Alfonso Maruccia

DNS poisoning sempre pių pericoloso

I ricercatori statunitensi si preoccupano dei rischi legati agli attacchi contro i server DNS. L'avvelenamento del traffico č dietro l'angolo, dicono

Roma - Gli attacchi informatici di nuova generazione saranno invisibili, trasparenti ai software di sicurezza e all'utente. Il "merito" di questa indesiderata evoluzione, secondo i ricercatori di Google e del Georgia Institute of Technology, risiederebbe tutta nell'utilizzo malevolo dei server DNS cosiddetti "open recursive", grazie ai quali già oggi i soliti noti possono imbastire siti difficilmente individuabili dai sistemi antitruffa.

In uno studio in via di pubblicazione il prossimo febbraio anticipato da PC World, gli esperti di sicurezza hanno dato uno sguardo piuttosto ravvicinato a quei sistemi DNS aperti alle query di qualsiasi client, che al contrario dei server tradizionali accettano le richieste di risoluzione di dominio provenienti da qualsiasi computer connesso in rete senza distinzioni di sorta, ragion per cui risultano l'ideale per quanti abbiano intenti malevoli come la realizzazione di un attacco di ingegneria sociale o un sito spara-malware.

Sui 17 milioni di server DNS "open recursive" stimati dallo studio, il 2% fornisce risultati "discutibili" mentre lo 0,4% - circa 68mila - ha un vero e proprio comportamento malevolo, inviando falsi indirizzi IP alle query di risoluzione di un dominio: rivolgersi con una URL "www.google.it" ad uno di questi server spedisce l'utente su una macchina che con il server originale di BigG non ha niente a che vedere ed è stata messa in rete per chissà quali scopi. I ricercatori considerano questi server come una vera e propria "seconda autorità segreta" nella gestione delle query DNS, capace di minare le stesse fondamenta della robustezza e affidabilità dell'intera infrastruttura di rete.
Adoperando i server "open recursive" è più facile realizzare attacchi di DNS poisoning per truffe di tipo finanziario, poiché sapere di visitare la giusta pagina web di un intermediario sul modello di PayPal non sarà più garanzia assoluta di trovarsi su un sito legittimo. Di "crimine con pochi testimoni" parla David Dagon, ricercatore del Georgia Tech co-autore dello studio, che evidenzia i rischi nell'utilizzo dei server DNS "open recursive".

Il DNS poisoning e la modifica dell'indirizzo IP di un dominio per vie illecite non sono strategie nuove nel campo degli attacchi informatici, ma nondimeno la diffusione di server "open" rappresenta una via alla diffusione di crimini telematici sofisticati e difficili da individuare. Alla base del DNS poisoning di nuova generazione vi è comunque la necessità - attraverso un attacco proveniente da un sito web appositamente realizzato - di modificare le impostazioni dei server DNS su Windows: da quel momento in poi, il PC "avvelenato" potrà visualizzare le pagine web messe in rete dai criminali mentre l'utente si riterrà "sicuro" grazie alla frequentazione di domini ben noti e collaudati.

Se il trojan iniziale non viene bloccato e le impostazioni DNS vengono modificate, c'è ben poco che i software e le infrastrutture di sicurezza attuali possano fare: "Č davvero la backdoor definitiva" ha dichiarato allarmato Chris Rouland di IBM, confessando come "tutto quello che stiamo installando nella società trascurerà completamente il problema".

I siti web progettati per modificare le impostazioni DNS del sistema sono in crescita, e i ricercatori hanno individuato più di 2100 vettori di un simile attacco usando i crawler web di Google. Ars Technica nota infine che il dirottamento dei server DNS - o DNS hijacking - non dovrebbe passare inosservato su Windows Vista, dove la tecnologia User Account Control è progettata per avvertire l'utente in caso di una simile evenienza. Sempre che l'utente non abbia disabilitato il sin troppo ciarliero e discusso sistema di sicurezza integrato da Microsoft nel suo ultimo sistema operativo.

