############################################################################ # Security Darkers # # Darkers Zine # #Membros:_Dr4k0_,Storm,gbr,nibbles,OnlyOne,Sthealt,Dark_Side,Fylhoth,rog # #Autor: Sthealt # #Contato: wWw.darkers.com.br/smf # # # # # ############################################################################ Tutorial de Pharming O que é? É como falsificar um endereço DNS. Mas o que é DNS? Bom, é como se fossem apelidos para IPs, por exemplo o IP tal.tal.tal.tal, pode ser correspondente a www.google.com.br, inventaram isso para que as pessoas não precisassem decorar números como 201.123.123.091 (exemplo). Qualquer endereço de IP começado por 127, é o endereço de loopback, ou seja, o seu próprio endereço nesse seu computador. Voltando ao assunto de o que é pharming, é que, para agilizar o processo de encontrar IPs para endereços DNS, o sistema operacional (Windows, Linux e Mac) criam um arquivo chamado hosts, onde contém endereço IP e seus DNS. Exemplo de arquivo hosts do Windows: ------------------------------------------------------------------------------- # Copyright (c) 1993-1999 Microsoft Corp. # # Este é um arquivo HOSTS de exemplo usado pelo Microsoft TCP/IP para Windows. # # Este arquivo contém os mapeamentos de endereços IP para nomes de host. Cada # entrada deve ser mantida em uma linha individual. O endereço IP deve # ser colocado na primeira coluna, seguido do nome de host correspondente. # O endereço IP e o nome do host devem ser separados por pelo menos um # espaço. # # Adicionalmente, comentários (como estes) podem ser inseridos em linhas # individuais ou após o nome de computador indicado por um símbolo '#'. # # Por exemplo: # # 102.54.94.97 rino.acme.com # servidor de origem # 38.25.63.10 x.acme.com # host cliente x 127.0.0.1 localhost ------------------------------------------------------------------------------ O arquivo se localiza em lugares diferentes dependendo do sistema operacional. No Windows 2000 ou superior: C:\WINDOWS\system32\drivers\etc\hosts No Windows 95 até 2000: C:\WINDOWS\hosts No Linux: /etc/hosts Tudo o que começa com # (sustenido / jogo da velha) é comentário, então, o que nos sobra de útil é: 127.0.0.1 localhost Ou seja, o endereço DNS de 127.0.0.1 é localhost. Simples né? Bom, agora imagine se colocarmos o endereço IP do Google e o DNS do Yahoo. Então, adicionamos ao arquivo hosts: 64.233.179.99 www.yahoo.com.br Se abrirmos o Internet Explorer (ou outro de seus browsers), se tentarmos abrir o endereço www.yahoo.com.br irá se abrir a página do Google. Concluímos então que o mais importante é o IP. Mas para que esse ataque pode ser útil? É o seguinte, fizemos uma página falsa do Yahoo (phising scam), mas ela ficou (por exemplo) com o endereço www.geocities.com/falso/index.html, ninguém iria acessar, então, você pega o IP da sua página e coloca o DNS do Yahoo. Ai, quando ela acessar o endereço normal do Yahoo, irá abrir a sua página. Outra coisa legal é como se fazer um “bloqueador” de páginas com pharming, é que, o IP 0.0.0.0 significa um endereço de host “morto”, então, se colocarmos a seguinte linha no arquivo de hosts: 0.0.0.0 www.orkut.com Irá bloquear o site do Orkut. Outro é que, o IP 127.0.0.1 significa seu próprio computador. Então: 127.0.0.1 www.google.com.br Irá abrir o seu computador se tiver algum servidor instalado. Observação: Os arquivos de host de Windows, Linux e Macs se usam os mesmos parâmetros, que são: IP DNS -> Como se proteger? A forma é simples, você pode: (1) A cada três (ou mais ou menos) dias revisar o arquivo de hosts (2) Criar um programinha simples para se proteger de pharming Prefiro a opção dois, considero mais ágil e rápido, você pode criar um simples arquivo em lote como este para se proteger de pharming: --------------------------------------------------------- @echo off echo Limpador de hosts echo 127.0.0.1 > %SystemRoot%\system32\drivers\etc\hosts echo Ok. pause exit --------------------------------------------------------- Agora salve esse arquivo como pharming.bat e execute, ele limpa o arquivo de host do Windows 2000 ou superior. Simples e rápido. Espero que tenham gostado do tutorial. Sthealt