| Destaque |
Pharming: um novo nome para um velho ataque
15/6/2005 - 5:45 Giordani Rodrigues
Se você ainda não ouviu falar em "pharming", é provável que ouça em breve. Este é o nome que a imprensa, incluindo alguns veículos especializados, tem dado a um ataque que pode ser aplicado pela Internet e que tem sido chamado erroneamente de "novo tipo de golpe". O nome "pharming" realmente é recente, mas a técnica principal envolvida no ataque é conhecida há anos.
O termo "pharming", que tem sido definido equivocadamente como uma evolução do phishing scam, pode ser compreendido como um método malicioso de desviar o acesso a um site de seu respectivo servidor legítimo. A expressão ganhou manchetes a partir do final de fevereiro deste ano, quando a organização de segurança SANS Institute divulgou informações, logo repassadas em boletins de empresas de segurança e em sites de notícias, a respeito de uma onda de ataques na Internet. Os ataques baseavam-se numa técnica conhecida como "envenenamento de cache DNS" (DNS cache poisoning, em inglês). Basicamente, consiste em corromper o sistema de nomes (Domain Name System ou DNS, na sigla em inglês) de uma rede de computadores, de tal forma que o endereço de um site passe a apontar para um servidor diferente do original.
O sistema DNS é composto por servidores de nomes (servidores DNS), que nada mais são do que computadores equipados com um software que traduz os nomes dos sites (domínios), inteligíveis para os seres humanos, em números, inteligíveis para as máquinas. Este número é chamado de IP (Internet Protocol) e cada computador conectado à Internet (inclusive o seu) possui um IP diferente. É como o número de identidade de uma máquina numa rede.
Quando alguém digita o endereço do site do banco em que tem conta ― por exemplo, www.banco.com.br ― este endereço é transformado pelo servidor DNS no número IP do servidor Web do banco, digamos 200.255.255.255. Quem faz esta transformação de nomes em números geralmente é o servidor DNS do provedor do usuário. Se este servidor estiver vulnerável a esse tipo de ataque, o usuário poderá ser redirecionado a uma página falsa hospedada, digamos, no servidor 80.000.000.001, que esteja sob controle de um golpista. Se a página falsa tiver sido especialmente preparada e copiada fielmente da página do banco, o cliente da instituição poderá inserir seus dados privados sem se dar conta de ter sido levado a um site fraudulento.
Este é, teoricamente, um dos grandes riscos dos ataques de pharming para o usuário comum, e por este motivo tem sido associado pela imprensa ao phishing scam ― a técnica de enviar falsas mensagens em nome de instituições e induzir os destinatários a inserir dados financeiros e privados em páginas falsas. De fato, uma técnica pode ser associada à outra, mas os ataques noticiados pelo SANS Institute não chegaram a esse ponto.
De acordo com o SANS, houve três ondas de ataques, entre 22 de fevereiro e 1 de abril. Na primeira (22 de fevereiro a 12 de março) e terceira (25 de março a 1 de abril), os usuários foram redirecionados a servidores de empresas de hospedagem comprometidos, a partir dos quais eram exploradas brechas de segurança no navegador Internet Explorer para instalar programas-espiões (spywares) na máquina dos usuários. O segundo ataque (25 de março) parece ter sido trabalho de um spammer, e os usuários foram redirecionados a páginas com propagandas de remédios vendidos sem prescrição médica.
O instituto de segurança observou que, durante o primeiro ataque, mais de 1,3 mil nomes de sites (domínios) foram "envenenados" para serem redirecionados aos servidores comprometidos. Entre estes sites estavam os de grandes corporações, como MSN.com da Microsoft, instituições financeiras, TVs e outros veículos de comunicação, provedores de Internet, empresas antivírus e outras. É importante notar que nenhum destes sites foi diretamente comprometido. O que ocorreu é que foram comprometidos alguns servidores DNS, de empresas cujos nomes não foram divulgados, e os usuários destas empresas foram redirecionados a servidores maliciosos toda vez que tentavam acessar os sites da lista de 1,3 mil nomes.
Concomitantemente à divulgação dos ataques de envenenamento divulgados pelo SANS, empresas de segurança, como Panda Software, divulgaram informações associando o termo pharming a outras técnicas de desvio de DNS. Uma delas é a alteração de um arquivo chamado "hosts", que está presente na maioria das versões do sistema Windows utilizadas domesticamente. Este arquivo, usado pelo navegador Internet Explorer para facilitar o acesso a páginas Web, pode conter uma tabela com nomes de sites de um lado, associados a endereços IP de outro. Se estas associações forem modificadas, por um programa malicioso como um cavalo-de-tróia ou por um ataque a distância, o usuário poderá ser direcionado a um site mal-intencionado toda vez que digitar em seu navegador o endereço alvo do ataque.
