PICANDO EL ANZUELO
Los pharmers y los phishers van
tras vuestra valiossima informacin financiera. Aqu mostraremos cmo proteger nuestros intereses.
POR CHRISTOPH WEGENER
Y RALF SPENNEBERG
Phishing y Pharming
El phising usa tcnicas de falsificacin
de correos electrnicos para lograr que
los usuarios desprevenidos visiten sitios
maliciosos. Es ah donde son invitados a
introducir datos personales, tales como
contraseas y nmeros PIN. Los ataques
de phising ocurren en dos fases: en la
Fase Uno el usuario es engaado y seducido para que haga una visita al servidor
web del atacante. Los atacantes usan
varios vectores de inicio para lograr
atraer a las vctimas. En la Fase Dos, el
usuario es preguntado por sus datos personales. Esta parte del ataque es
conocida como engao o falsificacin
visual. Los vectores de ataque inicial
ms conocidos son la falsificacin de
correos y lo que se conoce como cross
site scripting (XSS), en donde el atacante
hace mal uso de sitios web de terceros
confiados para lograr iniciar el ataque.
En todos estos casos el atacante
depende de las acciones llevadas a cabo
por la vctima, por lo que fracasaran sin
la cooperacin de la misma.
En contraste con el phising, el ataque
pharming requiere del atacante el envenenamiento de las entradas de la cach
de servidores de DNS vulnerables, para
redirigir luego a los usuarios que confan en este servidor a una mquina
comprometida que aloja al sitio web que
est siendo suplantado. Este ataque se
apoya normalmente en los errores de
implementacin de los servidores DNS
para conseguir inyectar falsos pares [IP
/ nombre de mquina] en la cach del
servidor de dominio. Lo importante es
que el ataque de pharming es puramente
tcnico.
Esto
mejora
considerablemente las oportunidades de
xito de este tipo de ataques, puesto que
WWW.LINUX- MAGAZINE.ES
Nmero 20
21
PORTADA Phishing
y vender en Ebay.
El atacante se apropia de la identidad
de la vctima.
La mejor proteccin
contra
el
phishing es el sentido comn en
combinacin con
Spam Assassin. Las
vctimas potenciaFigura 1: Un correo de phising pregunta a un usuario para que
les
pueden
actualice la informacin de su cuenta de eBay.
identificar emails y
sitios web frauduparticiparon en una encuesta confiesan
lentos simplemente comprobando la
que han sufrido prdidas econmicas
URL en sus navegadores, y por el hecho
debido a correos electrnicos de phising.
de que la comunicacin no est normalAunque estos datos pueden no ser ofimente encriptada (el icono del candado
ciales, definitivamente muestran cmo
en la esquina inferior derecha de la vende real es el peligro.
tana del navegador est abierto). Pero
algunos sitios maliciosos estn empeEn la Red
zando a usar SSL para conexiones
Como mencionamos antes, los phishers
seguras. El navegador comprueba el cerfalsifican mensajes de emails de proveetificado y alerta al usuario de que el sitio
dores de servicios muy conocidos para
seleccionado no coincide con el sitio
engaar a sus vctimas y lograr que visipara el cual el certificado ha sido emiten sitios web maliciosos. Una vez la
tido, o no proviene de una organizacin
vctima accede al sitio malicioso, el phisde confianza, pero muchos usuarios no
her intenta engaarla para que revele
atienden a estas alertas y simplemente
datos de identificacin (usuario y conlas ignoran. Estos nos dejan a la URL
trasea), nmeros PIN o datos de la
como nico medio de identificacin de
tarjeta de crdito. Los ataques de phisla estafa.
hing estn orientados principalmente a
El Viejo e Inseguro MSIE
los ms importantes bancos y sitios web
dedicados al e-Comercio tales como CitiUna vulnerabilidad en las antiguas verbank, PayPal o Ebay. En la Figura 1 se
siones del Explorador de Internet de
muestra el tpico mensaje de phishing.
