Po phishingu přichází pharming

Nebezpečí spojené s pharmingem je známo už přes deset let, ale teprve nyní začíná nabývat skutečně nepříjemnýc...


Nebezpečí spojené s pharmingem je známo už přes deset let, ale teprve nyní
začíná nabývat skutečně nepříjemných rozměrů.

Problém pharmingu navazuje na phishing, což je podvodné získání osobních nebo
jinak zneužitelných údajů. Protože však o phishingu bylo popsáno už mnoho
papíru, nebudeme se mu podrobně věnovat v zásadě jde o to, že útočník pod
nějakou záminkou vyláká informace, které následně zneužije ve svůj prospěch.
Phishing je vlastně umělou zkomoleninou anglického "fishing", což znamená
rybařit nebo rybaření. Poměrně přesně přitom vystihuje podstatu phishingu: jeho
cílem je ulovit zneužitelné informace. A nejinak je tomu i v případě pharmingu,
kde za základ bylo použito slovíčko "farming" (farmařit, pěstovat). Tady jde
ovšem o to, že útočník si na vyhlédnutém počítači "vypěstuje" podhoubí pro
svoji nekalou činnost. Jak to dělá? Nejprve si ovšem odpovězme na otázku
"proč". Potenciální oběti phishingu se vyvíjejí a na jejich obalamutění nestačí
už to, co postačilo dříve. Uživatelé jsou poučení (či spíše poučenější) a čím
dál méně z nich je ochotno naletět trikům, jež by byly ještě před několika lety
považovány za dostatečné. A tak pokud chtějí phisheři uspět, musejí přicházet s
novými nápady.
Právě pharming je takovou novou metodou, jež na napadeném počítači umožňuje
vytvořit "alibi". Útočníci totiž nějakým způsobem potřebují z oběti získat
citlivé informace a nejčastěji tak činí prostřednictvím své vlastní podvržené
webové stránky. Například v případě hypotetického finančního ústavu Zemská
banka s doménou www.zemskabanka.cz by si mohli zaregistrovat doménu
www.zemskabanka.com či www.zemskabankaonline.cz. Jenomže tady dochází ke smůle
podvodníků k několika problémům: především si uživatel této nepřesnosti může
všimnout nebo mu může přijít minimálně podezřelá. Anebo si jí sice nevšimne,
ale navštíví rovnou správnou stránku (v našem případě www.zemskabanka.cz), kde
ihned pochopí, že se stal obětí podvodu.

Chytřejší podvody
Právě pharming ale toto nejslabší místo phishingu eliminuje. Využívá k tomu
technologie označované jako "DNS cache poisoning", tedy otrávení uložených
záznamů DNS (Domain Name System) prostě změní záznam IP adresy, který je
dočasně uložený v lokálním disku (aby počítač při opakované návštěvě shodných
stránek o tuto informaci nemusel DNS servery soustavně žádat, takže šetří čas,
kapacitu linky apod.).
Informace o doménách a jejich IP adresách jsou uloženy zpravidla v souboru
hosts, který na počítači s operačním systémem Windows lze nalézt v adresáři
[WINDOWS]system32/drivers/etc (kde [WINDOWS] je aktuální umístění operačního
systému na konkrétním počítači). V souboru naleznete kromě úvodní informace dva
sloupce dat: vlevo se nacházejí IP adresy, vpravo k nim přiřazená doménová
jména. Takže pokud by se útočníkovi podaří tento soubor modifikovat (tedy
získat k němu přístup), může k jednotlivým doménovým jménům přiřazovat své
vlastní IP adresy.
Pharmingový útok probíhá tak, že se útočník pokusí napadnout nějaký počítač
nebo jejich skupinu nejčastěji pomocí virů nebo modifikovaných souborů
nabízených ke stažení na internetu. Tyto zákeřné kódy nejen upraví soubor hosts
na lokálním počítači, ale zároveň podají útočníkovi i zprávu o tom, že k
modifikaci na počítači došlo.
Útočník už má mezitím vytvořenou svoji vlastní webovou stránku a následně
postupuje jako v klasickém phishingu pod lživou záminkou přinutí uživatele, aby
vstoupil na určitou stránku a zadal zde určité informace. Rozdíl je jen v tom,
že i opatrný uživatel může nabýt pocit, že je vše v pořádku a že se nachází na
ověřené stránce. Kromě změny DNS záznamů na lokálním počítači je možné ještě
provést útok přímo proti DNS serveru a zde záznamy změnit. Při všech
požadavcích na zobrazení určité stránky tak bude zobrazován web útočníka. To se
přitom nemusí dít pouze s cílem phishingu, ale důvodem může být třeba i
obyčejný konkurenční boj buď jde o získání uživatelů, kteří chtějí vstoupit na
stránky konkurence, anebo alespoň tyto uživatele odklonit (kamkoliv) jinam,
čímž o ně konkurence také přijde. Cesty k napadení DNS serveru jsou přitom dvě
silou nebo lstí. V prvním případě prostě hacker napadne hrubou silou server a
pokusí se získat taková práva, aby mohl jeho záznamy měnit. Mnohem
nebezpečnější je ovšem způsob druhý: na základě podvržených informací přimět
provozovatele serveru k tomu, aby záznamy změnil sám.

