Recientemente el departamento de seguridad de la UNAM en colaboración con otras dependencias han publicado el boletín CVE-2007-4389, en este se describe una nueva forma de ataque para tomar la información de acceso a las cuentas bancarias (mexicanas) de los afectados.
El ataque no se realiza a una computadora, si no al router que Telmex regala en la contratación de INFINITUM, de tal forma, que una vez comprometida la seguridad, cualquier PC que se conecte mediante ese ROUTER a la Banca electrónica será enviado a SITIOS FALSOS.
Hasta el momento no existe una solución publicada por parte del proveedor del ROUTER (2wire) pero existen algunos mecanismos para tratar de evitar ser afectado.
¿Como funciona el ataque?
Una computadora dentro de nuestra red, abre un correo electrónico en donde se informa que ha recibido una tarjeta electrónica de "gusanito.com" (es factible que posteriormente se utilicen otras fuentes) al momento de entrar a las ligas que ahí se encuentran para ver la tarjeta, se redirecciona a un sitio que contiene los elementos que provocan el ataque, el cual consiste en :
- Tratar de contactar al router en la dirección física (IP) de fabrica del mismo, y mediante una vulnerabilidad, cambiar el password del administrador del equipo.
- Una vez con el password de administración, agrega a la configuración del router los registros necesarios para que cualquier PC dentro de nuestra red sea enviada a sitios no seguros al momento de utilizar las paginas de la banca electrónica (www.banamex.com, banamex.com, entre otras)
Como una solución temporal, es necesario modificar la dirección física (IP) de fabrica de nuestro router, de tal forma, que el ataque en el punto A, no logre contactar al equipo en cuestión.
Quiénes son suceptibles al ataque?
Cualquier usuario de Prodigy Infinitum con los siguientes modelos de Routers:
2Wire 2071 Gateway 5.29.51
2Wire 2071 Gateway 3.17.5
2Wire 2071 Gateway 3.7.1
2Wire 1800HW 5.29.51
2Wire 1800HW 3.17.5
2Wire 1800HW 3.7.1
2Wire 1701HG 5.29.51
2Wire 1701HG 3.17.5
2Wire 1701HG 3.7.1
Desde cuándo se conoce la vulnerabilidad?
15 de agosto de 2007 siendo hkm@hakim.ws y Eduardo Espina G. los acreditados con el descubrimiento.
Descripción de la vulnerabilidad:
Los ruteadores 2Wire listados arriba son susceptibles a la vulnerabilidad cross-site request-forgery (XSRF) Un ataque remoto explota ésta vulnerabilidad para ejecutar acciones arbitrarias en el dispositivo afectado. Estas acciones pueden ser: Cambio de contraseña del router, Adición de rutas fijas DNS, Desactivar autenticación inalámbrica, resetear el modem, etc.
Sitios que son simulados por el hacker al 2 de febrero de 2008
banamex.com
www.banamex.com
www.banamex.com.mx
boveda.banamex.com
boveda.banamex.com.mx
www.boveda.banamex.com
www.boveda.banamex.com.mx
bancanetempresarial.banamex.com
bancanetempresarial.banamex.com.mx
www.bancanetempresarial.banamex.com
www.bancanetempresarial.banamex.com.mx
Sitios susceptibles de ser impersonados:
Bancos en general, PayPal, eBay, sitios que requieran de usar un login
¿Cómo identificar y neutralizar el ataque por pharming o de hackeo?1. Archivo de HOSTS
Revisa el archivo HOSTS en la ruta c:\Windows\System32\Drivers\etc\
Si encuentras los listados de banamex o de cualquier otra dirección que no sea Localhost127.0.0.1
fuiste hackeado.
Acción: Borra el contenido del archivo HOSTS y guarda los cambios.
Nota: en Windows Vista requieres ejecutar el Bloc de Notas como Administrador, si no, no te dejará realizar cambios al archivo HOSTS.