Para saber mais detalhes de como funcionam os ataques de pharming e o que fazer para se proteger, leia o próximo texto.
Leia também:
Perguntas e respostas sobre pharming
| Artigos |
Perguntas e respostas sobre pharming
15/6/2005 - 5:43 Giordani Rodrigues
Pergunta: O que exatamente é pharming?
Resposta: Pharming é um novo nome para um tipo de ataque conhecido há anos, que consiste basicamente em modificar a relação que existe entre o nome de um site na Internet e seu respectivo servidor Web.
A técnica clássica é chamada de envenenamento de cache DNS (DNS cache poisoning, em inglês). Neste ataque, um servidor de nomes (servidor DNS) é comprometido, de tal forma que as requisições de acesso a um site feitas pelos usuários deste servidor sejam redirecionadas a outro endereço, sob controle dos atacantes.
A empresa antivírus Panda Software também classificou de pharming o ataque, feito remotamente ou por meio de programas maliciosos como cavalos-de-tróia, a um arquivo presente nos computadores de usuários finais, chamado "hosts". Este arquivo, encontrado na maioria das versões do Windows e em outros sistemas operacionais, pode incluir uma lista de nomes de sites associados a determinados endereços eletrônicos, como num catálogo telefônico. Se estes endereços forem alterados, o computador do usuário poderá direcioná-lo a um falso site toda vez que o nome de um site legítimo presente na lista for digitado no navegador de Internet..
P: O que é um servidor de nomes ou servidor DNS?
R: Na Internet, é um computador dotado de um software que traduz os nomes dos sites (domínios), da linguagem humana para números (chamados de endereços IP, ou Internet Protocol), de forma que possam ser interpretados pelas outras máquinas da rede. DNS é a sigla em inglês de Domain Name System, e se refere ao sistema de atribuição de nomes de domínios e endereços eletrônicos em redes de computadores.
P: O que é cache DNS?
R: Cache é o nome geral dado a memória temporária de um programa ou máquina, que serve para armazenar informações já acessadas e diminuir o tempo de acesso na próxima vez que a informação for requisitada. No caso do cache DNS, trata-se da memória temporária de um servidor DNS, de modo que o endereço IP de um site anteriormente acessado fique guardado na máquina, facilitando os acessos futuros.
P: Como ocorrem os ataques de envenenamento de cache DNS?
R: Alguns softwares usados em servidores DNS possuem brechas de segurança, falhas de programação ou má configuração, que permitem "envenenar" a memória temporária (cache) do sistema atacado. Isto é conseguido induzindo, de diferentes maneiras, o servidor DNS vítima do ataque a fazer uma requisição de dados ao servidor Web controlado pelos atacantes. Depois que o servidor malicioso é acessado, os dados retornados trazem comandos para que a memória cache do servidor DNS substitua o endereço IP de um determinado site legítimo por outro endereço, forjado. Assim, num ataque específico, o endereço IP associado ao domínio banco.com.br, por exemplo, poderia ser mudado de 200.255.255.255 para 80.000.000.001 num servidor DNS atacado.
P: Como o pharming atinge usuários domésticos?
R: De modo geral, ataques de pharming do tipo envenenamento de cache DNS não são dirigidos a usuários finais, e sim aos servidores de nomes de provedores de Internet ou de empresas com redes internas. Mas um servidor de nomes atacado pode afetar milhares de usuários que utilizem esta máquina. Se o servidor DNS de um provedor ou empresa sofrer um envenenamento de cache, todos os seus usuários poderão ser redirecionados para endereços e páginas falsas toda vez que tentarem acessar determinado site legítimo, sem precisarem ter instalado nada em suas próprias máquinas ou clicado em nenhum link malicioso. De acordo com o centro de pesquisas Internet Storm Center, do SANS Institute, se um endereço .COM de um servidor DNS for envenenado, as futuras requisições de todos os endereços terminados em .COM poderão ser redirecionadas ao servidor Web malicioso. Felizmente o centro também informa que usuários domésticos dificilmente serão alvos de ataques de envenenamento de cache DNS em seus provedores, já que tais empresas costumam usar servidores baseados em sistema Unix (Linux e outros), enquanto os servidores mais vulneráveis são os baseados em sistema Windows.
