|
|
Badania przeprowadzone przez firmę Symantec we współpracy z Uniwersytetem Indiana
wykazują, że nawet 50 procent użytkowników połączeń szerokopasmowych
może być narażonych na atak typu "drive-by pharming".
|
Firma Symantec we współpracy z
Wydziałem Informatyki na Uniwersytecie Indiana poinformowała o wykryciu
nowego zagrożenia bezpieczeństwa. Użytkownicy indywidualni mogą paść
ofiarą ataku typu „drive-by pharming”, który powoduje zmianę
konfiguracji domowych routerów przez spreparowaną witrynę internetową.
Według odrębnego badania, przeprowadzonego przez Uniwersytet stanu
Indiana, nawet 50 procent użytkowników domowych połączeń
szerokopasmowych jest narażonych na ten atak.
W przypadku tradycyjnego ataku typu „pharming”
haker stara się przekierować użytkownika odwiedzającego określoną
witrynę internetową do strony sfałszowanej. Może to osiągnąć,
modyfikując plik hosta w komputerze ofiary lub wprowadzając zmiany w
systemie DNS (Domain Name System). Atak „drive-by pharming” to nowy
rodzaj zagrożenia polegający na tym, że po odwiedzeniu przez
użytkownika destrukcyjnej witryny atakujący może zmienić ustawienia DNS
na routerze użytkownika lub w punkcie dostępu bezprzewodowego. Serwery
DNS to komputery odpowiedzialne za przekształcanie nazw internetowych w
rzeczywiste adresy IP (adresy protokołu internetowego), które pełnią
funkcję „drogowskazów” w Internecie. Aby dwa komputery mogły nawiązać
ze sobą połączenie w Internecie, muszą mieć informacje o swoich
adresach IP. Atak typu „drive-by pharming” jest możliwy w sytuacji, gdy
router szerokopasmowy nie jest chroniony hasłem lub gdy atakujący jest
w stanie je odgadnąć — na przykład korzystając ze znanego hasła
domyślnego, które nie zostało zmienione przez użytkownika.
„Nowe badania ujawniają problem, który dotyczy
milionów użytkowników połączeń szerokopasmowych na całym świecie.
Biorąc pod uwagę łatwość, z jaką można przeprowadzić atak typu
„drive-by pharming”, klienci indywidualni powinni jak najszybciej
odpowiednio zabezpieczyć używane przez siebie routery i punkty dostępu
bezprzewodowego” — powiedział Oliver Friedrichs, dyrektor w ośrodku
Symantec Security Response.
Profesor Markus Jakobsson z Wydziału
Informatyki na Uniwersytecie stanu Indiana podkreśla, że w tego rodzaju
ataku szczególnie wyraźnie widać wagę czynnika ludzkiego w dziedzinie
bezpieczeństwa: „Choć atak typu «drive-by pharming» wynika z
niedostatecznych zabezpieczeń, występuje w tym przypadku inny element
ludzki: jeśli agresorowi uda się nakłonić użytkownika do odwiedzenia
jego strony, może przeprowadzić sondowanie komputera. Oszustwo nie jest
niczym nowym w stosunkach międzyludzkich, ale dopiero od niedawna
zajmują się nim poważnie naukowcy specjalizujący się w dziedzinie
bezpieczeństwa systemów informatycznych”.
Atak typu „drive-by pharming” polega na
zmianie ustawień domowego routera szerokopasmowego przy użyciu języka
JavaScript. Otworzenie przez użytkownika fałszywego łącza powoduje
zmodyfikowanie ustawień DNS w routerze za pomocą spreparowanego kodu.
Od tego momentu przy każdych odwiedzinach witryny internetowej haker
przeprowadza operację rozpoznawania nazw DNS. Jest to procedura, która
umożliwia określenie adresu odpowiadającego potocznie używanej nazwie
strony. Dzięki temu przestępca komputerowy uzyskuje pełną kontrolę nad
tym, które witryny użytkownik odwiedza w Internecie. Użytkownikowi może
na przykład wydawać się, że odwiedza stronę swojego banku, gdy w
rzeczywistości został przekierowany do spreparowanej witryny.
Fałszywe strony są wiernymi kopiami
autentycznych witryn, dlatego użytkownik często nie będzie w stanie
zauważyć żadnej różnicy. Po przekierowaniu do witryny „banku”,
wprowadzeniu przez użytkownika nazwy i hasła atakujący metodą
„pharming” może wykraść te informacje. Dzięki temu będzie w stanie
uzyskać dostęp do konta ofiary w prawdziwej witrynie banku i dokonać
przelewu, utworzyć nowe konta lub wypisać czeki.
Ośrodek Symantec Security Response zaleca zastosowanie wielopoziomowej strategii ochrony:
- Użytkownicy powinni się upewnić, czy ich routery są chronione
unikalnym hasłem. Większość routerów jest dostarczanych z domyślnym
hasłem administratora, które agresorzy mogą łatwo odgadnąć.
- Należy korzystać z rozwiązań ochronnych zawierających
oprogramowanie antywirusowe, zaporę ogniową, mechanizm wykrywania
włamań i ochronę przed lukami w zabezpieczeniach.
- Nie należy otwierać odnośników, które wydają się podejrzane — na przykład nadesłanych przez nieznane osoby wiadomości e-mail.
Istniejące rozwiązania ochronne nie
zabezpieczają przed tego typu atakiem, ponieważ metoda „drive-by
pharming” uderza bezpośrednio w router użytkownika. Z kolei programy
dostępne na rynku chronią jedynie system komputerowy. Firma Symantec
pracuje nad technologiami, które pomogą w wyeliminowaniu tego problemu
przy użyciu mechanizmów działających po stronie klienta. Celem firmy
jest opracowanie metod automatycznego blokowania ataku przy użyciu
kilku mechanizmów działających w komputerze klienta, wbudowanych w stos
sieciowy oraz zintegrowanych z przeglądarką.
Szczegóły ataku opisano w dokumencie
technicznym Uniwersytetu stanu Indiana o sygnaturze TR641 pod tytułem
„Drive-by Pharming”, którego autorami są Sid Stamm, Zulfikar Ramzan i
Markus Jakobsson. Dokument ten jest dostępny tutaj.
źródło: Symantec
|