2. Proxy en navegadores
Abre una ventana de Internet Explorer o del Navegador que uses
Accede al menu Herramientas o Preferencias
Entra en la sección de Conexión y luego a Red Local o LAN
- Si está activo el uso de un servidor PROXY
fuiste hackeado.
Acción: Desactiva la casilla de proxy y acepta los cambios.
3. Router 2Wire
En una ventana de Internet Explorer o del Navegador que uses teclea la dirección siguiente:
http://home/management
- Si anteriormente habías configurado una contraseña y al colocarla no te permite entrar
- Si nunca configuraste una contraseña y ahora te la está pidiendo
fuiste hackeado.
Acciones:
1. Presiona la liga “No recuerdo la contraseña”
2. Sigue las instrucciones para restablecer la contraseña del sistema.
3. Vuelve a introducir la dirección http://home/management
4. Ingresa la contraseña
5. Del menú de la izquierda busca dentro de Avanzada “Resolución de DNS”
6. Presiona el botón REMOVE o QUITAR sobre cada dirección agregada que aparezca
¿Cómo evitar que pase en el futuro?
1. Contra el hacking de tu PC necesitas instalar un antivirus de verdad,
Combinaciones de antivirus y firewall gratis han demostrado detener la mayoría de las amenazas informáticas (80%) pero ese remanente que no protegen son más de 1000 amenazas.
Adicionalmente necesitarías una auditoría manual de procesos y de aplicaciones potencialmente peligrosos.Ya que en este caso, el hackeo es realizado por un Caballo de troya (Trojan) y un gusano (Worm)
2. Contra el pharming de tu router 2Wire se ha liberado una aactualizacion de seguridad:
Actualización de seguridad El fabricante ha liberado una actualización de seguridad que soluciona las vulnerabilidades existentes en ruteadores 2wire descritas en esta Nota de Seguridad liberada por UNAM-CERT el 7 de diciembre de 2007. La más severa de las vulnerabilidades, encontrada por UNAM-CERT, permitía la modificación de la configuración del ruteador aún si tenía una contraseña asignada, según se describe en el documento Vulnerabilidad de autenticación en ruteadores 2Wire del DSC/UNAM-CERT, y que estaba siendo utilizada para ataques de tipo Pharming.
UNAM-CERT conjuntamente con el equipo de ingeniería de Telmex han verificado y validado que la versión de firmware 5.29.135.5 corrige las vulnerabilidades conocidas para los ruteadores 2wire.
En México, para los usuarios de Prodigy Infinitum, Telmex ha confirmado que aplicará la actualización de seguridad de forma automática para los modelos 171HG, 1070, 1700HG, 2700, 2070 y 2701HG de ruteadores 2wire. Durante el mes de febrero el proveedor realizará el proceso de actualización a la versión 5.29.135.5 del firmware de los modelos de ruteadores 2wire mencionados. En la siguiente sección de ésta nota se describe el proceso para verificar la versión del firmware de los modem ruteador 2wire.
Telmex actualizará exclusivamente los modelos 171HG, 1070, 1700HG, 2700, 2070, 2701HG de ruteadores. Los usuarios de Prodigy Infinitum con un modelo distinto podrán solicitar al proveedor la actualización de sus dispositivos para poder contar con la actualización de seguridad correspondiente. El fabricante liberará un boletín relativo a esta actualización de seguridad.
Si cuenta con un ruteador 2wire proporcionado por un ISP distinto a Telmex, por favor contacte a su Proveedor de Internet para obtener mayor información.
La mejor protección es: conocimiento y perspicacia al usar internet.
Cómo identificar que un sitio es genuino:
Sin embargo, el acceso a ciertas páginas también puede hacerte susceptible a un ataque de pharming, por lo que hay que fijarse en lo siguiente antes de introducir contraseñas y claves.
- La direción debe comenzar con https y no sólo http. La “s” básicamente indica que es una conexión segura.
- Habiendo la “s” entonces también existirá un certificado que autentica al sitio que accesas, donde la conexión entre el servidor web y el cliente está cifrada.
No hay comentarios:
Publicar un comentario