Pharming
Este artigo não cita fontes confiáveis. (Novembro de 2011) |
Em informática Pharming é o termo atribuído ao ataque baseado na técnica DNS cache poisoning (envenenamento de cache DNS) que, consiste em corromper o DNS (Sistema de Nomes de Domínio ou Domain Name System) em uma rede de computadores, fazendo com que a URL (Uniform Resource Locator ou Localizador Uniforme de Recursos) de um site passe a apontar para um servidor diferente do original.
Ao digitar a URL (endereço) do site que deseja acessar, um banco por exemplo, o servidor DNS converte o endereço em um número IP, correspondente ao do servidor do banco. Se o servidor DNS estiver vulnerável a um ataque de Pharming, o endereço poderá apontar para uma página falsa hospedada em outro servidor com outro endereço IP, que esteja sob controle de um golpista.
Os golpistas geralmente copiam fielmente as páginas das instituições, criando a falsa impressão que o usuário está no site desejado e induzindo-o a fornecer seus dados privados como login ou números de contas e senha que serão armazenados pelo servidor falso.
O termo mais comum designado a página falsa criada pelo pharmer, que é redirecionada pela original (DNS cache poisoning), é Página Falsa ou Fake Page.
Funcionamento
[editar | editar código-fonte]O comprometimento do DNS local ocorre quando o hacker introduz dados, não oriundos de servidores DNS de hierarquia superior, no banco de dados de cache. Pode ser uma tentativa deliberada de um ataque malicioso em um servidor de nomes, o resultado de um erro de configuração de um cache de DNS ou de um software vulnerável. Esse banco de dados de cache é usado para otimização de desempenho, para que o IP do servidor destino seja resolvido mais rapidamente. O DNS é considerado envenenado quando fornece dados não-autênticos para os clientes do servidor. Um servidor de nome de domínio traduz uma URL (como example.com) em um endereço IP de um servidor, que por sua vez, é fornecedor de recursos da Internet. Se um servidor DNS é envenenado, ele pode retornar um endereço IP incorreto, desviando o tráfego para outro computador.
Normalmente, um computador em rede utiliza um servidor de DNS fornecido pela organização do usuário do computador ou um provedor de serviços da Internet (ISP). Os servidores DNS locais são geralmente implantados na rede de uma organização para melhorar o desempenho através de uma resposta de resultados da consulta anteriormente obtidos, por caching. Ataques de envenenamento em um único servidor DNS podem afetar os usuários atendidos diretamente pelo servidor comprometido ou indiretamente pelo seu(s) servidor(es) downstream (s). Para executar um ataque de envenenamento de cache, o atacante explora uma falha no software de DNS. Se o servidor não valida corretamente respostas DNS para garantir que eles são de uma fonte autorizada (por exemplo, utilizando DNSSEC ), o servidor vai acabar cacheando as entradas incorretas localmente e servir aos usuários que fazem o mesmo pedido.
Esta técnica pode ser usada para direcionar os usuários de um site para outro site de escolha do atacante. Por exemplo, um atacante falsifica as entradas de endereço IP de DNS para um site destino em um servidor DNS fornecido, substituindo uma dessas entradas por um endereço IP de um servidor que ele controla. Em seguida, ele cria os arquivos do servidor malicioso com páginas idênticas ao servidor de destino. Estes arquivos podem conter programas maliciosos, como worms ou vírus. Um usuário cujo computador tenha referenciado o servidor de DNS envenenado seria levado a aceitar conteúdo vindo de um servidor não-autêntico e, sem saber, baixar conteúdo malicioso.