Фарминг

Хотя злонамеренное разрешение доменных имён может быть результатом компрометации множества доверенных узлов, наиболее уязвимые точки находятся на периферии Интернета. В частности, популярной целью вредоносных программ является неправильная запись в файле hosts на настольном компьютере, который обеспечивает локальное сопоставление имён с IP-адресами. После изменения файла легитимные запросы к важным сайтам могут перенаправляться на их мошеннические копии. Персональные компьютеры типа десктопов и ноутбуков часто оказываются более уязвимы к фармингу, так как их обслуживание обычно менее тщательное, чем у серверов.

Ещё более серьёзную угрозу представляет уязвимость локального маршрутизатора. Большинство маршрутизаторов указывают клиентам доверенный DNS-сервер при подключении к сети, поэтому ошибка или взлом на этом этапе сказываются на всей локальной сети. В отличие от атак на файл hosts, взлом маршрутизатора сложнее обнаружить. Маршрутизаторы могут передавать вредоносную DNS-информацию двумя способами: через неправильную настройку или полную перепрошивку встроенного ПО (firmware). Многие маршрутизаторы позволяют администратору вручную указать доверенный DNS, отличающийся от рекомендованного провайдером (например, интернет-провайдером); злоумышленник может подставить подконтрольный ему DNS-сервер. Все последующие обращения к DNS будут направляться через поддельный сервер.

Кроме того, многие маршрутизаторы поддерживают смену встроенного ПО (firmware), то есть внутреннего программного обеспечения, управляющего устройством. Как и вредоносное ПО для операционных систем, подделка firmware может быть крайне незаметной: интерфейс и настройки будут выглядеть привычно, что затрудняет обнаружение взлома даже для сетевых администраторов. Фарминг — лишь один из возможных сценариев при компрометации прошивки; злоумышленник также может прослушивать трафик, проводить активные атаки типа «человек посередине», вести журнал событий и др. Как при неправильной конфигурации, под угрозой оказывается вся локальная сеть.

По отдельности эти методы имеют преимущественно теоретический интерес, однако повсеместное распространение бюджетных беспроводных маршрутизаторов создаёт значительную уязвимость. Большинство таких устройств допускают беспроводной доступ к административному интерфейсу, причём часто используются заводские настройки по умолчанию (логин и пароль), и даже если пароль изменён, его иногда удаётся подобрать с помощью словарных атак, так как устройства редко блокируют слишком частые ошибки входа. После получения административного доступа злоумышленник может изменить любые параметры маршрутизатора, включая firmware. Такие атаки трудно отследить, поскольку часто осуществляются вне помещений владельца или даже вне Интернета.

15 января 2005 года доменное имя крупного интернет-провайдера из Нью-Йорка Panix было угнано и перенаправлено на сайт в Австралии. О финансовых потерях сведений не было. Домен восстановили 17 января, а по результатам расследования ICANN обвинила компанию Melbourne IT (ныне Arq Group) в «неполучении прямого подтверждения от держателя домена согласно Регламенту передачи между регистраторами ICANN»^[1].

В феврале 2007 года атака типа фарминг затронула не менее 50 финансовых компаний в США, Европе и Азии. Злоумышленники создавали отдельные поддельные страницы для каждой организации, что требовало значительных затрат времени и усилий. Жертвы переходили по заражённому сайту, который незаметно устанавливал на их компьютер троянскую программу. Дальнейшие учётные данные для входа на сайты финансовых компаний собирались атакующими. Точное число пострадавших неизвестно; атака продолжалась три дня^[2].

В январе 2008 года компания Symantec сообщила о первом в «диких условиях» случае так называемого «drive-by фарминга»: целевым объектом стал один из мексиканских банков, а изменение настроек DNS на домашнем маршрутизаторе жертвы было спровоцировано письмом, замаскированным под сообщение от испаноязычного сервиса поздравительных открыток^[3].

К традиционным методам противодействия фармингу относятся: серверное программное обеспечение, защита DNS и расширения для веб-браузеров (например, панели инструментов). Серверное ПО, как правило, используется организациями для защиты сотрудников и клиентов внутренних или приватных веб-систем от фарминга и фишинга, тогда как расширения браузеров позволяют индивидуальным пользователям предотвращать фишинг. Механизмы защиты DNS предназначены для предотвращения взлома DNS-серверов и их использования для фарминговых атак. Обычно спам-фильтры не защищают от фарминга.

Наиболее эффективный способ противостояния фармингу для конечных пользователей — использовать защищённые веб-соединения (HTTPS) при доступе к сайтам с конфиденциальной информацией (банкинг, налоговые порталы и др.) и принимать только действительные сертификаты, выданные признанными центрами сертификации. Сертификат, выданный неизвестной организацией либо истёкший, не следует использовать для критически важных задач. Для обнаружения атак используются т. н. «активные cookie»^[4].

Существенную роль в борьбе с фармингом играет законодательное регулирование. В марте 2005 года сенатор США Патрик Лихи (демократ, Вермонт) предложил законопроект Anti-Phishing Act of 2005 («Закон 2005 года о противодействии фишингу»), предполагающий наказание в виде пятилетнего заключения и/или штрафа для лиц, совершающих фишинговые атаки и использующих полученные данные (в том числе при фарминге) для совершения преступлений, таких как кража идентичности.

Пользователям домашних роутеров и точек доступа класса SOHO наиболее рекомендуется сменить пароль по умолчанию на сложный, невосприимчивый к словарной атаке.

Термин «фарминг» вызывает споры внутри профессионального сообщества. На одной из конференций, организованных Рабочей группой по противодействию фишингу (Anti-Phishing Working Group), Филипп Холлам-Бейкер назвал его «маркетинговым неологизмом, созданным ради продажи банкам новых сервисов по обеспечению информационной безопасности».