Pharming napadi
Tako kot se neprestano veča število internetnih kriminalcev, ki se želijo dokopati do uporabniških računov, številk kreditnih kartic in drugih pomembnih informacij od katerih bi se lahko finančno okoristili, tako se veča tudi število novih prevar, novih metod in novih napadov, ki so vedno bolj sofisticirani, vedno bolj masovni in tudi vedno bolj natančni. Krivdo za takšen porast internetnega kriminala lahko iščemo tudi v naglem večanju števila internetnih uporabnikov in v hitrem razvoju e-bančništva in spletnega nakupovanja zaradi česar so prišle raznovrstne prevare in napadi še toliko bolj do izraza. Poleg phishing napadov se v zadnjem času vedno več govori napadih, ki imajo prav tako čudno ime – o pharming napadih. Da so nove oblike napadov s katerimi poskušajo kriminalci izvabiti podatke od internetnih uporabnikov res v porastu, priča tudi poročilo neprofitne organizacije National Cyber-Forensics & Training Alliance (www.ncfta.net), ki je meseca marca tako pharming kot phishing napade uvrstila na lestvico petih najbolj pogostih internetnih zlorab.
Besedo »Pharming« uporabljajo tudi v farmacevtski industriji. Beseda, ki je skovanka besed "farming" (kmetijstvo) in "pharmacy" (lekarništvo), predstavlja eno izmed tehnik genskega inženiringa. |
Če so phishing napadi temeljili predvsem na ponarejenih e-sporočilih, ki so na lažne spletne strani privabljali uporabnike z namenom, da si na protipraven način pridobijo njihove številke kreditnih kartic in ostale zaupne podatke, pa napadalci sedaj vse bolj uporabljajo napade brez vabe. Pri pharming napadih gre namreč za neposredne napade na DNS strežnike ali pa na datoteko o gostiteljih (ang. hosts file), ki se nahaja na uporabnikovem računalniku. Posledica tovrstnih napadov je ta, da so uporabniki, ne da bi to sploh vedeli, preusmerjeni na zlonamerne spletne strani (ang. malicious sites), četudi v naslovno vrstico brskalnika pravilno vnesejo URL naslov strani, ki bi jo radi obiskali. Ker so lažne strani največkrat popolne kopije originalnih, uporabniki sploh ne opazijo da se nahajajo na lažnem naslovu in da se v ozadju dogaja v bistvu nekaj škodljivega. Ravno na to karto nevednosti pa igrajo napadalci, saj od uporabnikov, ki se nahajajo na lažni strani, ni težko izvabiti zaupnih podatkov med katerimi so še posebej zaželjene številke kreditnih kartic ter podatki, ki so potrebni za dostop in uporabo e-bančnih storitev.
Posledica pharming napada je, da je uporabnik brez njegove vednosti preusmerjen na lažno stran, ki je popolna kopija originalne, vendar posebej narejena za zbiranje zaupnih podatkov z namenom njihove kasnejše zlorabe. |
Delovanje DNS strežnikov Za lažje razumevanje pharming napadov je potrebno na kratko razložiti delovanje DNS strežnikov, ki skrbijo za to, da pretvarjajo imenske naslove domen v specifične internetne IP naslove. DNS strežnike si lahko predstavljamo tudi kot nekakšne nekakšne telefonske imenike za domene. Ko želi uporabnik obiskati določeno spletno stran, se zahteva po obisku posreduje od njegovega računalnika do najbližjega DNS strežnika, ki poskrbi za prevod spletnega naslova v ustrezen IP naslov, ki je sestavljen iz numeričnega niza (npr. www.imedomene.com = 1.1.1.1.). Na podlagi uporabnikove zahteve po ogledu določene strani DNS strežnik preusmeri uporabnika na stran, ki jo želi obiskati. Če strežnik zahtevka ne more razrešiti, ker nima ustreznega zapisa v pretvorbeni tabeli, posreduje zahtevo do drugega strežnika. Zahtevki potujejo naprej tako dolgo dokler ne dobijo pravega odgovora in dokler računalnik ne dobi nazaj odgovarjajoči IP naslov za spletno stran, ki jo želi obiskati. DNS sistem (domain name system) je bil uveden predvsem zaradi tega, ker si ljudje lažje zapomnimo spletna imena (npr. mojmikro.si), kot pa IP naslove (npr. 193.77.122.36). Napadi na host datoteko Pharming napadi se lahko izvajajo lokalno (na posameznemu računalniku) ali pa neposredno na DNS strežnikih. Medtem ko je za neposredne napade značilno, da prizadenejo vse uporabnike, ki dostopajo do napadenega strežnika, pa je za lokalne napade značilno, da so po eni strani nevarnejši in učinkovitejši od strežniških napadov, pa drugi strani pa tudi lažje izvedljivi, saj mora napadalec »le» spremeniti ti. »hosts« datoteko, ki se nahaja na uporabnikovemu računalniku v direktoriju C:WINDOWSsystem32driversetc in ustvariti lažno spletno stran na katero bo uporabnik preusmerjen. Napadalci pridejo do host datoteke na daljavo ali pa jo prepišejo s pomočjo različnih virusov ali trojancev (kot npr. Bancos, Banker ali Banbra), ki jih največkrat dobimo prek e-pošte. Hosts datoteka je napadalcem zanimiva predvsem zaradi tega, ker lahko uporabnikovemu računalniku prihrani pot do DNS strežnika, saj lahko vsebuje najbolj pogosto obiskane IP naslove in njim pripadajoče URL naslove. Če uspe napadalcu prepisati oziroma opremiti host datoteko z lažnimi naslovi, bo uporabnik tudi ob primeru pravilnega vnosa URL naslova preusmerjen na lažno stran, ki jo je ustvaril napadalec. Zastrupljanje DNS strežnikov Neposredni strežniški napadi, ki se realizirajo s kompromitiranjem DNS sistema, so poznani tudi pod imenom DNS poisoning. Ker so tovrstni pharming napadi usmerjeni na strežnik in ne na posamezne uporabnike, lahko v kratkem času dosežejo veliko število žrtev, ki jih preusmerijo na zlonamerne strani. Če je DNS strežnik, ki pretvarja spletne in e-poštne naslove v numerične nize, zastrupljen, pomeni, da vsebuje napačne povezave med imeni domen in pripadajočimi IP številkami. Zaradi tega pride do nepravilnega razreševanja IP naslovov in posledično do preusmeritev uporabnikov na napačne strani kljub pravilno vnesenimi URL naslovi. Posledica zastrupitve DNS strežnika je, da se imenskemu zapisu domene priredi lažna IP številko (npr. www.imedomene.com = 9.9.9.9). Če bo sedaj uporabnik odtipkal naslov www.imedomene.com, bo ne da bi to sploh vedel, preusmerjen na lažno stran 9.9.9.9, ki bo po izgledu po vsej verjetnosti popolna kopija originalne strani. Na tej lažni strani bo napadalec od uporabnika skušal izvabiti podatke, ki bi jih lahko kasneje zlorabil na originalni strani.