No caso de pharming definido como modificação do arquivo "hosts", a ação se dá no próprio computador do usuário e é esta máquina que será atacada. Se, por um lado, é mais fácil atacar com sucesso um usuário final em vez de uma empresa ou provedor, por outro, geralmente é necessário contar com a colaboração involuntária deste usuário, que deverá acessar uma página, clicar em algum link ou instalar algum programa maléfico em seu computador.
Em ambos os casos, o efeito sobre os usuários vai depender do que existe na outra ponta do ataque, isto é, no servidor com conteúdo malicioso usado pelos atacantes. Pode haver desde a instalação de um programa como um spyware para apresentação de propagandas na máquina do usuário, como a imitação perfeita de um site bancário, por exemplo, para induzir o usuário a inserir seus dados financeiros e senhas inadvertidamente.
P: Que programas maléficos foram identificados associados aos ataques?
R: Nos ataques reportados pelo SANS, em que servidores foram envenenados para redirecionar os usuários a máquinas comprometidas com programas maléficos, foram identificadas as seguintes ameaças: Trojan-Downloader.Win32.Ani.d, na classificação da empresa antivírus Kaspersky; Exploit-ANIfile, segundo a McAfee; ou Exploit.Win32.MS05-002.Gen, de acordo com a BitDefender. Estes arquivos exploravam uma vulnerabilidade descoberta no navegador Internet Explorer e serviam para instalar um spyware (programa para exibição de publicidade) identifiados com os seguintes nomes: AdWare.ToolBar.SearchIt.h, pela Kaspersky:; e Adware/AbxSearch, pela Panda Software.
A Panda também informa que alguns cavalos-de-tróia das famílias "Bancos", "Banker" e "Banbra", usados em golpes de phishing scam no Brasil, têm capacidade de modificar o arquivo "hosts" do Windows para redirecionar os usuários a páginas bancárias falsas.
P: O que você pode fazer para se proteger?
R: A melhor forma de proteção para qualquer ameaça da Internet é manter-se atualizado, tanto em informações como em programas instalados no computador, e evitar ataques antes que eles aconteçam. Obviamente, deve-se escolher um provedor de acesso confiável, que invista na segurança de seus equipamentos e previna ataques aos seus servidores. Mas também deve-se cuidar da segurança interna da máquina, principalmente com as seguintes ações defensivas:
| Destaque |
Pharming: um novo nome para um velho ataque
15/6/2005 - 5:45 Giordani Rodrigues
Se você ainda não ouviu falar em "pharming", é provável que ouça em breve. Este é o nome que a imprensa, incluindo alguns veículos especializados, tem dado a um ataque que pode ser aplicado pela Internet e que tem sido chamado erroneamente de "novo tipo de golpe". O nome "pharming" realmente é recente, mas a técnica principal envolvida no ataque é conhecida há anos.
O termo "pharming", que tem sido definido equivocadamente como uma evolução do phishing scam, pode ser compreendido como um método malicioso de desviar o acesso a um site de seu respectivo servidor legítimo. A expressão ganhou manchetes a partir do final de fevereiro deste ano, quando a organização de segurança SANS Institute divulgou informações, logo repassadas em boletins de empresas de segurança e em sites de notícias, a respeito de uma onda de ataques na Internet. Os ataques baseavam-se numa técnica conhecida como "envenenamento de cache DNS" (DNS cache poisoning, em inglês). Basicamente, consiste em corromper o sistema de nomes (Domain Name System ou DNS, na sigla em inglês) de uma rede de computadores, de tal forma que o endereço de um site passe a apontar para um servidor diferente do original.
O sistema DNS é composto por servidores de nomes (servidores DNS), que nada mais são do que computadores equipados com um software que traduz os nomes dos sites (domínios), inteligíveis para os seres humanos, em números, inteligíveis para as máquinas. Este número é chamado de IP (Internet Protocol) e cada computador conectado à Internet (inclusive o seu) possui um IP diferente. É como o número de identidade de uma máquina numa rede.
Quando alguém digita o endereço do site do banco em que tem conta ― por exemplo, www.banco.com.br ― este endereço é transformado pelo servidor DNS no número IP do servidor Web do banco, digamos 200.255.255.255. Quem faz esta transformação de nomes em números geralmente é o servidor DNS do provedor do usuário. Se este servidor estiver vulnerável a esse tipo de ataque, o usuário poderá ser redirecionado a uma página falsa hospedada, digamos, no servidor 80.000.000.001, que esteja sob controle de um golpista. Se a página falsa tiver sido especialmente preparada e copiada fielmente da página do banco, o cliente da instituição poderá inserir seus dados privados sem se dar conta de ter sido levado a um site fraudulento.
