 |
| Pharming |
Este artículo está centrado en la palabra pharming que describe una practica relativa a la seguridad informática. El término es controvertido ya que describe conceptos que no tienen ninguna relación entre ellos.
Pharming puede refirse a un concepto que designa el uso de organismosmodificados genéticamente para expresar una proteína de interés farmacéutico, es un término inglés, surgido de la unión de dos términos: "farming" (cultivar una granja) y "pharmaceutical" (fármaco o sustancia farmacológica), y se refiere a la utilización de la ingeniería genética para insertar genes que producen fármacos dentro de un huésped animal o vegetal que en otros casos no expresaría estos genes.
Los productos de pharming son proteínas recombinantes o sus productos metabólicos. Las proteínas recombinantes se producen más comúnmente usando bacterias o levaduras en un biorreactor, pero el pharming ofrece la ventaja al productor de que no requiere una infraestructura costosa y la capacidad de producción se puede escalar rápidamente para satisfacer la demanda, a un costo muy reducido.
Dicho esto, cabe señalar que existe otra acepción del término, el Pharming es una técnica de piratería informática relacionada con la ingeniería social, que aprovecha las vulnerabilidades de los servicios DNS. En esta técnica, las solicitudes de resolución de nombres de dominio DNS se desvían para remitir al usuario a sitios fraudulentos proporcionando la dirección IP de estos últimos en lugar de las de los sitios legítimos. En otras palabras, se puede hacer cambiando el archivo hosts en el ordenador de la víctima o aprovechando alguna vulnerabilidad del software del servidor de DNS. Los servidores DNS son los computadores responsables de poner en correspondencia los nombres de dominio con las direcciones IP reales del servidor.
Parece que la palabra en inglés pharming es un juego entre "farming" y "phising" (phishing).
El pharming se ha convertido en una seria preocupación para las empresas que desarrollan actividad comercial en Internet, como los bancos o las tiendas en línea. Ni el antivirus ni las aplicaciones de eliminación de spyware, no pueden proteger del pharming. Algunos navegadores, como Firefox, avisan en algunos casos si el sitio contiene enlaces sospechosos. Se requieren medidas sofisticadas conocidas como anti-pharming para protegerse contra esta seria amenaza.
 |
El término "pharming" es un neologismo como decía, basado en las palabras "granja" (pharm en inglés) y “pesca” (phishing en inglés,). El phishing es un tipo de ataque de ingeniería social para obtener credenciales de acceso, como nombres de usuario y contraseñas. En los últimos años, tanto el pharming como el phishing se han utilizado para obtener información y utilizarla para robos de identidad en línea.
Podríamos decir que hay dos técnicas o procesos fundamentales que se consideran pharming, el primero consiste en modificar un servidor DNS local. Los usuarios de Internet que soliciten un nombre de dominio serán redirigidos al servidor fraudulento. El segundo se logra mediante el malware que modifica la información de red o de comunicación si se prefiere del hardware infectado, ya sea una estación de trabajo o un router. Esta modificación provoca que el usuario sea redirigido al servidor fraudulento para los nombres de dominio que se haya decidido que van a participar del engaño.
Estas prácticas se usan fundamentalmente para atraer a los usuarios a un sitio web que suplanta la identidad del sitio solicitado por la víctima, incluso si el nombre de dominio se ingresa correctamente, para robar información, ya sean contraseñas u otros datos sensibles.
Por ejemplo, un atacante falsifica las entradas de la dirección IP del DNS para un sitio de destino en un servidor DNS determinado, reemplazando una de esas entradas con una dirección IP de un servidor que controla. Luego crea archivos de servidor maliciosos con páginas idénticas a las del servidor de destino. Estos archivos pueden contener programas maliciosos como gusanos o virus. Un usuario cuya computadora haya hecho referencia al servidor DNS infectado sería engañado para que aceptara contenido de un servidor no auténtico, y sin saberlo descargaría contenido malicioso, es decir se infectaría.
 |
|
https://commons.wikimedia.org/wiki/File:Computer_networks_080916-A-QS269-014.jpg |
La protección más eficaz contra los ataques de pharming afecta a tanto a los equipos técnicos que mantienen los servidores DNS, como a los usuarios. Para los primeros, es el uso del protocolo DNS seguro DNSSEC, es una primera opción, así como fortalecer la seguridad del servidor del sistema de nombres de dominio. De hecho, es necesario eliminar cualquier vulnerabilidad conocida que pueda permitir el envenenamiento del DNS. Las versiones anteriores del software DNS son vulnerables a este tipo de ataque y deben corregirse (mediante la instalación de parches).
El usuario hará bien en preocuparse por comprender el uso del protocolo HTTPS, que reduciría significativamente el riesgo de phishing durante la segunda parte del ataque al verificar la identidad oficial del sitio web con una autoridad de terceros.
Estamos hablando al fin y al cabo del envenenamiento o la corrupción de la memoria caché del servidor DNS. Esta es una técnica que se utiliza para engañar a los servidores DNS haciéndoles creer que están recibiendo una respuesta válida a una solicitud que realizan, pero que en realidad que es fraudulenta. Una vez que el servidor DNS ha sido envenenado, la información se almacena en la memoria caché, lo que hace que todos los usuarios de ese servidor sean vulnerables. Este tipo de ataque permite, como decía, enviar a un usuario a un sitio falso cuyo contenido puede ser utilizado para phishing o para participar una vez contaminado con el software malicioso pertinente, en algún ataque a terceros.
