Pharming en Modems 2Wire
Esta clase avanzada de hacking en modems/routers 2wire (los blancos que proporcionaba Telmex aqui en Mexico) es poco conocida por muchos de sus usuarios y muy explotada por cierto.
Anteriormente y aun en la actualidad se usan modalidades de hacking como el Phishing una técnica de ingeniería social que mediante suplantación de correos electrónicos o páginas web, intenta obtener información confidencial de los usuarios, desde números de tarjetas de crédito hasta contraseñas, ejemplo de ello paginas como quienteadmite o noadmitido y otras que semejan ser paginas de bancos las cuales son facilmente reconocibles por las URLs mal escritas o el uso de subdominios.
Pero existe un ataque mas elaborado, silencioso y efectivo, el Pharming.
Y bien ¿Que es el Pharming? es la explotación de una vulnerabilidad en el software de los servidores DNS (Domain Name System) o en el de los equipos de los propios usuarios, que permite a un atacante redirigir un nombre de dominio (domain name) a otra máquina distinta. De esta forma, un usuario que introduzca un determinado nombre de dominio que haya sido redirigido, accederá en su explorador de internet a la página web que el atacante haya especificado para ese nombre de dominio.
Lo cierto que esta modalidad de hacking no es nueva y ya tiene rato de estar funcionando y explotandose, para ser exactos desde el 15 de agosto de 2007 siendo hkm@hakim.ws y Eduardo Espina G. los acreditados con el descubrimiento, y en noviembre 8 de 2008 se publicó una nueva vulnerabilidad, la cual compromete la disponibilidad al provocar una negación del servicio de Internet que proporcionan estos equipos.
Se preguntaran ¿Qué equipos son suceptibles al ataque? pues cualquiera de los siguientes modelos de módems / routeadores proporcionados por Prodigy Infinitum:
2Wire 2071 Gateway 5.29.51
2Wire 2071 Gateway 3.17.5
2Wire 2071 Gateway 3.7.1
2Wire 1800HW 5.29.51
2Wire 1800HW 3.17.5
2Wire 1800HW 3.7.1
2Wire 1701HG 5.29.51
2Wire 1701HG 3.17.5
2Wire 1701HG 3.7.1
2Wire 2701HG-T 5.29.135.5
Y bien si tengo alguno de estos modelitos ¿Cómo identifico y neutralizo el ataque de pharming?
1. Hackeo del archivo de HOSTS de tu PC
Revisa el archivo HOSTS en la ruta c:\Windows\System32\Drivers\etc\
- Si encuentras los listados de banamex o de cualquier otra dirección que no sea
Localhost 127.0.0.1
fuiste hackeado.
Acción: Borra el contenido del archivo HOSTS y guarda los cambios.
Nota: en Windows Vista requieres ejecutar el Bloc de Notas como Administrador, si no, no te dejará realizar cambios al archivo HOSTS.
2. Proxy en navegadores
Abre una ventana de Internet Explorer o del Navegador que uses
Accede al menu Herramientas o Preferencias
Entra en la sección de Conexión y luego a Red Local o LAN
- Si está activo el uso de un servidor PROXY
fuiste hackeado.
Acción: Desactiva la casilla de proxy y acepta los cambios.
3. Router 2Wire
En una ventana de Internet Explorer o del Navegador que uses teclea la dirección siguiente:
http://home/management
- Si anteriormente habías configurado una contraseña y al colocarla no te permite entrar
- Si nunca configuraste una contraseña y ahora te la está pidiendo
fuiste hackeado.
Acciones:
1. Presiona la liga “No recuerdo la contraseña”
2. Sigue las instrucciones para restablecer la contraseña del sistema.
3. Vuelve a introducir la dirección http://home/management
4. Ingresa la contraseña
5. Del menú de la izquierda busca dentro de Avanzada “Resolución de DNS”
6. Presiona el botón REMOVE o QUITAR sobre cada dirección agregada que aparezca
Muy probablemente necesites renovar tu dirección de IP (ipconfig /renew) .
Para verificar que ya no estas siendo redireccionado a una pagina falsa, puedes seguir los siguientes pasos:
1. Hacer click en el botón de Inicio (Start).
2. Seleccionar la opción de Ejecutar (Run).
3. Teclea “cmd” y presiona Enter, para entrar a una ventana de Command.
4. Teclea “nslookup banamex.com”.
5. Verifica la dirección IP que te aparece en la última línea. Debe tener un valor de 192.193.230.100
6. Teclea “nslookup bancomer.com”.
7. Verifica la dirección IP que te aparece en la última línea. Debe tener un valor de 148.244.43.5
Si es así, ya estás libre del redireccionamiento. Aun sigues vulnerable, porque el problema esta en el router, hay que decir que el hacking del 2Wire dado que afecta todos los equipos conectados al mismo, estará afectando equipos Windows, Mac, Linux, Unix, etc., inclusive si te conectas por equipos móviles: Blackberries, Palms, Cliés, UMPCs, etc.
