ZINES — underground e-zine archive source
text size: CRT glow:
~/BRAZILIAN/Darkers zine/Pharming
############################################################################
#                   Security Darkers                                       #
#                     Darkers Zine                                         #
#Membros:_Dr4k0_,Storm,gbr,nibbles,OnlyOne,Sthealt,Dark_Side,Fylhoth,rog   #
#Autor: Sthealt                                                            #
#Contato: wWw.darkers.com.br/smf                                           #
#                                                                          #
#                                                                          #
############################################################################

Tutorial de Pharming

O que é?
É como falsificar um endereço DNS. Mas o que é DNS? Bom, é como se fossem apelidos para IPs, por exemplo o IP tal.tal.tal.tal, pode ser correspondente a www.google.com.br, inventaram isso para que as pessoas não precisassem decorar números como 201.123.123.091 (exemplo). Qualquer endereço de IP começado por 127, é o endereço de loopback, ou seja, o seu próprio endereço nesse seu computador.
Voltando ao assunto de o que é pharming, é que, para agilizar o processo de encontrar IPs para endereços DNS, o sistema operacional (Windows, Linux e Mac) criam um arquivo chamado hosts, onde contém endereço IP e seus DNS.
Exemplo de arquivo hosts do Windows:
-------------------------------------------------------------------------------
# Copyright (c) 1993-1999 Microsoft Corp.
#
# Este é um arquivo HOSTS de exemplo usado pelo Microsoft TCP/IP para Windows.
#
# Este arquivo contém os mapeamentos de endereços IP para nomes de host. Cada
# entrada deve ser mantida em uma linha individual. O endereço IP deve
# ser colocado na primeira coluna, seguido do nome de host correspondente.
# O endereço IP e o nome do host devem ser separados por pelo menos um
# espaço.
#
# Adicionalmente, comentários (como estes) podem ser inseridos em linhas
# individuais ou após o nome de computador indicado por um símbolo '#'.
#
# Por exemplo:
#
#      102.54.94.97     rino.acme.com           # servidor de origem
#       38.25.63.10     x.acme.com              # host cliente x

127.0.0.1       localhost
------------------------------------------------------------------------------

O arquivo se localiza em lugares diferentes dependendo do sistema operacional.
No Windows 2000 ou superior: C:\WINDOWS\system32\drivers\etc\hosts
No Windows 95 até 2000: C:\WINDOWS\hosts
No Linux: /etc/hosts

Tudo o que começa com # (sustenido / jogo da velha) é comentário, então, o que nos sobra de útil é:

127.0.0.1       localhost

Ou seja, o endereço DNS de 127.0.0.1 é localhost. Simples né?
Bom, agora imagine se colocarmos o endereço IP do Google e o DNS do Yahoo.
Então, adicionamos ao arquivo hosts:

64.233.179.99     www.yahoo.com.br

Se abrirmos o Internet Explorer (ou outro de seus browsers), se tentarmos abrir o endereço www.yahoo.com.br irá se abrir a página do Google.

Concluímos então que o mais importante é o IP. Mas para que esse ataque pode ser útil? É o seguinte, fizemos uma página falsa do Yahoo (phising scam), mas ela ficou (por exemplo) com o endereço www.geocities.com/falso/index.html, ninguém iria acessar, então, você pega o IP da sua página e coloca o DNS do Yahoo. Ai, quando ela acessar o endereço normal do Yahoo, irá abrir a sua página.
Outra coisa legal é como se fazer um “bloqueador” de páginas com pharming, é que, o IP 0.0.0.0 significa um endereço de host “morto”, então, se colocarmos a seguinte linha no arquivo de hosts:

0.0.0.0	www.orkut.com

Irá bloquear o site do Orkut. Outro é que, o IP 127.0.0.1 significa seu próprio computador. Então:

127.0.0.1	www.google.com.br

Irá abrir o seu computador se tiver algum servidor instalado.
Observação: Os arquivos de host de Windows, Linux e Macs se usam os mesmos parâmetros, que são:

IP    DNS

-> Como se proteger?
A forma é simples, você pode:
(1) A cada três (ou mais ou menos) dias revisar o arquivo de hosts
(2) Criar um programinha simples para se proteger de pharming
Prefiro a opção dois, considero mais ágil e rápido, você pode criar um simples arquivo em lote como este para se proteger de pharming:
---------------------------------------------------------
@echo off
echo Limpador de hosts
echo 127.0.0.1 > %SystemRoot%\system32\drivers\etc\hosts
echo Ok.
pause
exit
---------------------------------------------------------
Agora salve esse arquivo como pharming.bat e execute, ele limpa o arquivo de host do Windows 2000 ou superior. Simples e rápido.

Espero que tenham gostado do tutorial.
Sthealt <sthealt.net@gmail.com>