Esteu aquí

Pharming

Autor: Francesc Rovirosa - 28 oct. 2012 - Universitat Oberta de Catalunya

La paraula pharming deriva del terme farm i està relacionada amb el terme phising, usat per nombrar la tècnica d'enginyeria social, que mitjançant la suplantació d'identitat, intenta obtenir informació confidencial (generalment números de targetes de crèdit o contrasenyes d'accés a banca electrònica) de les persones. L'origen de la paraula es troba en que un cop un atacant s'ha fet amb el control d'un servidor DNS, és com si tingués una granja de dominis (i en general d'adreces) per usar a plaer els recursos que allí s'hi troben.

Internet funciona a partir dels redireccionaments a partir d'uns números anomenats adreces IP. Per exemple 204.180.229.21. Com que aquests números son gairebé impossibles de recordar, és va decidir crear una sistemes que fossin com una mena de traductors o diccionaris que a partir d'alguna cosa llegible per humans i fàcilment recordables fossin capaços de transformar-los al valor numèric que entenen tots els computadors. Per exemple www.imf.org. Aquest sistema de traducció es fa en els denominats DNS o Sistema de Noms de Domini.

Pharming és l'explotació d'una vulnerabilitat en els sistemes i el programari dels servidors DNS (Domain Name System) o bé en els equips dels propis usuaris, que permet a un atacant redirigir un nom de domini (pex. www.nasa.gov) a una altra màquina diferent de la que realment hostatja el contingut que li correspon al domini. D'aquesta manera, un usuari que posi en el seu navegador aquest nom de domini i que hagi estat redirigit per l'atacant, accedirà amb el seu navegador a la pàgina que hagi especificat l'atacant. D'una forma transparent i sense que es mostri cap alerta o signe que permeti deduir que el domini no correspon al contingut.

Com funciona això del pharming:

Com funciona el pharming

  1. L'atacant localitza el servei DNS utilitzat per la víctima. Aquest pot ser un DNS de la xarxa local o d'un ISP per a tots els usuaris d'aquest. L'atacant usant diferents tècniques, canvia les adreces IP de "www.elmeubanc.com" a unes adreces IP d'un servidor web (que ell controla) amb una rèplica de www.elmeubanc.com.
  2. L'ordinador de la víctima fa una petició al servidor DNS per a l'adreça www.elmeubanc.com
  3. Com que ara el servidor DNS esta "enverinat" per l'atacant, aquest li retorna l'adreça IP del servidor "fals" que controla.
  4. La víctima és enganyada cap a l'adreça IP enverinada a traves del seu DNS de confiança.
  5. La víctima tan feliç fa cap al servidor www.el_meubanc.com pensant que és el de veritat.