La recomendación a los usuarios es que eviten visualizar mensajes de spam y, sobre todo, no dar clic en ninguno de sus enlaces. También deben interesarse por la seguridad de sus routers ADSL, exigiendo a las operadoras o instaladores que los dispositivos instalados estén libres de vulnerabilidades conocidas y que permitan establecer una password de autenticación personalizada (no dejar la que traen por defecto).
Instalar una solución de seguridad efectiva (no todos los antivirus son iguales) y mantener sus sistemas y navegadores actualizados.
También es importante estar al día de los fraudes online más comunes (saber que es un phishing, comprobar la direccion http:// antes de introducir nuestras credenciales de acceso, no abrir ejecutables de fuentes no confiables, etc). En definitiva, sentido común y responsabilidad a la hora de utilizar nuestro sistema, navegar por Internet, y emplear servicios sensibles como la banca electrónica.
Por ultimo agregar que si haces transferencias bancarias verifiques que las paginas usen el protocolo HTTPS (Protocolo seguro de transferencia de hipertexto), para verificar esto checa que las direciónes comiencen con https y no sólo http. La “s” básicamente indica que es una conexión segura, existiendo un certificado que autentifica al sitio que accesas y donde la conexión entre el servidor web y el cliente (tu PC) está cifrada.
La realidad es que no existe una solución definitiva al día de hoy. Una actualización de firmware resolvería la vulnerabilidad. Por eso y como recomendacion a titulo personal, si usas tu conexion para hacer movimientos bancarios y cosas asi te recomiendo vayas con tu ISP (Proveedor de servicios de Internet) en este caso Telmex y solicites un cambio de modem/router, los nuevos que estan dando ahora son los Thomson SpeedTouch ST585, que hay que decir que la interfase de administracion de estos SpeedTouch deja mucho que desear, pero al menos nos libramos de una vulnerabilidad.
Sitios Relacionados
[1] Vulnerabilidad de Negación de Servicio en rutedores 2Wire
[2] Vulnerabilidad de autenticación en ruteadores 2Wire
[3] Phishing/Pharming Explotando Vulnerabilidades en Ruteadores 2Wire
[4] Nuevo método de fraude bancario
[5] Hacking de routers INFINITUM (2Wire)
Anteriormente y aun en la actualidad se usan modalidades de hacking como el Phishing una técnica de ingeniería social que mediante suplantación de correos electrónicos o páginas web, intenta obtener información confidencial de los usuarios, desde números de tarjetas de crédito hasta contraseñas, ejemplo de ello paginas como quienteadmite o noadmitido y otras que semejan ser paginas de bancos las cuales son facilmente reconocibles por las URLs mal escritas o el uso de subdominios.
Pero existe un ataque mas elaborado, silencioso y efectivo, el Pharming.
Y bien ¿Que es el Pharming? es la explotación de una vulnerabilidad en el software de los servidores DNS (Domain Name System) o en el de los equipos de los propios usuarios, que permite a un atacante redirigir un nombre de dominio (domain name) a otra máquina distinta. De esta forma, un usuario que introduzca un determinado nombre de dominio que haya sido redirigido, accederá en su explorador de internet a la página web que el atacante haya especificado para ese nombre de dominio.
Lo cierto que esta modalidad de hacking no es nueva y ya tiene rato de estar funcionando y explotandose, para ser exactos desde el 15 de agosto de 2007 siendo hkm@hakim.ws y Eduardo Espina G. los acreditados con el descubrimiento, y en noviembre 8 de 2008 se publicó una nueva vulnerabilidad, la cual compromete la disponibilidad al provocar una negación del servicio de Internet que proporcionan estos equipos.
Se preguntaran ¿Qué equipos son suceptibles al ataque? pues cualquiera de los siguientes modelos de módems / routeadores proporcionados por Prodigy Infinitum:
2Wire 2071 Gateway 5.29.51
2Wire 2071 Gateway 3.17.5
2Wire 2071 Gateway 3.7.1
2Wire 1800HW 5.29.51
2Wire 1800HW 3.17.5
2Wire 1800HW 3.7.1
2Wire 1701HG 5.29.51
2Wire 1701HG 3.17.5
2Wire 1701HG 3.7.1
2Wire 2701HG-T 5.29.135.5
Y bien si tengo alguno de estos modelitos ¿Cómo identifico y neutralizo el ataque de pharming?
1. Hackeo del archivo de HOSTS de tu PC
Revisa el archivo HOSTS en la ruta c:\Windows\System32\Drivers\etc\
- Si encuentras los listados de banamex o de cualquier otra dirección que no sea
Localhost 127.0.0.1
fuiste hackeado.
Acción: Borra el contenido del archivo HOSTS y guarda los cambios.
Nota: en Windows Vista requieres ejecutar el Bloc de Notas como Administrador, si no, no te dejará realizar cambios al archivo HOSTS.
2. Proxy en navegadores
Abre una ventana de Internet Explorer o del Navegador que uses
Accede al menu Herramientas o Preferencias
Entra en la sección de Conexión y luego a Red Local o LAN
- Si está activo el uso de un servidor PROXY
fuiste hackeado.
Acción: Desactiva la casilla de proxy y acepta los cambios.
3. Router 2Wire
En una ventana de Internet Explorer o del Navegador que uses teclea la dirección siguiente:
http://home/management
- Si anteriormente habías configurado una contraseña y al colocarla no te permite entrar
- Si nunca configuraste una contraseña y ahora te la está pidiendo
fuiste hackeado.
Acciones:
1. Presiona la liga “No recuerdo la contraseña”
2. Sigue las instrucciones para restablecer la contraseña del sistema.
3. Vuelve a introducir la dirección http://home/management
4. Ingresa la contraseña
5. Del menú de la izquierda busca dentro de Avanzada “Resolución de DNS”
6. Presiona el botón REMOVE o QUITAR sobre cada dirección agregada que aparezca
Muy probablemente necesites renovar tu dirección de IP (ipconfig /renew) .
Para verificar que ya no estas siendo redireccionado a una pagina falsa, puedes seguir los siguientes pasos:
1. Hacer click en el botón de Inicio (Start).
2. Seleccionar la opción de Ejecutar (Run).
3. Teclea “cmd” y presiona Enter, para entrar a una ventana de Command.
4. Teclea “nslookup banamex.com”.
5. Verifica la dirección IP que te aparece en la última línea. Debe tener un valor de 192.193.230.100
6. Teclea “nslookup bancomer.com”.
7. Verifica la dirección IP que te aparece en la última línea. Debe tener un valor de 148.244.43.5
Si es así, ya estás libre del redireccionamiento. Aun sigues vulnerable, porque el problema esta en el router, hay que decir que el hacking del 2Wire dado que afecta todos los equipos conectados al mismo, estará afectando equipos Windows, Mac, Linux, Unix, etc., inclusive si te conectas por equipos móviles: Blackberries, Palms, Cliés, UMPCs, etc.
La recomendación a los usuarios es que eviten visualizar mensajes de spam y, sobre todo, no dar clic en ninguno de sus enlaces. También deben interesarse por la seguridad de sus routers ADSL, exigiendo a las operadoras o instaladores que los dispositivos instalados estén libres de vulnerabilidades conocidas y que permitan establecer una password de autenticación personalizada (no dejar la que traen por defecto).
Instalar una solución de seguridad efectiva (no todos los antivirus son iguales) y mantener sus sistemas y navegadores actualizados.
También es importante estar al día de los fraudes online más comunes (saber que es un phishing, comprobar la direccion http:// antes de introducir nuestras credenciales de acceso, no abrir ejecutables de fuentes no confiables, etc). En definitiva, sentido común y responsabilidad a la hora de utilizar nuestro sistema, navegar por Internet, y emplear servicios sensibles como la banca electrónica.
Por ultimo agregar que si haces transferencias bancarias verifiques que las paginas usen el protocolo HTTPS (Protocolo seguro de transferencia de hipertexto), para verificar esto checa que las direciónes comiencen con https y no sólo http. La “s” básicamente indica que es una conexión segura, existiendo un certificado que autentifica al sitio que accesas y donde la conexión entre el servidor web y el cliente (tu PC) está cifrada.
La realidad es que no existe una solución definitiva al día de hoy. Una actualización de firmware resolvería la vulnerabilidad. Por eso y como recomendacion a titulo personal, si usas tu conexion para hacer movimientos bancarios y cosas asi te recomiendo vayas con tu ISP (Proveedor de servicios de Internet) en este caso Telmex y solicites un cambio de modem/router, los nuevos que estan dando ahora son los Thomson SpeedTouch ST585, que hay que decir que la interfase de administracion de estos SpeedTouch deja mucho que desear, pero al menos nos libramos de una vulnerabilidad.
Saludos y hasta la proxima
Sitios Relacionados
[1] Vulnerabilidad de Negación de Servicio en rutedores 2Wire
[2] Vulnerabilidad de autenticación en ruteadores 2Wire
[3] Phishing/Pharming Explotando Vulnerabilidades en Ruteadores 2Wire
[4] Nuevo método de fraude bancario
[5] Hacking de routers INFINITUM (2Wire)