Microsoft permite adicionalmente a los
En contraste a muchos emails de
atacantes falsificar la barra de URL, el
phishing menos depurados, en este caso
icono del candado SSL y la vista del cerel usuario no es alertado por los
tificado. En estos casos el candado se
evidentes errores de deletreo y
encontrar cerrado, los datos del certifigramaticales. Errores de este tipo
cado aparecern correctos y la barra de
proporcionan con frecuencia una pista,
URL nos mostrar la direccin
puesto que muchos de los mensajes de
correcta una falsificacin perfecta. La
phishing han sido creados por gente
nica proteccin contra esto es la actuacuyo idioma nativo no es el nuestro.
lizacin de nuestra versin de MSIE, o
Una vctima que pulse sobre el enlace
personalizar la versin del navegador
es conducida al sitio web del atacante,
instalado para lograr que la falsificacin
que normalmente se parecer mucho al
o engao visual sea ms o menos impositio original (Figura 2), excepto que el
sible.
sitio suplantado contiene con frecuencia
Spam Assassin puede ser til en la
errores de deletreo o gramaticales,
deteccin de emails falsificados. Las
puesto que dichos sitios son con freltimas versiones de esta herramienta
cuencia
creados
por
criminales
detectarn normalmente la mayora de
internacionales que usan herramientas
los correos de phishing. Filtrar los
automticas de traduccin. Si la vctima
mensajes entrantes con Spam Assassin
finalmente introduce los datos solicitanos proteger en gran medida contra los
dos en ese sitio, el atacante podra
ataques
phishing
conocidos.
usarlos para transferir dinero o comprar
Naturalmente ni siquiera Spam Assassin
22
Nmero 20
WWW.LINUX- MAGAZINE.ES
Mucho Ms Prometedor
Puesto que el phishing depende de la
complicidad del usuario, y como factor
humano que es puede hacer peligrar el
xito del ataque, los hackers maliciosos han ideado mtodos para
incrementar las probabilidades a su
favor. El pharming no depende de un
email para atraer mediante engaos a
la vctima a un sitio malicioso. En vez
de esto, un servidor de DNS comprometido lleva a la vctima directamente
a ese sitio. Los usuarios normalmente
no escriben las direcciones IP de su
banco en el navegador; en su lugar
escriben los nombres DNS del sitio. El
servicio de Internet DNS es quien
resuelve la direccin, y es precisamente este proceso de resolucin de
direcciones el que es explotado por los
pharmers.
El ataque es realmente sencillo en
los sistemas Windows de Microsoft
usando un virus que modifique el
fichero System32/drivers/etc/hosts. Si
los usuarios introducen los pares nombre del host/direccin IP en este
fichero, el navegador ir derecho a la
direccin IP cuando el usuario intente
acceder al nombre del sitio. Naturalmente la direccin IP dirige a la
vctima al sitio web malicioso del atacante. Normalmente la vctima se cree
segura, despus de todo no estn accediendo al sitio desde un email, sino
que han sido ellos los que han introducido la direccin.
Para prevenir este ataque, los
expertos en seguridad recomiendan
proteger contra escritura el fichero de
hosts. Pero puesto que los troyanos
normalmente asumen privilegios de
administrador, este tipo de proteccin
es generalmente intil. Adems,
variantes ms recientes utilizan un
vector diferente: introducir un servidor
DNS malicioso, ejecutado por el
Phishing PORTADA
Figura 2: Un usuario que pulsa sobre el enlace de la Figura 1 es dirigido a una pgina web muy
parecida a la pgina de entrada de eBay, pero realmente dnde est?
Suplantacin DNS
Un vector de ataque alternativo
requiere que el atacante monitorice
las peticiones de resolucin DNS, y
responda en su lugar en vez del servidor DNS genuino. Para hacer esto
el atacante debe estar localizado en
algn lugar de la vecindad de la vctima para lograr esnifar las
peticiones de resolucin de nombre.
Naturalmente existen multitud de
herramientas capaces de esto. Linux
tiene la legendaria Dsniff de Dug
Song, por ejemplo, con su comando
dnsspoof. Incluso Windows tiene
una herramienta grfica apodada
Cain&Abel [3]. Pero existen gran
nmero de herramientas que soportan este tipo de ataques; los
atacantes pueden adems usar tcnicas de suplantacin ARP para
rastrear respuestas DNS o comprometer sesiones SSL usando tcnicas
Man-in-the-Middle (MitM).
Envenenamiento
Cach
de
la
WWW.LINUX- MAGAZINE.ES
Nmero 20
23
PORTADA Phishing
Figura 3: Para envenenar la cach de la DNS el atacante necesita montar su propio servidor de
nombres.