Alfonso Maruccia
54 Commenti alla Notizia DNS poisoning sempre pių pericoloso
Ordina
  • Tutti possono mettere su un server DNS che risponda con IP fasulli magari su un VPS da 10 euro al mese, e magari utilizzare una delle tante vulnerabilità (mail, browser, ecc..) che sostituisca i server DNS originali con quelli tarocchi.

    Ovvio che modificare un /etc/resolv.conf su linux sia abbastanza + difficoltoso che modificare i DNS di Win.

    E cmq settando un firewall fatto a modo che permetta l'uscita DNS SOLO su gli IP fidati (ossia filtrare il traffico sulla porta 53) non si incombe a questi problemi.

    La soluzione ? Adottare sui server con informazioni confidenziali HTTPS che permette di verificare in modo PERFETTO la veridicità o meno di quel sito.
    non+autenticato
  • Attento che l'HTTPS non ti garantisce la veridicità o meno del sito, ma esclusivamente che la comunicazione sia criptata e quindi non "Sniffabile" o comunque difficoltosa da decifrare durante il suo percorso. Ma questo non vieta che il sito sia in ogni caso tarocco!
    non+autenticato
  • Ovviamente questo "nuovo" tipo di attacco colpirà soltanto gli utonti, impostando bene il firewall e stando attenti a ciò che si esegue non dovrebbe succedere niente.
    non+autenticato
  • - Scritto da: Anonimo
    > Ovviamente questo "nuovo" tipo di attacco colpirà
    > soltanto gli utonti, impostando bene il firewall
    > e stando attenti a ciò che si esegue non dovrebbe
    > succedere
    > niente.

    Se lo dici tu...

    Io non sono proprio un "utonto" (anzi, credo di essere discretamente smaliziato), eppure sinceramente penso che avrei qualche difficoltà a distinguere tra sto originale e sito fasullo, in caso mi cambiassero il server DNS a mia insaputa. Il firewall, in questo caso, gioca un ruolo veramente nullo. Piuttosto a salvarti in questo caso è l'antivirus/antispyware/antidialer/antitutto.
    non+autenticato
  • - Scritto da: Lieutenant
    > - Scritto da: Anonimo
    > > Ovviamente questo "nuovo" tipo di attacco
    > colpirà
    > > soltanto gli utonti, impostando bene il firewall
    > > e stando attenti a ciò che si esegue non
    > dovrebbe
    > > succedere
    > > niente.
    >
    > Se lo dici tu...
    >
    > Io non sono proprio un "utonto" (anzi, credo di
    > essere discretamente smaliziato), eppure
    > sinceramente penso che avrei qualche difficoltà a
    > distinguere tra sto originale e sito fasullo, in
    > caso mi cambiassero il server DNS a mia insaputa.
    > Il firewall, in questo caso, gioca un ruolo
    > veramente nullo. Piuttosto a salvarti in questo
    > caso è
    > l'antivirus/antispyware/antidialer/antitutto.

    Anche un antispyware non farebbe nullaDeluso
    non+autenticato
  • - Scritto da: Lieutenant
    > - Scritto da: Anonimo
    > > Ovviamente questo "nuovo" tipo di attacco
    > colpirà
    > > soltanto gli utonti, impostando bene il firewall
    > > e stando attenti a ciò che si esegue non
    > dovrebbe
    > > succedere
    > > niente.
    >
    > Se lo dici tu...
    >
    > Io non sono proprio un "utonto" (anzi, credo di
    > essere discretamente smaliziato), eppure
    > sinceramente penso che avrei qualche difficoltà a
    > distinguere tra sto originale e sito fasullo, in
    > caso mi cambiassero il server DNS a mia insaputa.
    > Il firewall, in questo caso, gioca un ruolo
    > veramente nullo. Piuttosto a salvarti in questo
    > caso è
    > l'antivirus/antispyware/antidialer/antitutto.