<slika>Prikaz delovanja pharming napada
Kako se obvarovati pred napadom? Verjetno ni potrebno posebej poudarjati, da je uporaba protivirusnih programov s posodobljenimi virusnimi definicijami, osnovna preventiva, ki jo mora upoštevati vsak uporabnik računalnika. Protivirusni programi so lahko zelo učinkovito sredstvo ne samo v boju proti virusem ampak tudi v boju proti pharming napadom, saj lahko preprečijo okužbo računalnika s trojanci, ki vam lahko spremenijo hosts datoteko. Resnici na ljubo pa si popolne zaščite računalnika žal tudi z uporabo protivurusnih programov ne morete zagotoviti, saj se ustrezna orodja za odstranitev običajno pojavijo šele takrat, ko so virusi, črvi in trojanci že nekaj časa v obtoku. Za preventivo pred pharming napadi je priporočljiva tudi uporaba požarnega zidu, ki lahko napadalcem prepreči vstop v računalnik preko nezaščitenih komunikacijskih vrat in s tem spreminjanje sistema oziroma hosts datoteke.
<slika>Netcraftova orodna vrstica je koristno orodje za preventivo pred phishing in pharming napadi
Za povečanje obrambnih zmogljivosti vašega računalnika imejte nameščene tudi najnovejše popravke operacijskega sistema (naložite si jih lahko na strani www.microsoft.com/security/), nameščeno imejte zadnjo verzijo brskalnika vključno z vsemi morebitnimi varnostnimi popravki ter programe za odstranjevanje vohunskih programov (kot npr. Ad-Aware: www.lavasoftusa.com, SpySweeper: www.webroot.com, Spybot Search and Destroy: www.safer-networking.org). Za preventivo pred pharming napadi lahko poskrbite tudi tako, ne odpirate sumljivih priponk v poštnih sporočilih in da brez predhodnega razmisleka ne klikate na povezave v sporočilih, ki bi jih naj poslale banke, izdajatelji kreditnih kartic ter podjetja, ki se ukvarjajo z elektronskimi plačilnimi storitvami. Če dostopate do spletnih strani kjer posredujete zaupne in občutljive podatke, nujno preverite, če se nahajate na spletni strani, ki uporablja šifriranje podatkov. URL naslov v naslovni vrstici se mora začeti s https://. Če za brskanje po internetu uporabljate Internet Explorer se vam mora v statusni vrstici na spodnji desni strani brskalnika pojaviti ikona z zaklenjeno ključavnico, kar pomeni da se nahajate na spletni strani, ki uporablja šifriranje (glej sliko). Z dvoklikom na ključavnico lahko preverite tudi ali se naslov varnostnega certifikata ujema z naslovom spletnega mesta, kjer se nahajate.
Podjetje Anonymizer je izdelalo programsko opremo, ki skrbi za varovanje internetne identitete in ščiti uporabnike pred pharming napadi. Oprema deluje tako, da poteka ves uporabnikov internetni promet preko varovanih Anonymizerjevih DNS strežnikov, kar pomeni, da strežniki z varnostnega vidika pregledajo vsak uporabnikov zahtevek po obisku določene spletne strani. Podrobnejše informacije o programu so dosegljive na naslovu www.anonymizer.com/pharming. |
Strokovnjaki z varnostnega področja pravijo, da bi se lahko proti pharming napadom obvarovali tudi tako, da bi internetni brskalniki podali avtentikacijo za identiteto spletne strani, ki jo želimo obiskati. Velik korak naprej na tem področju so naredili pri podjetju Netcraft, kjer so za Internet Explorer izdelali orodno vrstico Netcraft Toolbar (http://toolbar.netcraft.com), ki opozarja uporabnike na potencialno nevarnost phishing ali pharming napada tako, da prikaže kdo je lastnik strežnika na katerem se nahaja obiskana spletna stran in v kateri državi se strežnik nahaja. Če bi npr. želeli opraviti določeno transakcijo v vaši spletni banki, bi verjetno dvakrat premislili preden bi vtipkali uporabniško ime in geslo, če bi se vam na zaslonu prikazal podatek, da spletna stran banke gostuje na strežniku, ki se nahaja v Rusiji.
Objavljeno v reviji Moj mikro