Uwaga na nowy rodzaj ataku: drive-by pharming

Nawet 50 procent użytkowników połączeń szerokopasmowych może być narażonych na atak typu „drive-by pharming” - twierdzą specjaliści od zabezpieczeń z firmy Symantec, która wykryła zagrożenie wspólnie z Wydziałem Informatyki na Uniwersytecie Indiana (USA)

Firma Symantec we współpracy z Wydziałem Informatyki na Uniwersytecie Indiana poinformowała o wykryciu nowego zagrożenia bezpieczeństwa. Użytkownicy indywidualni mogą paść ofiarą ataku typu „drive-by pharming”, który powoduje zmianę konfiguracji domowych routerów przez spreparowaną witrynę internetową.

W przypadku tradycyjnego ataku typu „pharming” haker stara się przekierować użytkownika odwiedzającego określoną witrynę internetową do strony sfałszowanej. Może to osiągnąć, modyfikując plik hosta w komputerze ofiary lub wprowadzając zmiany w systemie DNS (Domain Name System).

Atak „drive-by pharming” to nowy rodzaj zagrożenia polegający na tym, że po odwiedzeniu przez użytkownika destrukcyjnej witryny atakujący może zmienić ustawienia DNS na routerze użytkownika lub w punkcie dostępu bezprzewodowego. Serwery DNS to komputery odpowiedzialne za przekształcanie nazw internetowych w rzeczywiste adresy IP (adresy protokołu internetowego), które pełnią funkcję „drogowskazów” w Internecie. Aby dwa komputery mogły nawiązać ze sobą połączenie w Internecie, muszą mieć informacje o swoich adresach IP. Atak typu „drive-by pharming” jest możliwy w sytuacji, gdy router szerokopasmowy nie jest chroniony hasłem lub gdy atakujący jest w stanie je odgadnąć - na przykład korzystając ze znanego hasła domyślnego, które nie zostało zmienione przez użytkownika.

„Nowe badania ujawniają problem, który dotyczy milionów użytkowników połączeń szerokopasmowych na całym świecie. Biorąc pod uwagę łatwość, z jaką można przeprowadzić atak typu „drive-by pharming”, klienci indywidualni powinni jak najszybciej odpowiednio zabezpieczyć używane przez siebie routery i punkty dostępu bezprzewodowego” - powiedział Oliver Friedrichs, dyrektor w ośrodku Symantec Security Response.

Profesor Markus Jakobsson z Wydziału Informatyki na Uniwersytecie stanu Indiana podkreśla, że w tego rodzaju ataku szczególnie wyraźnie widać wagę czynnika ludzkiego w dziedzinie bezpieczeństwa: „Choć atak typu «drive-by pharming» wynika z niedostatecznych zabezpieczeń, występuje w tym przypadku inny element ludzki: jeśli agresorowi uda się nakłonić użytkownika do odwiedzenia jego strony, może przeprowadzić sondowanie komputera. Oszustwo nie jest niczym nowym w stosunkach międzyludzkich, ale dopiero od niedawna zajmują się nim poważnie naukowcy specjalizujący się w dziedzinie bezpieczeństwa systemów informatycznych”.

Istniejące rozwiązania ochronne nie zabezpieczają przed tego typu atakiem, ponieważ metoda „drive-by pharming” uderza bezpośrednio w router użytkownika. Z kolei programy dostępne na rynku chronią jedynie system komputerowy. Firma Symantec pracuje nad technologiami, które pomogą w wyeliminowaniu tego problemu przy użyciu mechanizmów działających po stronie klienta. Celem firmy jest opracowanie metod automatycznego blokowania ataku przy użyciu kilku mechanizmów działających w komputerze klienta, wbudowanych w stos sieciowy oraz zintegrowanych z przeglądarką.

Badający problem naukowcy postulują by użytkownicy zmieniali standardowe hasła urządzeń sieciowych zaraz po podłączeniu ich do domowej infrastruktury. Ponieważ większość tego typu sprzętu jest dostarczanych z domyślnym hasłem administratora, które agresorzy mogą łatwo odgadnąć.

Źródło: Symantec

Realizacja: SIPLEX Studio