Pharming

Na Galipedia, a Wikipedia en galego.

O pharming é unha variante do phishing consistente na redirección da páxina web solicitada polo usuario a outra predeterminada polo atacante co obxectivo de facerlle crer que se atopa na orixinal e actúe dentro dela con total normalidade. É dicir, cando se visita unha páxina web co navegador web, este diríxese a unha páxina falsa.

Adoita empregarse para redirixir a vítima a unha dirección falsa, na que introducirá os seus datos, que pasarán a estar en poder dos atacantes. Estes datos poden ser os contrasinais dunha conta bancaria ou dunha conta de correo etc. Estas redireccións pódense efectuar por varios métodos (alterando o ficheiro hosts, modificando as táboas do servidor DNS, cambiando o DNS asignado etc.)

Métodos[editar | editar a fonte]

Cando se introduce un enderezo web (URL) na barra de direccións dun navegador web, este procede en primeiro lugar ó envío dunha petición de resolución DNS, para obter o enderezo IP correspondente ao dominio introducido; é dicir, todas as páxinas web levan unha IP asociada ao seu nome para que sexa máis fácil de recordarse. Exemplo:

www.google.com --- 66.102.9.99
www.xunta.es --- 85.91.64.128

Dita consulta diríxese ó servidor DNS configurado no sistema quen, a súa vez, completa a consulta axudándose doutros servidores DNS en Internet. Unha vez que se obtén o enderezo IP vinculado ao dominio solicitado, esta é enviada de volta a quen a solicitou. Se o enderezo IP incluído na resposta final resulta ser falsa, a consecuencia inmediata consiste en que o navegador procede a iniciar comunicacións cun enderezo IP non esperado.

Envelenamento da caché dinámica DNS[editar | editar a fonte]

Os servidores DNS manteñen unha memoria caché onde almacenan algunhas das respostas enviadas a peticións de resolución de dominios recibidas, ca finalidad de mellorar o rendemento e o tempo de resposta. O envelenamento da caché DNS (DNS cache poisoning) consiste en enganar a un servidor ou conxunto de servidores DNS con respostas falsas, de maneira que certas entradas da caché DNS sexan sobrescritas con novas direccións IP.

Modificación de caché estática DNS[editar | editar a fonte]

Os sistemas operativos actuais incorporan unha memoria caché estática de resolución DNS en forma de ficheiro host (En Windows este atópase en %windir%\system32\drivers\etc , onde %windir% é o directorio de instalación de Windows)). O ficheiro host permite construír unha lista de pares de resolución dominio-dirección IP que prevalecen sobre as peticións DNS estándar. Polo tanto, cando o sistema necesita traducir un dominio no seu correspondente enderezo IP, primeiro consulta este ficheiro e, en caso de non atopar unha referencia ao dominio procurado, procede a realizar unha petición DNS estándar a través da rede.

Ferramentas Anti-Pharming[editar | editar a fonte]

AntiPharming 1.30 FREE Edition - Creado por NGSEC. É unha ferramenta que bloquea calquera intento de modificación do ficheiro de host.