Saiba com se proteger de ataques com Pharming

Segunado a Wikipedia, Pharming é o termo atribuído ao ataque baseado na técnica DNS cache poisoning (envenenamento de cache DNS) que, consiste em corromper o DNS (Sistema de Nomes de Domínio ou Domain Name System) em uma rede de computadores, fazendo com que a URL (Uniform Resource Locator ou Localizador Uniforme de Recursos) de um site passe a apontar para um servidor diferente do original.

Ao digitar a URL (endereço) do site que deseja acessar, um banco por exemplo, o servidor DNS converte o endereço em um número IP, correspondente ao do servidor do banco. Se o servidor DNS estiver vulnerável a um ataque de Pharming, o endereço poderá apontar para uma página falsa hospedada em outro servidor com outro endereço IP, que esteja sob controle de um golpista.

Os golpistas geralmente copiam fielmente as páginas das instituições, criando a falsa impressão que o usuário está no site desejado e induzindo-o a fornecer seus dados privados como login ou números de contas e senha que serão armazenados pelo servidor falso.

 

Para entender melhor em que consiste esta técnica de ataque, você deve conhecer os conceitos de servidor DNS e cache DNS.

Servidor DNS

Na Internet, é um computador dotado de um software que traduz os nomes dos sites (domínios), da linguagem humana para números (chamados de endereços IP, ou Internet Protocol), de forma que possam ser interpretados pelas outras máquinas da rede. DNS é a sigla em inglês de Domain Name System, e se refere ao sistema de atribuição de nomes de domínios e endereços eletrônicos em redes de computadores.

Cache DNS

Cache é o nome geral dado a memória temporária de um programa ou

Saiba com se proteger de ataques com Pharming em casa

máquina, que serve para armazenar informações já acessadas e diminuir o tempo de acesso na próxima vez que a informação for requisitada. No caso do cache DNS, trata-se da memória temporária de um servidor DNS, de modo que o endereço IP de um site anteriormente acessado fique guardado na máquina, facilitando os acessos futuros.

Como ocorrem os ataques de envenenamento de cache DNS?

Alguns softwares usados em servidores DNS possuem brechas de segurança, falhas de programação ou má configuração, que permitem “envenenar” a memória temporária (cache) do sistema atacado. Isto é conseguido induzindo, de diferentes maneiras, o servidor DNS vítima do ataque a fazer uma requisição de dados ao servidor Web controlado pelos atacantes. Depois que o servidor malicioso é acessado, os dados retornados trazem comandos para que a memória cache do servidor DNS substitua o endereço IP de um determinado site legítimo por outro endereço, forjado. Assim, num ataque específico, o endereço IP associado ao domínio banco.com.br, por exemplo, poderia ser mudado de 200.255.255.255 para 80.000.000.001 num servidor DNS atacado.

Como o Pharming atinge usuários domésticos?

De modo geral, ataques de pharming do tipo envenenamento de cache DNS não são dirigidos a usuários finais, e sim aos servidores de nomes de provedores de Internet ou de empresas com redes internas. Mas um servidor de nomes atacado pode afetar milhares de usuários que utilizem esta máquina. Se o servidor DNS de um provedor ou empresa sofrer um envenenamento de cache, todos os seus usuários poderão ser redirecionados para endereços e páginas falsas toda vez que tentarem acessar determinado site legítimo, sem precisarem ter instalado nada em suas próprias máquinas ou clicado em nenhum link malicioso. De acordo com o centro de pesquisas Internet Storm Center, do SANS Institute, se um endereço .COM de um servidor DNS for envenenado, as futuras requisições de todos os endereços terminados em .COM poderão ser redirecionadas ao servidor Web malicioso. Felizmente o centro também informa que usuários domésticos dificilmente serão alvos de ataques de envenenamento de cache DNS em seus provedores, já que tais empresas costumam usar servidores baseados em sistema Unix (Linux e outros), enquanto os servidores mais vulneráveis são os baseados em sistema Windows.

No caso de pharming definido como modificação do arquivo “hosts”, a ação se dá no próprio computador do usuário e é esta máquina que será atacada. Se, por um lado, é mais fácil atacar com sucesso um usuário final em vez de uma empresa ou provedor, por outro, geralmente é necessário contar com a colaboração involuntária deste usuário, que deverá acessar uma página, clicar em algum link ou instalar algum programa maléfico em seu computador.

Em ambos os casos, o efeito sobre os usuários vai depender do que existe na outra ponta do ataque, isto é, no servidor com conteúdo malicioso usado pelos atacantes. Pode haver desde a instalação de um programa como um spyware para apresentação de propagandas na máquina do usuário, como a imitação perfeita de um site bancário, por exemplo, para induzir o usuário a inserir seus dados financeiros e senhas inadvertidamente.

Que programas maléficos foram identificados associados aos ataques?

Nos ataques reportados pelo SANS, em que servidores foram envenenados para redirecionar os usuários a máquinas comprometidas com programas maléficos, foram identificadas as seguintes ameaças: Trojan-Downloader.Win32.Ani.d, na classificação da empresa antivírus Kaspersky; Exploit-ANIfile, segundo a McAfee; ou Exploit.Win32.MS05-002.Gen, de acordo com a BitDefender. Estes arquivos exploravam uma vulnerabilidade descoberta no navegador Internet Explorer e serviam para instalar um spyware (programa para exibição de publicidade) identificados com os seguintes nomes: AdWare.ToolBar.SearchIt.h, pela Kaspersky:; e Adware/AbxSearch, pela Panda Software.

A Panda também informa que alguns cavalos-de-tróia das famílias “Bancos”, “Banker” e “Banbra”, usados em golpes de phishing scam no Brasil, têm capacidade de modificar o arquivo “hosts” do Windows para redirecionar os usuários a páginas bancárias falsas.

O que você pode fazer para se proteger?

A melhor forma de proteção para qualquer ameaça da Internet é manter-se atualizado, tanto em informações como em programas instalados no computador, e evitar ataques antes que eles aconteçam. Obviamente, deve-se escolher um provedor de acesso confiável, que invista na segurança de seus equipamentos e previna ataques aos seus servidores. Mas também deve-se cuidar da segurança interna da máquina, principalmente com as seguintes ações defensivas:

• Manter o sistema operacional, navegador e programa de e-mail constantemente atualizados. Para quem usa Windows e outros produtos da Microsoft, a forma mais fácil de fazer isso é visitar o site Windows Update regularmente. Para corrigir a vulnerabilidade específica do Internet Explorer aproveitada nos ataques descritos pelo SANS Institute, deve-se baixar a atualização presente no boletim MS05-002, da Microsoft.
• Instalar e manter atualizado um programa antivírus que tenha capacidade de identificar não só ameaças já identificadas, mas também ameaças desconhecidas, por meio da análise do comportamento do arquivo suspeito (análise heurística). Também é importante instalar outros programas de proteção, como anti-spywares.
• Instalar um firewall, programa que bloqueia todo o tráfego de entrada e saída de dados do computador e só deixa passar aquilo que o usuário autoriza.
• Tomar cuidado com mensagens não solicitadas (spam), mesmo que pareçam vir de fontes confiáveis, e não clicar em links ou instalar arquivos referenciados nestas mensagens.

Me siga no Twitter para ficar por dentro das novidades do blog.