Tre IT-sikkerhetseksperter, henholdsvis Zulfikar Ramzan fra Symantec og Sid Stamm and Markus Jakobsson of the Indiana University School of Informatics har utviklet en ny type angrep som potensielt kan ramme annet hvert hjem med bredbånd, verden over.
Angrepet er av en ny type, og er døpt «drive-by pharming».
«Pharming» viser gjerne til et angrep der ondsinnet kode på et nettsted endrer innstillinger på offerets PC. «Drive-by pharming» betyr at det ikke er PC-en som rammes, men hjemmeruteren.
Hjemmerutere krever brukernavn og passord for å konfigureres. Når de leveres til kunden, har de standard brukernavn og passord, for eksempel «admin» og «password». Undersøkelser viser at de fleste lar disse bli stående når de har fått apparatet til å virke.
De tre ekspertene har laget et Javascript som kan gjemmes i en lenke til et nettsted. Skriptet logger seg på hjemmerutere med kjente standard brukernavn og passord, og endrer innstillingene slik at ruteren alltid velger en bestemt DNS-server. Denne DNS-serveren er satt opp for å dirigere utvalgte tjenester til falske IP-adresser med tro kopier av de ekte tjenestene. Det betyr at brukeren taster inn nettadressen til sin nettbank, men blir sendt til en annen IP-adresse og en annen server enn der nettbanken er. Man opplever en tilsynelatende identisk tjeneste. Man opplever ikke umiddelbart at det skjer utilsiktede kontotransaksjoner.
Det krever ikke spesielle ferdigheter for å utnytte dette, bare innsats fra ondsinnede hackeres side. Kunnskapene skulle, etter Ramzans mening, være tilgjengelig for alle som har fulgt med på åpne hackersamlinger som Blackhat.
Det understrekes at det eneste man må gjøre for å utsettes for denne typen angrep, er å besøke en nettside med ondsinnet kode. Man behøver ikke laste ned noe, klikke på noe eller krysse av i et skjema. Et besøk er nok.
På den andre siden er det lett å verne seg. Det viktigste er å passe på hva slags lenker man klikker på. Ellers må man absolutt bytte brukernavn og passord til hjemmeruteren. Husk å skrive ned det nye brukernavnet og passordet slik at du finner det igjen når du trenger det, for eksempel sammen med brukerhåndboken til ruteren.
Bloggen til Ramzan gir ytterligere detaljer, og lenker til masse interessant bakgrunnsmateriale, samt en simulering av hvordan det virker: Drive-By Pharming: How Clicking on a Link Can Cost You Dearly.
Les også:
- [14.02.2008] Hackere styrer tusener av falske DNS-servere
- [25.10.2005] De fleste DNS-servere er åpne for angrep