24
Nmero 20
WWW.LINUX- MAGAZINE.ES
HBCI es Seguro
HBCI es el nico mecanismo capaz de
proporcionar autntica seguridad en
estos momentos, sin embargo, puesto
que HCBI es complejo y requiere un
incremento en la inversin de hardware
adicional en forma de smartcards y lectores de tarjeta, no muchos bancos la
soportan, y menos son los consumidores
que la usan. Los clientes no usan PINs y
xTAN para autentificarse aqu, sino que
usan certificados X.509 y las claves privadas correspondientes; en el otro
extremo de la conexin, el servidor web
del banco necesita del mismo tipo de
credenciales para identificarse frente al
usuario. Para prevenir que un atacante
pueda simplemente acceder en la propia
casa de la vctima y apropiarse de su
clave privada, la clave es almacenada en
una smartcard, la cual adicionalmente
protege la llave frente a accesos de lecturas no autorizados.
Para ser capaz de utilizar la clave privada para firmar transacciones, el
usuario siempre necesita una smartcard.
Para prevenir a un atacante que ha
logrado la posesin de la smartcard de
hacer un mal uso de ella, la clave en la
smartcard est protegida adicionalmente
con un PIN. Los clientes son solicitados
a introducir el PIN para autentificarse
frente a la smartcard. Para frustrar a los
troyanos y a los programas que registran
las pulsaciones del teclado los intentos
Phishing PORTADA
Proteccin va Certificados
SSL de Clientes
Todas estas soluciones ignoran un problema: en las viejas aplicaciones el
servidor bancario se autentifica frente a
los clientes. Los clientes deben estar
seguros de que estn en comunicacin
con el servidor correcto, y para lograr
esto, necesitan ser capaces de distinguir
una conexin SSL fraudulenta de una
conexin legtima.
La experiencia diaria sugiere que
depender del cliente no siempre resuelve
el problema: hay una razn, los usuarios
tienden a pulsar descontroladamente el
ratn a la hora de eliminar mensajes de
error sin ni siquiera pararse a leerlos. Un
mensaje de error ya no es una sorpresa
para los usuarios. Hay otra razn, los
clientes generalmente desconocen el
modo en el que funcionan las conexiones SSL. Varios de los intentos realizados
por los bancos para formar a sus clientes
a este respecto no han tenido siempre el
resultado esperado. Algunas de las polticas usadas en la actualidad dan al
usuario una falsa sensacin de seguridad, tales como el mostrar el logotipo de
certificacin SSL en la pgina principal
desprotegida del banco.
Situacin Legal
El phishing y el pharming presentan
algunos problemas legales en varios
campos. Una cuestin importante es
quin es actualmente responsable de la
transaccin fraudulenta. El banco puede
intentar reclamar alguna compensacin
a la vctima de la estafa por la cantidad
de dinero transferida por el phisher. Una
transferencia bancaria funciona de una
WWW.LINUX- MAGAZINE.ES
manera similar a esto: el banco, consultado por una cantidad de dinero (el
banco de la vctima en este caso) transfiere una suma de dinero al atacante. El
banco querr tomar el dinero de la
cuenta de la vctima como reembolso de
la transaccin. Incluso si est claro que
la transaccin no tiene la aprobacin de
la vctima, el banco puede reclamar
daos por la cantidad desembolsada. La
entidad bancaria puede entonces tener
que probar su caso ante los tribunales;
en otras palabras, el banco debe probar
que el cliente ha ordenado la transferencia, y normalmente no podr hacerlo.
Naturalmente todos estos procedimientos dependen de las leyes y normas
locales. Como mnimo, incluso si la vctima tiene xito en evitar tener que
pagar por el dinero sustrado por el phisher, el acontecimiento siempre termina
en una larga tormenta de cartas, amenazas y problemas burocrticos.
Conclusiones
Aun est por ver cuando llegar la primera gran ola de ataques de tipo
pharming, pero considerando el hecho
de que una importante proporcin de
servidores de nombres por todo el
mundo son vulnerables al envenenamiento de la cach, el peligro es muy
real y difcil de predecir. Lo importante para los usuarios es pensar
antes de bucear por Internet, especialmente si uno es consultado sobre
datos de carcter personal. Bancos,
plataformas de subastas online y tiendas web necesitan trabajar en la
concienciacin sobre temas de seguridad a sus clientes. Probablemente este
sea el nico camino para parar el mal
uso a larga escala del pago online y de
RECURSOS
[1] Grupo Gartner: http://www.gartner.
com
[2] Anti Phishing Working Group
(APWG): http://www.antiphishing.org
[3] Cain&Abel: http://www.oxid.it
[4] Vulnerabilidad en el Cortafuegos de
Symantec: http://securityresponse.
symantec.com/avcenter/security/
Content/2004.06.21.html
[5] Ataque de la cach de DNS: http://isc.
sans.org/diary.php?date=2005-03-04
Nmero 20
25