Este é, teoricamente, um dos grandes riscos dos ataques de pharming para o usuário comum, e por este motivo tem sido associado pela imprensa ao phishing scam ― a técnica de enviar falsas mensagens em nome de instituições e induzir os destinatários a inserir dados financeiros e privados em páginas falsas. De fato, uma técnica pode ser associada à outra, mas os ataques noticiados pelo SANS Institute não chegaram a esse ponto.
De acordo com o SANS, houve três ondas de ataques, entre 22 de fevereiro e 1 de abril. Na primeira (22 de fevereiro a 12 de março) e terceira (25 de março a 1 de abril), os usuários foram redirecionados a servidores de empresas de hospedagem comprometidos, a partir dos quais eram exploradas brechas de segurança no navegador Internet Explorer para instalar programas-espiões (spywares) na máquina dos usuários. O segundo ataque (25 de março) parece ter sido trabalho de um spammer, e os usuários foram redirecionados a páginas com propagandas de remédios vendidos sem prescrição médica.
O instituto de segurança observou que, durante o primeiro ataque, mais de 1,3 mil nomes de sites (domínios) foram "envenenados" para serem redirecionados aos servidores comprometidos. Entre estes sites estavam os de grandes corporações, como MSN.com da Microsoft, instituições financeiras, TVs e outros veículos de comunicação, provedores de Internet, empresas antivírus e outras. É importante notar que nenhum destes sites foi diretamente comprometido. O que ocorreu é que foram comprometidos alguns servidores DNS, de empresas cujos nomes não foram divulgados, e os usuários destas empresas foram redirecionados a servidores maliciosos toda vez que tentavam acessar os sites da lista de 1,3 mil nomes.
Concomitantemente à divulgação dos ataques de envenenamento divulgados pelo SANS, empresas de segurança, como Panda Software, divulgaram informações associando o termo pharming a outras técnicas de desvio de DNS. Uma delas é a alteração de um arquivo chamado "hosts", que está presente na maioria das versões do sistema Windows utilizadas domesticamente. Este arquivo, usado pelo navegador Internet Explorer para facilitar o acesso a páginas Web, pode conter uma tabela com nomes de sites de um lado, associados a endereços IP de outro. Se estas associações forem modificadas, por um programa malicioso como um cavalo-de-tróia ou por um ataque a distância, o usuário poderá ser direcionado a um site mal-intencionado toda vez que digitar em seu navegador o endereço alvo do ataque.
Para saber mais detalhes de como funcionam os ataques de pharming e o que fazer para se proteger, leia o próximo texto.
Leia também:
Perguntas e respostas sobre pharming
| Artigos |
Perguntas e respostas sobre pharming
15/6/2005 - 5:43 Giordani Rodrigues
Pergunta: O que exatamente é pharming?
Resposta: Pharming é um novo nome para um tipo de ataque conhecido há anos, que consiste basicamente em modificar a relação que existe entre o nome de um site na Internet e seu respectivo servidor Web.
A técnica clássica é chamada de envenenamento de cache DNS (DNS cache poisoning, em inglês). Neste ataque, um servidor de nomes (servidor DNS) é comprometido, de tal forma que as requisições de acesso a um site feitas pelos usuários deste servidor sejam redirecionadas a outro endereço, sob controle dos atacantes.
A empresa antivírus Panda Software também classificou de pharming o ataque, feito remotamente ou por meio de programas maliciosos como cavalos-de-tróia, a um arquivo presente nos computadores de usuários finais, chamado "hosts". Este arquivo, encontrado na maioria das versões do Windows e em outros sistemas operacionais, pode incluir uma lista de nomes de sites associados a determinados endereços eletrônicos, como num catálogo telefônico. Se estes endereços forem alterados, o computador do usuário poderá direcioná-lo a um falso site toda vez que o nome de um site legítimo presente na lista for digitado no navegador de Internet..
P: O que é um servidor de nomes ou servidor DNS?
R: Na Internet, é um computador dotado de um software que traduz os nomes dos sites (domínios), da linguagem humana para números (chamados de endereços IP, ou Internet Protocol), de forma que possam ser interpretados pelas outras máquinas da rede. DNS é a sigla em inglês de Domain Name System, e se refere ao sistema de atribuição de nomes de domínios e endereços eletrônicos em redes de computadores.
P: O que é cache DNS?