Una computadora en Internet normalmente usa un servidor DNS administrado por el proveedor de acceso, en el caso de usuarios particulares, normalmente es la compañía con la que se contrata la conexión. La mayoría de las veces, este servidor DNS está limitado solo a los usuarios de la red la compañía y su caché contiene parte de la información recuperada anteriormente. Si se consigue envenenar, infectar o de algún modo corromper un solo servidor DNS de la compañía que presta el servicio de acceso, podría afectar a todos sus usuarios ya sea directa o indirectamente si los servidores esclavos están realizando propagación de información.
Esta manipulación puede tener varios propósitos, ya sea la propagación de virus, troyanos, worms o malware de todo tipo, engañando al usuario para que crea que está descargando archivos lícitos. Otra opción es la del ya mencionado phishing, es decir para recopilar información personal, recuperar contraseñas y realizar fraudes con ello, o bien robar dinero de las cuentas de las que se extrae la información. Otra opción que ya mencioné en el artículo pasado dedicado al phishing, es la del robo de identidad, en otras palabras y adaptado a este caso, remitir a un usuario de un sitio lícito a otro que no lo es, para los fines del punto anterior.
También hay que tener en cuenta un tipo de ciberataque muy usado, que se denomina “man-in-the-middle”, hombre de en medio o hombre en medio, que consiste en situarse en medio de las transacciones para interceptarlas, descifrarlas y redirigirlas de forma transparente, es decir sin que el usuario se entere. Otra posibilidad es la de impedir o dificultar el servicio normal de la víctima, por temas políticos, religiosos, sociales, etc … se suele usar propaganda a modo de protesta, por ejemplo, refiriendo un sitio de un partido político a otro del partido rival. Esto puede estar relacionado con lo que se conoce como guerra electrónica, y que consiste en la interrupción de la red al remitir a los usuarios a otros sitios que no les permiten hacer su trabajo.
 |
|
https://commons.wikimedia.org/wiki/File:Architecture_Hosting_Education_Design_server.png |
Un caso especial que quiero comentar es el de la denegación de servicio, la remisión a un sitio inexistente que lleva al usuario a creer que el servidor ya no está disponible o muy especialmente la guerra comercial y quisiera poner como ejemplo el caso de AlterNIC.
AlterNIC fue registro no oficial de nombres de dominio creado en 1995. Generó mucha controversia, y funcionaba con un sistema raíz de nombres de dominio alternativo. Su propósito principal era desafiar el monopolio de InterNIC como única gestión de los dominios de primer nivel (gTLDs). InterNIC, la abreviatura de Internet Network Information Center fue el principal organismo gubernamental encargado de la gestión de los nombres de dominio y las direcciones IP, y cumplió esta función hasta el 18 de septiembre de 1998, cuando este papel fue asumido por la Internet Corporation for Assigned Names and Numbers (ICANN).
AlterNIC ofrecía registro de segundo nivel con sus propios dominios de primer nivel (TLD) a precios más económicos que InterNIC. Sin embargo, estos nombres de dominio sólo los podían resolver los servidores de nombre que estaban configurados de forma específica para utilizar la zona raíz de AlterNIC. El proyecto no funciona actualmente y el nombre de dominio alternic.net está aparcado y ya no se asocia con AlterNIC. Eugene Kashpureff, uno de los fundadores de AlterNIC junto con DianneBoling, tuvo una serie de problemas legales en 1997.
Escucha el podcast de Radiografia de la conspiranoia. Temporada 1, capítulo 10. Fancy Bear los ositos de goma de Vladimir Puttin:
Este es un podcast de Cesc Fortuny i Fabré, de divulgación académica y científica sobre las teorías de la conspiración, así como sectas, estafas y pseudociencias. También brinda información sobre ingeniería social, y como protegerse de ella.
Este capítulo trata sobre el grupo de hackers Fancy Bear y su relación con los servicios de inteligencia rusos, concretamente con la GRU. Pertenece a la serie dedicada a las Ingeniería Social.
http://radiografiadelaconspiranoia.blogspot.com
https://www.facebook.com/R.Conspiranoia
RSS: https://www.ivoox.com/radiografia-conspiranoia_fg_f11186055_filtro_1.xml
Spotify: https://open.spotify.com/show/5XDO8JgZpfUmuU5KoqWAZP
Links del podcast:
- Putin’s Hackers Now Under Attack—From Microsoft
- Background to “Assessing Russian Activities and Intentions in Recent US Elections”: The Analytic Process and Cyber Incident Attribution
- FBI Suspects Russia Hacked DNC; U.S. Officials Say It Was to Elect Donald Trump
- Microsoft opens up a new front in the battle against Fancy Bear
Cap comentari:
Publica un comentari a l'entrada
Escribe con una correcta ortografía, gramática/sintaxis, y puntuación. Si quieres difundir tus creencias, tienes otros espacios para hacerlo. Los insultos y las descalificaciones no se publicarán. Será bienvenido cualquier comentario que sin ser offtopic, sea respetuoso y aporte algo positivo, o corrija algún error que pueda haber cometido, pero siempre dando referencias a revistas especializadas. Para más información visita la sección AVISO! Del menú principal.