• Tweet

Parece que lo hackers tienen un mayor interés en obtener ganancias financieras de sus acciones y creaciones. Si, hasta ahora, el phishing -- utilizando correos electrónicos como señuelos de usuarios para que ingresen datos en sitios engañosos de bancos -- fue una de las técnicas de fraude más utilizada, el 'pharming' ahora posee una mayor amenaza.

Básicamente, pharming involucra la interferencia con el proceso de resolución de nombres sobre la Internet. Cuando un usuario ingresa una dirección (como www.seguridad.unam.mx) ésta necesita ser convertida en una dirección numérica como 132.248.124.130. Esto se conoce como resolución de nombre, y la tarea es desarrollada por servidores del Sistema de Nombres de Dominio (DNS por sus siglas en inglés). Estos servidores almacenan tablas con la dirección IP de cada nombre de dominio. En una escala menor, en cada computadora conectada a la Internet existe un archivo que almancena una tabla con los nombres de servidores y direccion IP así que no es necesario acceder a servidores DNS para ciertos equipos.

Pharming consiste en la modificación del sistema de resolución de nombres, de tal forma que cuando un usuario piensa que está accediendo a la página web de un banco, el usuario esta accediendo realmente a la dirección IP de un sitio falso.

Phishing debe su éxito a las técnicas de ingenieria social, pero como no todos los usuarios muerden el anzuelo, su éxito fue limitado. También, cada ataque phishing fue dirigido a un tipo específico de servicio bancario, reduciendo las oportunidades de éxito. Pharming por otro lado, puede afectar a un mayor número de usuario de banca electrónica.

La solución contra este nuevo tipo de fraude, por ahora, son las soluciones antivirus. Los ataques Pharming dependen de una aplicación en el sistema comprometido (este podría ser un archivo exe, un script, etc). Pero antes de que esta aplicación pueda ser ejecutada, obviamente necesita alcanzar el sistema operativo. El código puede entrar al sistema a través de diversos canales; de hecho, en tantas formas como la información pueda entrar al sistema: vía correo electrónico (la más frecuente), descargas de Internet, copiado directamente de un CD o disco flexible, etc. En cada uno de estos puntos de entrada de información, el antivirus tiene que detectar el archivo con el código maliciosos y eliminarlo, ya que está registrado como una aplicación maliciosa en el archivo de firmas del antivirus.

Desafortunadamente, la velocidad de propagación de malware es un problema real, y hay creadores maliciosos que ofrecen su código fuente al resto de la comunidad hacker para crear nuevas variantes y propagar aún más ataques. El laboratorio de virus no tiene bastante tiempo para preparar las rutinas de detección y eliminación del malware para el nuevo código malicioso antes de que comience a extenderse a las PCs. A pesar de los esfuerzos y las mejoras del laboratorio de virus, es físicamente imposible que preparen una solución a tiempo contra algunas de estas amenazas que pueden expandirse en minutos.

La solución contra esta clase de amenzas no debe, por lo tanto, depender, por lo menos no en la línea de protección, de una solución reactiva basada en identificar archivos con virus sino en la detección en los sistemas de las acciones que las amenazas realizan. De esta manera, cada vez hay un ataque procurado contra el sistema DNS de la computadora (como en el caso de las aplicaciones pharming), el ataque es reconocido y bloqueado junto con el programa que realiza el ataque.

Sin embargo, hay un peligro agregado con pharming, que miente en servidores proxy anónimos. Muchos usuarios desean ocultar su identidad (sus direcciones IP) cuando usan el Internet y utilizan los servidores proxy en línea, de manera que la conexión es hecha sobre la IP del servidor y no sobre la IP del cliente. En un escenario peor, uno de esos servidores proxy puede tener su sistema de resolución de nombres envenenado de modo que los usuarios que intentaban tener acceso al sitio Web de su banco, pueden realmente estar viendo un sitio engañoso, aunque su sistema local de resolución de nombres este operando perfectamente.

En cualquier momento, la amenaza que el pharming plantea es seria, aunque una que se resuelve fácilmente. Solamente con los sistemas que pueden detectar y bloquear cambios en la dirección IP del sistema de resoluión en computadoras podemos esperar prevenir la avalancha de código malicioso que estará sobre nosotros. Fuente: eChannelLine  FZA/