Bueno, yo quiero discutir algo mas sobre phising, pero no creí conveniente crear un nuevo tema, aunque si algun mod lo considera necesario, pues que así sea.
Hay diferentes tipos de phising y quien esté suscrito a la lista de netcraft (y tenga la barra de netcraft) puede constantar que todos los dias aparecen nuevas vulnerabilidades y nuevos sitios que promueven esta ilicita actividad. Pero casi siempre todo el mundo habla de bugs que afectan directamente al navegador aunque queda a un lado otro tipo de phising mas facil de hacer y mas peligroso: Modificar directamente los DNS.
Hace bastante tiempo lo habia pensado, pero hasta hace solo dos semanas me puse a probar en el proxy de una red de 200 users en la que tengo acceso total, con la siguiente topologia:
INTERNET - MODEM - PROXY/NAT - RED INTERNA
Este tipo de topologia es bastante comun, aunque en otras redes es comun ver un servidor de dominio que tambien hace de dns.
Lo que hice fue lo que hice:
*En una maquinita normal instalé un linux y le instalé el webmin (que pereza configurar a mano) para configurar el bind desde el webmin.
*En esa maquinita le configuré la ip 192.168.6.252 y creé una zona con el nombre de una web muy comun (hotmail) apuntando a 192.168.6.252
*Escribi un ficherito que decia "servicio no disponible" y lo puse como index del apache.
*Subí lo servicios named y el httpd.
*Probé con un pc normal con xp al cual le especifiqué el primer dns como 192.168.6.252 y escribí en el navegador
www.hotmail.com obteniendo como resultado "servicio no disponible"
Hasta aqui el servidor dns direcciona hacia otra web siempre y cuando los clientes tengan el dns especificado en las propiedades de la interface de red. Sin embargo, teniendo en cuenta que todos los clientes salen a travez de un unico proxy (squid en este caso) se puede especificar el dns en el squid.
Squid es uno de los proxys cache mas reconocidos en el mundo y su configuracion está bastante documentada. Squid se encarga de resolver las direcciones basandose en el los servidores dns especificados en /etc/resolv.conf aunque tambien tiene la posibilidad de agregarle un servidor dns que solo resuelva para el squid, agregando en el fichero squid.conf la linea: <<nameserver 192.168.6.252>>
Como no tenía mucho tiempo, no cambié el squid.conf sino el resolv.conf de la propia maquina, agregando en primer lugar el dns que acababa de configurar. Luego le di squid -k reconfigure y .... al escribir
www.hotmail.com en cualquier cliente que saliera a internet a travez del proxy, aparecia: "servicio no disponible" con la url
www.hotmail.com en vez de
http://login.passport.net/uilogin.srf?lc=58478&id=2 .
Es muy simple y rapido de hacer. Bastante peligroso en redes locales con administradores de poca etica. Pero no solo aplica a redes locales, sino tambien a ISP. Por eso una vulnerabilidad critica que permita una shell, que aplique a la version especifica del so del dns del isp, puede ser utilizada por algun usuario malicioso para crear zonas falsas y engañar a todos los usuarios de la red.
Para pensarlo.....
Autor
En línea
, me salio la pantalla de Microsoft Office 2000 Professional (en Italiano tambien), como a otros arriba!.
.
