Começam a aparecer na midia brasileira noticias sobre uma nova praga que se prolifera com certa exponencialidade embora ainda não considerada uma grande ameaça como virus e similares.
» Depois do phishing scam, vem aí o pharming
» Pharming é a nova ameaça digital
Essa matéria está ficando cada vez mais quente no meio técnico e o público até agora não tem ideia do estrago que pode ser causado.
Pharming é considerado por alguns uma evolução de phishing.
Phishing, quase do conhecimento de todo internauta assiduo, é o velho esquema do link dentro de um email redirecionando para um site falso de aparencia bastante similar ao original.
Fazendo uma comparação: no phishing cada usuário precisa ser contactado individualmente para cair no golpe enquanto no pharming a coisa é feita na raiz sendo praticamente impossivel para o usuário comum detectar que foi redirecionado para um site falso.
Phishing é a onda que pega o desavisado na praia.
Pharming é o tsunami que pode pegar qualquer um.
Após vários anos na janela acompanhando a evolução da infraestrutura da internet eu diria que essa nova praga chamada pharming me causa preocupação como quando apareceram os primeiros virus. Caso os candidatos a "Professor Gavião" da internet resolverem levar a sério o potencial do estrago que pode ser causado lamento informar mas antevejo problemas. Muitos problemas.
Primeiramente vamos esclarecer a origem do nome pharming. Pharming vem do termo farming, de fonética similar, há muito utilizado na industria farmaceutica que significa a modificação genetica de hospedeiros para a incrementar a produção de drogas medicinais. O neologismo criado é devido a semelhança do tipo de ataque engendrado para roubar dados da conta de usuários em sites bancários e outros não menos atraentes para os piratas ciberneticos. Um ataque do tipo pharming tambem modifica um tipo de hospedeiro que retem parte da informação fundamental para o funcionamento da web, os chamados Domain Name System servers (Servidores de Nomes de Dominio) doravante denominado servidor DNS. Portanto para entender o principio basico dessa nova praga você precisa relembrar o que são os DNS. DNS são computadores do tipo servidor que armazenam os endereços IP para cada website, isto é, a localização precisa na internet (a maior rede de computadores do mundo) do computador onde está hospedado determinado website, correlacionado com seu nome fantasia comumente chamado de dominio. Por exemplo o meu dominio hipermail.com tem um website que fica hospedado no endereço http://69.61.11.2/~hipermai/ sendo que este blog fica em um diretorio especifico dentro do mesmo website: http://69.61.11.2/~hipermai/blog/ Essa informação fica armazenada em um servidor DNS que é consultado a cada vez que você informa o nome do meu site em seu navegador. Os meandros tecnicos de como a informação da localização do meu site viaja pela internet e é retornada para o seu PC não é relevante agora para o bom entendimento do que é pharming.
Pharming pode ser executado em três modalidades:
- DNS Hijacking (Sequestro de DNS)
- DNS Poisoning (Envenenamento de DNS)
- Malware (Trojan Horses ou Cavalos de Troia)
Sequestro de DNS (DNS Hijacking)
É a modalidade mais facil de ser evitada porem a que mais danos pode causar. O ofensor simplesmente troca o registro de um site alvo para o endereço de algum computador controlado por ele. Ou seja, ele simula que é o dono do site (ou seu administrador) e pede a troca junto ao Registrar que a executa sem saber que está atendendo uma solicitação de pessoa não autorizada. Uma vez a troca feita o ofensor coloca no ar um website identico, o que é facil de fazer, e passa a capturar as senhas de todos os usuários que naturalmente fazem login no site falso. Parece mentira mas o site do eBay na Alemanha foi alvo de um ataque dessa natureza como conta esse artigo. Para evitar essa modalidade bastaria que o Registrar seguisse os padrões de validação para permitir a alteração dos dados de um dominio.
Envenenamento de DNS (DNS Poisoning)
Não tão eficiente como o anterior mas de alto potencial nocivo caso não descoberto após um certo periodo de tempo. Consiste em invadir um servidor DNS e plantar endereços falsos em uma tentativa de replicar pela internet essa informação. Todo servidor DNS armazena temporariamente o endereço de sites frequentemente acessados em uma área chamada cache de modo a agilizar a operação de obter a localização correta. Sites não trocam de localização todo dia mas a informação do cache somente expira após certo tempo segundo padrões recomendados pela IETF (Internet Engineering Task Force), entidade que rege o bom funcionamento da internet. Os malfeitores se valem desse periodo de vida (TTL-time to live) para "envenenar" servidores DNS acrescentando falsos registros no cache os quais disseminarão pela web esse novo endereço falso para um dado website. Isso aconteceu, descrito nesse artigo, com a firewall da Symantec que tambem pode atuar como servidor DNS. A forma de evitar esse ataque é obviamente manter seus softwares atualizados com as ultimas correções do fabricante.
Cavalos de Tróia e outros tipos de Malware
Esse tipo de programa malicioso poderá tentar alterar um arquivo do Windows chamado Hosts. Esse arquivo pode ser utilizado para armazenar localmente o endereço de sites frequentemente acessados da mesma maneira como funciona um cache DNS. Seria um envenenamento de DNS local. O seu arquivo Hosts dependendo do seu sistema operacional pode ser localizado segundo essa lista aqui. Para evitar essa ultima modalidade você apenas precisa estar em dia com seu programa de antivirus.
Pharming poderia ser melhor evitado atraves de validações a partir do seu navegador como a proposta pela Netcraft que informa a localização geografica do site sendo acessado ou ainda com metodos de autenticação de usuário mais poderosos do que a velha dobradinha codigo de usuário e senha.
Essa onda crescente de pharming é preocupante e merece que fiquemos de olho. Se você notar algo por menor que seja na aparencia do site de seu banco ou similar informe um codigo de usuário e senha falsos para ver o que acontece. E sempre, sempre, sempre, verifique se você está em uma conexão segura e encriptada identificada pela presença do "cadeadinho" no sopé do navegador. Não é infalivel mas ajuda e muito.
Daqui a uma década a rede varejista Wal-Mart, maior empresa do planeta, terá vendas igual ao PIB do Brasil.