R: Cache é o nome geral dado a memória temporária de um programa ou máquina, que serve para armazenar informações já acessadas e diminuir o tempo de acesso na próxima vez que a informação for requisitada. No caso do cache DNS, trata-se da memória temporária de um servidor DNS, de modo que o endereço IP de um site anteriormente acessado fique guardado na máquina, facilitando os acessos futuros.
P: Como ocorrem os ataques de envenenamento de cache DNS?
R: Alguns softwares usados em servidores DNS possuem brechas de segurança, falhas de programação ou má configuração, que permitem "envenenar" a memória temporária (cache) do sistema atacado. Isto é conseguido induzindo, de diferentes maneiras, o servidor DNS vítima do ataque a fazer uma requisição de dados ao servidor Web controlado pelos atacantes. Depois que o servidor malicioso é acessado, os dados retornados trazem comandos para que a memória cache do servidor DNS substitua o endereço IP de um determinado site legítimo por outro endereço, forjado. Assim, num ataque específico, o endereço IP associado ao domínio banco.com.br, por exemplo, poderia ser mudado de 200.255.255.255 para 80.000.000.001 num servidor DNS atacado.
P: Como o pharming atinge usuários domésticos?
R: De modo geral, ataques de pharming do tipo envenenamento de cache DNS não são dirigidos a usuários finais, e sim aos servidores de nomes de provedores de Internet ou de empresas com redes internas. Mas um servidor de nomes atacado pode afetar milhares de usuários que utilizem esta máquina. Se o servidor DNS de um provedor ou empresa sofrer um envenenamento de cache, todos os seus usuários poderão ser redirecionados para endereços e páginas falsas toda vez que tentarem acessar determinado site legítimo, sem precisarem ter instalado nada em suas próprias máquinas ou clicado em nenhum link malicioso. De acordo com o centro de pesquisas Internet Storm Center, do SANS Institute, se um endereço .COM de um servidor DNS for envenenado, as futuras requisições de todos os endereços terminados em .COM poderão ser redirecionadas ao servidor Web malicioso. Felizmente o centro também informa que usuários domésticos dificilmente serão alvos de ataques de envenenamento de cache DNS em seus provedores, já que tais empresas costumam usar servidores baseados em sistema Unix (Linux e outros), enquanto os servidores mais vulneráveis são os baseados em sistema Windows.
No caso de pharming definido como modificação do arquivo "hosts", a ação se dá no próprio computador do usuário e é esta máquina que será atacada. Se, por um lado, é mais fácil atacar com sucesso um usuário final em vez de uma empresa ou provedor, por outro, geralmente é necessário contar com a colaboração involuntária deste usuário, que deverá acessar uma página, clicar em algum link ou instalar algum programa maléfico em seu computador.
Em ambos os casos, o efeito sobre os usuários vai depender do que existe na outra ponta do ataque, isto é, no servidor com conteúdo malicioso usado pelos atacantes. Pode haver desde a instalação de um programa como um spyware para apresentação de propagandas na máquina do usuário, como a imitação perfeita de um site bancário, por exemplo, para induzir o usuário a inserir seus dados financeiros e senhas inadvertidamente.
P: Que programas maléficos foram identificados associados aos ataques?
R: Nos ataques reportados pelo SANS, em que servidores foram envenenados para redirecionar os usuários a máquinas comprometidas com programas maléficos, foram identificadas as seguintes ameaças: Trojan-Downloader.Win32.Ani.d, na classificação da empresa antivírus Kaspersky; Exploit-ANIfile, segundo a McAfee; ou Exploit.Win32.MS05-002.Gen, de acordo com a BitDefender. Estes arquivos exploravam uma vulnerabilidade descoberta no navegador Internet Explorer e serviam para instalar um spyware (programa para exibição de publicidade) identifiados com os seguintes nomes: AdWare.ToolBar.SearchIt.h, pela Kaspersky:; e Adware/AbxSearch, pela Panda Software.
A Panda também informa que alguns cavalos-de-tróia das famílias "Bancos", "Banker" e "Banbra", usados em golpes de phishing scam no Brasil, têm capacidade de modificar o arquivo "hosts" do Windows para redirecionar os usuários a páginas bancárias falsas.
P: O que você pode fazer para se proteger?
R: A melhor forma de proteção para qualquer ameaça da Internet é manter-se atualizado, tanto em informações como em programas instalados no computador, e evitar ataques antes que eles aconteçam. Obviamente, deve-se escolher um provedor de acesso confiável, que invista na segurança de seus equipamentos e previna ataques aos seus servidores. Mas também deve-se cuidar da segurança interna da máquina, principalmente com as seguintes ações defensivas: