Pharming en Modems 2Wire
Esta clase avanzada de hacking en modems/routers 2wire (los blancos que proporcionaba Telmex aqui en Mexico) es poco conocida por muchos de sus usuarios y muy explotada por cierto.
Anteriormente y aun en la actualidad se usan modalidades de hacking como el Phishing una tĂ©cnica de ingenierĂa social que mediante suplantaciĂłn de correos electrĂłnicos o páginas web, intenta obtener informaciĂłn confidencial de los usuarios, desde nĂşmeros de tarjetas de crĂ©dito hasta contraseñas, ejemplo de ello paginas como quienteadmite o noadmitido y otras que semejan ser paginas de bancos las cuales son facilmente reconocibles por las URLs mal escritas o el uso de subdominios.
Pero existe un ataque mas elaborado, silencioso y efectivo, el Pharming.
Y bien ¿Que es el Pharming? es la explotaciĂłn de una vulnerabilidad en el software de los servidores DNS (Domain Name System) o en el de los equipos de los propios usuarios, que permite a un atacante redirigir un nombre de dominio (domain name) a otra máquina distinta. De esta forma, un usuario que introduzca un determinado nombre de dominio que haya sido redirigido, accederá en su explorador de internet a la página web que el atacante haya especificado para ese nombre de dominio.
Lo cierto que esta modalidad de hacking no es nueva y ya tiene rato de estar funcionando y explotandose, para ser exactos desde el 15 de agosto de 2007 siendo hkm@hakim.ws y Eduardo Espina G. los acreditados con el descubrimiento, y en noviembre 8 de 2008 se publicĂł una nueva vulnerabilidad, la cual compromete la disponibilidad al provocar una negaciĂłn del servicio de Internet que proporcionan estos equipos.
Se preguntaran ¿QuĂ© equipos son suceptibles al ataque? pues cualquiera de los siguientes modelos de mĂłdems / routeadores proporcionados por Prodigy Infinitum:
2Wire 2071 Gateway 5.29.51
2Wire 2071 Gateway 3.17.5
2Wire 2071 Gateway 3.7.1
2Wire 1800HW 5.29.51
2Wire 1800HW 3.17.5
2Wire 1800HW 3.7.1
2Wire 1701HG 5.29.51
2Wire 1701HG 3.17.5
2Wire 1701HG 3.7.1
2Wire 2701HG-T 5.29.135.5
Y bien si tengo alguno de estos modelitos ¿CĂłmo identifico y neutralizo el ataque de pharming?
1. Hackeo del archivo de HOSTS de tu PC
Revisa el archivo HOSTS en la ruta c:\Windows\System32\Drivers\etc\
- Si encuentras los listados de banamex o de cualquier otra direcciĂłn que no sea
Localhost 127.0.0.1
fuiste hackeado.
AcciĂłn: Borra el contenido del archivo HOSTS y guarda los cambios.
Nota: en Windows Vista requieres ejecutar el Bloc de Notas como Administrador, si no, no te dejará realizar cambios al archivo HOSTS.
2. Proxy en navegadores
Abre una ventana de Internet Explorer o del Navegador que uses
Accede al menu Herramientas o Preferencias
Entra en la secciĂłn de ConexiĂłn y luego a Red Local o LAN
- Si está activo el uso de un servidor PROXY
fuiste hackeado.
AcciĂłn: Desactiva la casilla de proxy y acepta los cambios.
3. Router 2Wire
En una ventana de Internet Explorer o del Navegador que uses teclea la direcciĂłn siguiente:
http://home/management
- Si anteriormente habĂas configurado una contraseña y al colocarla no te permite entrar
- Si nunca configuraste una contraseña y ahora te la está pidiendo
fuiste hackeado.
Acciones:
1. Presiona la liga “No recuerdo la contraseña”
2. Sigue las instrucciones para restablecer la contraseña del sistema.
3. Vuelve a introducir la direcciĂłn http://home/management
4. Ingresa la contraseña
5. Del menĂş de la izquierda busca dentro de Avanzada “ResoluciĂłn de DNS”
6. Presiona el botĂłn REMOVE o QUITAR sobre cada direcciĂłn agregada que aparezca
Muy probablemente necesites renovar tu direcciĂłn de IP (ipconfig /renew) .
Para verificar que ya no estas siendo redireccionado a una pagina falsa, puedes seguir los siguientes pasos:
1. Hacer click en el botĂłn de Inicio (Start).
2. Seleccionar la opciĂłn de Ejecutar (Run).
3. Teclea “cmd” y presiona Enter, para entrar a una ventana de Command.
4. Teclea “nslookup banamex.com”.
5. Verifica la direcciĂłn IP que te aparece en la Ăşltima lĂnea. Debe tener un valor de 192.193.230.100
6. Teclea “nslookup bancomer.com”.
7. Verifica la direcciĂłn IP que te aparece en la Ăşltima lĂnea. Debe tener un valor de 148.244.43.5
Si es asĂ, ya estás libre del redireccionamiento. Aun sigues vulnerable, porque el problema esta en el router, hay que decir que el hacking del 2Wire dado que afecta todos los equipos conectados al mismo, estará afectando equipos Windows, Mac, Linux, Unix, etc., inclusive si te conectas por equipos mĂłviles: Blackberries, Palms, CliĂ©s, UMPCs, etc.
La recomendación a los usuarios es que eviten visualizar mensajes de spam y, sobre todo, no dar clic en ninguno de sus enlaces. También deben interesarse por la seguridad de sus routers ADSL, exigiendo a las operadoras o instaladores que los dispositivos instalados estén libres de vulnerabilidades conocidas y que permitan establecer una password de autenticación personalizada (no dejar la que traen por defecto).
Instalar una soluciĂłn de seguridad efectiva (no todos los antivirus son iguales) y mantener sus sistemas y navegadores actualizados.
TambiĂ©n es importante estar al dĂa de los fraudes online más comunes (saber que es un phishing, comprobar la direccion http:// antes de introducir nuestras credenciales de acceso, no abrir ejecutables de fuentes no confiables, etc). En definitiva, sentido comĂşn y responsabilidad a la hora de utilizar nuestro sistema, navegar por Internet, y emplear servicios sensibles como la banca electrĂłnica.
Por ultimo agregar que si haces transferencias bancarias verifiques que las paginas usen el protocolo HTTPS (Protocolo seguro de transferencia de hipertexto), para verificar esto checa que las direciĂłnes comiencen con https y no sĂłlo http. La “s” básicamente indica que es una conexiĂłn segura, existiendo un certificado que autentifica al sitio que accesas y donde la conexiĂłn entre el servidor web y el cliente (tu PC) está cifrada.
La realidad es que no existe una soluciĂłn definitiva al dĂa de hoy. Una actualizaciĂłn de firmware resolverĂa la vulnerabilidad. Por eso y como recomendacion a titulo personal, si usas tu conexion para hacer movimientos bancarios y cosas asi te recomiendo vayas con tu ISP (Proveedor de servicios de Internet) en este caso Telmex y solicites un cambio de modem/router, los nuevos que estan dando ahora son los Thomson SpeedTouch ST585, que hay que decir que la interfase de administracion de estos SpeedTouch deja mucho que desear, pero al menos nos libramos de una vulnerabilidad.
Sitios Relacionados
[1] Vulnerabilidad de NegaciĂłn de Servicio en rutedores 2Wire
[2] Vulnerabilidad de autenticaciĂłn en ruteadores 2Wire
[3] Phishing/Pharming Explotando Vulnerabilidades en Ruteadores 2Wire
[4] Nuevo método de fraude bancario
[5] Hacking de routers INFINITUM (2Wire)
Anteriormente y aun en la actualidad se usan modalidades de hacking como el Phishing una tĂ©cnica de ingenierĂa social que mediante suplantaciĂłn de correos electrĂłnicos o páginas web, intenta obtener informaciĂłn confidencial de los usuarios, desde nĂşmeros de tarjetas de crĂ©dito hasta contraseñas, ejemplo de ello paginas como quienteadmite o noadmitido y otras que semejan ser paginas de bancos las cuales son facilmente reconocibles por las URLs mal escritas o el uso de subdominios.
Pero existe un ataque mas elaborado, silencioso y efectivo, el Pharming.
Y bien ¿Que es el Pharming? es la explotaciĂłn de una vulnerabilidad en el software de los servidores DNS (Domain Name System) o en el de los equipos de los propios usuarios, que permite a un atacante redirigir un nombre de dominio (domain name) a otra máquina distinta. De esta forma, un usuario que introduzca un determinado nombre de dominio que haya sido redirigido, accederá en su explorador de internet a la página web que el atacante haya especificado para ese nombre de dominio.
Lo cierto que esta modalidad de hacking no es nueva y ya tiene rato de estar funcionando y explotandose, para ser exactos desde el 15 de agosto de 2007 siendo hkm@hakim.ws y Eduardo Espina G. los acreditados con el descubrimiento, y en noviembre 8 de 2008 se publicĂł una nueva vulnerabilidad, la cual compromete la disponibilidad al provocar una negaciĂłn del servicio de Internet que proporcionan estos equipos.
Se preguntaran ¿QuĂ© equipos son suceptibles al ataque? pues cualquiera de los siguientes modelos de mĂłdems / routeadores proporcionados por Prodigy Infinitum:
2Wire 2071 Gateway 5.29.51
2Wire 2071 Gateway 3.17.5
2Wire 2071 Gateway 3.7.1
2Wire 1800HW 5.29.51
2Wire 1800HW 3.17.5
2Wire 1800HW 3.7.1
2Wire 1701HG 5.29.51
2Wire 1701HG 3.17.5
2Wire 1701HG 3.7.1
2Wire 2701HG-T 5.29.135.5
Y bien si tengo alguno de estos modelitos ¿CĂłmo identifico y neutralizo el ataque de pharming?
1. Hackeo del archivo de HOSTS de tu PC
Revisa el archivo HOSTS en la ruta c:\Windows\System32\Drivers\etc\
- Si encuentras los listados de banamex o de cualquier otra direcciĂłn que no sea
Localhost 127.0.0.1
fuiste hackeado.
AcciĂłn: Borra el contenido del archivo HOSTS y guarda los cambios.
Nota: en Windows Vista requieres ejecutar el Bloc de Notas como Administrador, si no, no te dejará realizar cambios al archivo HOSTS.
2. Proxy en navegadores
Abre una ventana de Internet Explorer o del Navegador que uses
Accede al menu Herramientas o Preferencias
Entra en la secciĂłn de ConexiĂłn y luego a Red Local o LAN
- Si está activo el uso de un servidor PROXY
fuiste hackeado.
AcciĂłn: Desactiva la casilla de proxy y acepta los cambios.
3. Router 2Wire
En una ventana de Internet Explorer o del Navegador que uses teclea la direcciĂłn siguiente:
http://home/management
- Si anteriormente habĂas configurado una contraseña y al colocarla no te permite entrar
- Si nunca configuraste una contraseña y ahora te la está pidiendo
fuiste hackeado.
Acciones:
1. Presiona la liga “No recuerdo la contraseña”
2. Sigue las instrucciones para restablecer la contraseña del sistema.
3. Vuelve a introducir la direcciĂłn http://home/management
4. Ingresa la contraseña
5. Del menĂş de la izquierda busca dentro de Avanzada “ResoluciĂłn de DNS”
6. Presiona el botĂłn REMOVE o QUITAR sobre cada direcciĂłn agregada que aparezca
Muy probablemente necesites renovar tu direcciĂłn de IP (ipconfig /renew) .
Para verificar que ya no estas siendo redireccionado a una pagina falsa, puedes seguir los siguientes pasos:
1. Hacer click en el botĂłn de Inicio (Start).
2. Seleccionar la opciĂłn de Ejecutar (Run).
3. Teclea “cmd” y presiona Enter, para entrar a una ventana de Command.
4. Teclea “nslookup banamex.com”.
5. Verifica la direcciĂłn IP que te aparece en la Ăşltima lĂnea. Debe tener un valor de 192.193.230.100
6. Teclea “nslookup bancomer.com”.
7. Verifica la direcciĂłn IP que te aparece en la Ăşltima lĂnea. Debe tener un valor de 148.244.43.5
Si es asĂ, ya estás libre del redireccionamiento. Aun sigues vulnerable, porque el problema esta en el router, hay que decir que el hacking del 2Wire dado que afecta todos los equipos conectados al mismo, estará afectando equipos Windows, Mac, Linux, Unix, etc., inclusive si te conectas por equipos mĂłviles: Blackberries, Palms, CliĂ©s, UMPCs, etc.
La recomendación a los usuarios es que eviten visualizar mensajes de spam y, sobre todo, no dar clic en ninguno de sus enlaces. También deben interesarse por la seguridad de sus routers ADSL, exigiendo a las operadoras o instaladores que los dispositivos instalados estén libres de vulnerabilidades conocidas y que permitan establecer una password de autenticación personalizada (no dejar la que traen por defecto).
Instalar una soluciĂłn de seguridad efectiva (no todos los antivirus son iguales) y mantener sus sistemas y navegadores actualizados.
TambiĂ©n es importante estar al dĂa de los fraudes online más comunes (saber que es un phishing, comprobar la direccion http:// antes de introducir nuestras credenciales de acceso, no abrir ejecutables de fuentes no confiables, etc). En definitiva, sentido comĂşn y responsabilidad a la hora de utilizar nuestro sistema, navegar por Internet, y emplear servicios sensibles como la banca electrĂłnica.
Por ultimo agregar que si haces transferencias bancarias verifiques que las paginas usen el protocolo HTTPS (Protocolo seguro de transferencia de hipertexto), para verificar esto checa que las direciĂłnes comiencen con https y no sĂłlo http. La “s” básicamente indica que es una conexiĂłn segura, existiendo un certificado que autentifica al sitio que accesas y donde la conexiĂłn entre el servidor web y el cliente (tu PC) está cifrada.
La realidad es que no existe una soluciĂłn definitiva al dĂa de hoy. Una actualizaciĂłn de firmware resolverĂa la vulnerabilidad. Por eso y como recomendacion a titulo personal, si usas tu conexion para hacer movimientos bancarios y cosas asi te recomiendo vayas con tu ISP (Proveedor de servicios de Internet) en este caso Telmex y solicites un cambio de modem/router, los nuevos que estan dando ahora son los Thomson SpeedTouch ST585, que hay que decir que la interfase de administracion de estos SpeedTouch deja mucho que desear, pero al menos nos libramos de una vulnerabilidad.
Saludos y hasta la proxima
Sitios Relacionados
[1] Vulnerabilidad de NegaciĂłn de Servicio en rutedores 2Wire
[2] Vulnerabilidad de autenticaciĂłn en ruteadores 2Wire
[3] Phishing/Pharming Explotando Vulnerabilidades en Ruteadores 2Wire
[4] Nuevo método de fraude bancario
[5] Hacking de routers INFINITUM (2Wire)