    Personalmente non ho mai avuto problemi di virus, probabilmente in questo caso il firewall serve a poco, però di certo aiuta a proteggersi da eventuali attacchi.
    Ad ogni modo credo che per questo tipo di attacco basta utilizzare un utente limitato, così da non permettere al trojan di cambiare il server DNS.
    non+autenticato
  • Beh, funziona ancora il phishing (non ci credevo: http://permartina.blogspot.com/2007/12/ancora-phis...) e mi sembra molto più pericoloso del DNS poisoning che richiede l'utilizzo di bug contro il semplice cliccare su un link da parte di utenti che non dovrebbero essere definiti tali.
    non+autenticato
  • - Scritto da: Salvo
    > Beh, funziona ancora il phishing (non ci credevo:
    > http://...
    > e mi sembra molto più pericoloso del DNS poisoning
    > che richiede l'utilizzo di bug contro il semplice
    > cliccare su un link da parte di utenti che non
    > dovrebbero essere definiti tali.

    Il pericolo "reale", attualmente è sicuramente a favore del phishing. Il phishing è basato su due fattori:
    1. l'ingegneria sociale (in pratica l'ingenuità della vittima)
    2. la scarsa cultura informatica della vittima
    Per rimanere vittima del phishing, quindi, è necessario sia farsi abbindolare con le parole, sia ignorare alcune basilari "regole di prudenza".

    Il pericolo "reale" del DNS poisoning, attualmente, è molto basso tuttavia la sua pericolosità "potenziale" è altissima in quanto può non richiedere alcuna interazione preventiva con l'utente (quindi prescinde dalla ingenuità della vittima) e inoltre per riconoscere un DNS poisoning è richiesto un livello di cultura informatica più elevato e una discreta dose di paranoia per controllare sistematicamente. In pratica ha il potenziale per eliminare entrambi i punti deboli del phishing.
    non+autenticato
  • - Scritto da: Lieutenant
    > - Scritto da: Salvo
    > > Beh, funziona ancora il phishing (non ci
    > credevo:
    > > http://...
    > > e mi sembra molto più pericoloso del DNS
    > poisoning
    > > che richiede l'utilizzo di bug contro il
    > semplice
    > > cliccare su un link da parte di utenti che non
    > > dovrebbero essere definiti tali.
    >
    > Il pericolo "reale", attualmente è sicuramente a
    > favore del phishing. Il phishing è basato su due
    > fattori:
    > 1. l'ingegneria sociale (in pratica l'ingenuità
    > della
    > vittima)
    > 2. la scarsa cultura informatica della vittima
    > Per rimanere vittima del phishing, quindi, è
    > necessario sia farsi abbindolare con le parole,
    > sia ignorare alcune basilari "regole di
    > prudenza".
    >
    > Il pericolo "reale" del DNS poisoning,
    > attualmente, è molto basso tuttavia la sua
    > pericolosità "potenziale" è altissima in quanto
    > può non richiedere alcuna interazione preventiva
    > con l'utente (quindi prescinde dalla ingenuità
    > della vittima) e inoltre per riconoscere un DNS
    > poisoning è richiesto un livello di cultura
    > informatica più elevato e una discreta dose di
    > paranoia per controllare sistematicamente. In
    > pratica ha il potenziale per eliminare entrambi i
    > punti deboli del
    > phishing.


    QuotoOcchiolino
    non+autenticato
  • Io non sono invece del tutto d'accordo.

    Il DNS poisoning per essere implementato richiede l'accesso al pc vittima e questo si ottiene sfruttando un bug del sistema operativo o (anche in questo caso) con della social engineering (ovvero facendo in modo che l'utente esegua qualcosa).

    Il phishing invece si basa sull'ignoranza dell'utente medio e non può essere limitato dall'utilizzo di antivirus, migliore design del software (e/o SO) o dai sistemi di controllo dei browser ma questo richiede una review da parte di altri utenti e quindi del tempo (si veda il post a cui faccio riferimento sopra: in 45 minuti tre utenti hanno inserito credenziali vere).