Možná obrana
A jak se proti pharmingu bránit? Vlastně úplně stejně jako před dalšími
napadeními hackerů či jiných útočníků nejlépe prevencí. Tedy postarat se o to,
aby ochranné mechanismy zajistily, že nikdo nedokáže vstoupit do počítače a
modifikovat DNS záznamy (ochranu DNS serverů běžný uživatel pochopitelně
ovlivnit nemůže, ale jejich správci prohlašují, že byla přijata taková
opatření, aby k pharmingu na úrovni DNS nedocházelo tak snadno jako dříve).
Přitom takové útoky jsou relativně běžné. Například v listopadu 2004 byli
někteří lidé pokoušející se připojit k serverům Google nebo Amazon přesměrováni
na stránky společnosti Med Network nabízející levné medikamenty. O něco dříve
(v březnu 2003) zase byly změněny DNS záznamy webové verze známé zpravodajské
stanice al-Džazíra, takže všem, kdo na ni chtěli vstoupit, se zobrazila stránka
jisté antimilitantní organizace.
Břímě ochrany před phishingem by ovšem mělo spočívat nejen na uživatelích, ale
také na institucích vyskytujících se v kybernetickém prostoru. Jde například o
zavedení složitějšího identifikačního mechanismu než pouhého přihlašovacího
jména a hesla (třeba pomocí poslání verifikační SMS zprávy, která zajistí
identitu obou komunikujících stran instituce zná číslo telefonu, uživatele jej
fyzicky vlastní a toto vlastnictví potvrdí vložením identifikačního kódu).
Bezpečný (či spíše bezpečnější) internet je přece v zájmu všech.


Ochrana před pharmingovým útokem
Používání antivirového a antispywarového programu.
Používání firewallu (a/nebo personálního firewallu).
Pravidelné záplatování operačního systému i používaných aplikací.
Zajištění, aby každý požadavek na webovou stránku šel přes DNS server a nikoliv
přes nespolehlivou a relativně nebezpečnou lokální databázi.
Používání (je-li to jen trochu možné) certifikátů.
Prevence vyhýbání se stahování a spouštění souborů neznámého původu z internetu
nebo z e-mailu apod.

Netcraft Toolbar bojovník proti podvodům
K nejrozšířenějším a nejdoporučovanějším nástrojům proti phishingu a pharmingu
patří nástroj Netcraft Toolbar (ke stažení na adrese toolbar.netcraft.com).
Tento jednoduchý program vykonává několik z hlediska uživatele příjemných
funkcí:
Upozorňuje na podezřelé URL odkazy, které obsahují charakteristiky mající
zpravidla za cíl uvést uživatele v omyl (např. hodně mezer).
Zobrazuje geografickou lokalitu navštíveného serveru (varovně zvednutým prstem
může být např. to, že pokud se pokusíte připojit k renomované americké bance,
její server se fyzicky nachází v některé ze zemí bývalého Sovětského svazu).
Zobrazuje také hodnocení jiných uživatelů a blokování známých podvodných webů.
Objevíte-li takovou stránku, máte ji možnost ohlásit tím pomůžete dalším
uživatelům. Netcraft Toolbar navíc není k dispozici jen pro Internet Explorer
(na Windows 2000 nebo XP), ale také pro prohlížeče verze Firefox 1.0 a vyšší.

Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.