): dejar puesta la contraseña por defecto que trae el router, todas ellas mundialmente conocidas: 1234, admin, admintt, 1111, 0000, etc. [está última de "etc." no es contraseña eh!!!!]


Tranquilo, que tú no eres el único pardillo: hay estudios que indican que el 50% de los usuarios de routers, inalámbricos o no, no se molestan en cambiar las passwords que vienen por defecto. ¿LA KÉ? ¿LA PASGÜORD? ¿ESO QUÉ ES? ¿PÁ Q SIRVE? SI YO PÁ ACCEDER A INTERNET, NUNCA METO PASGÜORD!!!


A partir de ese momento, el código atacante cambia tu configuración DNS, haciendo que apunte a donde él quiera, en el peor de los casos a un servidor DNS falso, donde la URL correcta de tu banco on-line se corresponde con la IP que el atacante desee, donde previamente el muy... capullo habrá colocado una web falsa idéntica a la de tu banco. Creyendo que vas al sitio correcto, realmente estás cayendo de lleno en la trampa (concepto de Pharming).


Ya te puedes imaginar lo que va a ocurrir con tus contraseñas de acceso y... ¡¡¡CON TU PASTA!!!.


De momento, el ataque parece ser más teórico que real, pero nada impide que funcione... aparte del sentido común y la información de los usuarios.


LINKS DE INTERÉS:

Drive-By Pharming: How Clicking on a Link Can Cost You Dearly --> Descripción del ataque por su autor en Symantec Security Response Weblog.

Drive-By Pharming --> Documento con los detalles técnicos, 13 páginas, pdf.


PD.: No mováis pasta por Internet, ni accedáis a nada que requiera contraseña y que pueda poner en compromiso datos personales sensibles. De esta forma, podréis navegar libremente y sin peligro, por contenidos de toda índole....;)

Byes!!

1 comment:

Gura said...

Un artículo más completo que el de Kriptópolis. :)