    Dal momento che l'unica soluzione (al momento) al phishing è (l'impossibile da realizzare) l'educazione dell'utente è facile rendersi conto come la situazione sia gravissima.
    non+autenticato
  • L'articolo è un pò troppo "tecnico" per i miei limiti.
    Mi (vi) chiedo solo: ma non basta dare ogni tanto un'occhiata ai server dns impostati nella proprietà del TCP-IP?
    non+autenticato
  • - Scritto da: Ingenuo
    > L'articolo è un pò troppo "tecnico" per i miei
    > limiti.
    > Mi (vi) chiedo solo: ma non basta dare ogni tanto
    > un'occhiata ai server dns impostati nella
    > proprietà del
    > TCP-IP?

    il punto è che l'utonto medio non sa manco cosa siano i server DNS
    non+autenticato
  • Io penso di essere abbastanza utonto..infatti l'articolo l'ho capito al 50%, ma i numerini del dns sò benissimo dove stanno e quanto devono essere
    Anche senza fare cmd ipconfig/all (che è nerd) bastano 2 cliccate sull'iconcina con i computerini che si accendono Sorride
    Non è che si vogliono fare sensazionalismi su cose di poco conto (o comunque di facile soluzione)?
    non+autenticato
  • - Scritto da: Ingenuo
    > L'articolo è un pò troppo "tecnico" per i miei
    > limiti.
    > Mi (vi) chiedo solo: ma non basta dare ogni tanto
    > un'occhiata ai server dns impostati nella
    > proprietà del
    > TCP-IP?

    Ammesso e non concesso che l'utente sappia cosa sta facendo, il problema nasce quando il DNS viene impostato da DHCP che può essere del provider o del router che hai in casa ma sul quale magari vai raramente a vedere le impostazioni. Ad ogni modo tu puoi avere anche il DNS corretto quando vai av erificare, ma se un trojan o altro te li modifica solo per 10 minuti mentre navighi.. allora è un pò più difficile tenere controllato ed uno dei pochi modi per proteggersi è non usare crediaziali di amministratore per il normale utilizzo del PC.
    non+autenticato
  • Non hai capito.... il Dns (servizio) non sta sulla tua macchina... ma in internet. Quello che hai impostato tu sulla tua macchina (di solito) è il Dns primario del ISP; se già esso ha le informazioni sbagliate, il tuo browser, pur puntando su www.pinco.net ti caricherà un homepage confezionata per la truffa sul server del truffatore.

    Il problema sono i server open (non di fiducia)
    non+autenticato
  • - Scritto da: Ingenuo
    > L'articolo è un pò troppo "tecnico" per i miei
    > limiti.
    > Mi (vi) chiedo solo: ma non basta dare ogni tanto
    > un'occhiata ai server dns impostati nella
    > proprietà del
    > TCP-IP?

    Non necessariamente. In ogni caso, personalmente, prima di controllare gli indirizzi del server DNS penso che dovrei già avere qualche sospetto circa l'autenticità di un sito. Sinceramente, le volte che ho controllato il server DNS sul mio computer penso di poterle contare sulle dita di una mano.
    non+autenticato
  • sarebbe meglio evitare il continuo ricorso ai server dns e magari memorizzare gli indirizzi che ci interessano, non con l'URL, ma direttamente usando il loro IP...

    credo che ci siano diversi programmi in giro, che interrogano un server DNS e restituiscono il loro IP, cosi' interrogate il server DNS UNA volta, e non ogni volta, e poi potete usare l'IP, cosi' anche la navigazione sara' piu' veloce...Occhiolino
    (per evitare questo DNS poisoning, si puo' fare la stessa interrogazione a piu' server DNS e confrontare il risultato)

    con una veloce ricerca ho trovato questo programma su sourceforge:
    http://sourceforge.net/projects/explain/
    peccato che sia solo per windows e necessiti del .NET 2.0
    (per ricercare l'indirizzo IP, mettete type ad A e class ad IN)
    non+autenticato
  • - Scritto da: Lepaca
    > sarebbe meglio evitare il continuo ricorso ai
    > server dns e magari memorizzare gli indirizzi che
    > ci interessano, non con l'URL, ma direttamente
    > usando il loro
    > IP...
    >
    >

    Perdonami ma la nascita del DNS è dovuta proprio al fatto che non ci si poteva memorizzare a manina tutte le risoluzioni di cui uno necessitava...

