In ambito informatico si definisce pharming una tecnica di cracking, utilizzata per ottenere l'accesso ad informazioni personali e riservate, con varie finalità. Grazie a questa tecnica, l'utente è ingannato e portato a rivelare inconsapevolmente a sconosciuti i propri dati sensibili, come numero di conto corrente, nome utente, password, numero di carta di credito etc.
Etimologia
[modifica | modifica wikitesto]La parola deriva da farming ("esternalizzazione"), sul modello di "phishing/fishing".
Premessa
[modifica | modifica wikitesto]Ogni volta che un utente digita nel proprio browser l'indirizzo di una pagina web nella forma alfanumerica (come "www.wikipedia.it") questo viene tradotto automaticamente dai calcolatori in un indirizzo IP numerico che serve al protocollo IP per reperire nella rete internet il percorso per raggiungere il server web corrispondente a quel dominio. In tal senso, p.es., digitando l'URL it.wikipedia.org questo viene tradotto dal Server DNS del proprio provider in un indirizzo IP nel formato 145.97.39.155
L'obiettivo finale del pharming è il medesimo del phishing, ovvero indirizzare una vittima verso un server web "clone" attrezzato per carpire i dati personali della vittima.
Metodologia di attacco
[modifica | modifica wikitesto]Esistono almeno due metodologie di attacco, a seconda che l'obiettivo primario sia il Server DNS dell'Internet Service Provider oppure direttamente il PC della vittima:
- nel primo caso l'utente malintenzionato (cracker) opera, con sofisticate tecniche di intrusione, delle variazioni nei Server DNS dell'Internet Service Provider modificando gli abbinamenti tra il dominio (es. wikipedia.org) e l'indirizzo IP corrispondente a quel dominio. In questo modo gli utenti connessi a quel Provider, pur digitando il corretto indirizzo URL, verranno inconsapevolmente reindirizzati ad un server trappola predisposto per carpire le informazioni. Questo server trappola è reperibile all'indirizzo IP inserito dal cracker e l'aspetto del sito è esteticamente simile a quello vero.
- nel secondo caso l'utente malintenzionato (cracker) opera, con l'ausilio di programmi trojan o tramite altro accesso diretto, una variazione nel personal computer della vittima. Ad esempio, nei sistemi basati sul sistema operativo Windows, modificando il file "hosts" presente nella directory C:\windows\system32\drivers\etc. Qui possono essere inseriti o modificati gli abbinamenti tra il dominio interessato (es. wikipedia.org) e l'indirizzo IP corrispondente a quel dominio. In questo modo la vittima che ha il file hosts modificato, pur digitando il corretto indirizzo URL nel proprio browser, verrà reindirizzata verso un server predisposto per carpire le informazioni. Un altro metodo consiste nel modificare direttamente nel registro di sistema i server DNS predefiniti. In questo modo l'utente - senza rendersene conto - non utilizzerà più i DNS del proprio Internet Service Provider, bensì quelli del cracker, dove ovviamente alcuni abbinamenti fra dominio e indirizzo IP saranno stati alterati.
In tutto questo processo nulla può far ipotizzare alla vittima di essere connessa ad un server trappola se quest'ultimo è perfettamente somigliante a quello vero. Il cracker utilizzerà quindi a proprio beneficio i dati inseriti dalla vittima nel Server "clone".
Come difendersi
[modifica | modifica wikitesto]Per difendersi dal pharming non esistono alla data di redazione di questo articolo dei programmi specifici se non i firewall che tentano di impedire l'accesso al proprio PC da parte di utenti esterni e programmi antivirus che bloccano l'esecuzione di codice malevolo. Per quanto riguarda invece il server DNS dell'Internet Service Provider questo è solitamente gestito e protetto da professionisti che dovrebbero conoscere le modalità di protezione dei propri server.
Se il sito a cui ci si collega è un sito sicuro prima dell'accesso verrà mostrato un certificato digitale emesso da un'autorità di certificazione conosciuta, che riporterà i dati esatti del sito. Questo certificato andrebbe quantomeno letto e non frettolosamente accettato. In alcuni casi il sito sicuro non appare come tale solo perché la banca utilizza una tecnica di incapsulamento delle pagine a frames che non mostra, nella barra degli indirizzi, né il lucchetto né l'indirizzo in modalità https.