    Allora a sto punto fa bene microsoft che per alcune sue url non chiede al dns che hai configurato, ad esempio per il windows update.
    non+autenticato
  • Non ho detto TUTTE le risoluzioni... Almeno le piu' importanti (chesso', l'IP della tua banca...) cosi' puoi essere sicuro che stai sul server che volevi e non dirottato da qualche altra parte dal server DNS "maligno"...Sorride

    Per quanto riguarda windows update, non conosco bene il problema... se il programma fa un'interrogazione ad un server DNS diverso da quello impostato da te, c'e' in effetti una scorrettezza, ma se usa direttamente l'IP del server, allora fa molto bene perche' risparmia un'inutile interrogazione al server DNS per ottenere un IP che gia' conosce... l'unico inconveniente, in quest'ultimo caso e' che, se un domani l'IP cambiasse, windows update non funzionera' piu'.
    non+autenticato
  • - Scritto da: Lepaca
    > Non ho detto TUTTE le risoluzioni... Almeno le
    > piu' importanti (chesso', l'IP della tua
    > banca...) cosi' puoi essere sicuro che stai sul
    > server che volevi e non dirottato da qualche
    > altra parte dal server DNS "maligno"...
    >Sorride

    Si. Bisogna comunque stare attenti a virus e malware perchè o riscrivono tali record (solitamente file host) o dirottano il pacchetto.


    >
    > Per quanto riguarda windows update, non conosco
    > bene il problema... se il programma fa
    > un'interrogazione ad un server DNS diverso da
    > quello impostato da te, c'e' in effetti una
    > scorrettezza, ma se usa direttamente l'IP del
    > server, allora fa molto bene perche' risparmia
    > un'inutile interrogazione al server DNS per
    > ottenere un IP che gia' conosce... l'unico
    > inconveniente, in quest'ultimo caso e' che, se un
    > domani l'IP cambiasse, windows update non
    > funzionera'
    > piu'.

    Il problema è che molto semplicemete c'è una dll che si occupa della risoluzione dei nomi in windows (host, lmhost, dns, cache, wins ecc ecc ,non per forza in questo ordine) e per certe risoluzioni non si preoccupa di contattare i DNS configurati, tutto qua. Probabilmente in caso di cambio degli IP dei server verrà rilasciata una nuova libreria tramite update oppure, se nn c'è risposta dagli IP già inseriti, allora si rivolge al DNS veramente. Non so. Se cerchi in google trovi subito qualche articolo a riguardo.
    non+autenticato
  • La stragrande maggioranza dei siti (tanto per fare un esempio lo stesso P.I.) non è raggiungibile per ip senza specificare nella richiesta l'hostname.

    Se vuoi una risoluzione dns "locale", ti basta modificare il file hosts ma non ti mette comunque al sicuro.
    non+autenticato
  • > con una veloce ricerca ho trovato questo
    > programma su
    > sourceforge:
    > http://sourceforge.net/projects/explain/
    > peccato che sia solo per windows e necessiti del
    > .NET
    > 2.0
    > (per ricercare l'indirizzo IP, mettete type ad A
    > e class ad
    > IN)

    su qualunque windows basta andare al prompt dei comandi e scrivere:

    dnslookup <nomesito>

    ti restituisce direttamente l'indirizzo o gli indirizzi IP associati e se la risposta arriva da un server di fiducia o meno...

    Comunqe il problema non è, in generale, sul "tuo" server DNS, il problema è nel principio di funzionamento ricorsivo delle query DNS: diciamo che quando tu richiedi di risolvere un indirizzo internet che non è presente nella tua cache - ad esempio www.pincopallino.net , parte una richiesta verso il "tuo" server (quello dell'ISP o comunque quello che hai impostato); se questo non ha l'indirizzo in cache, inoltra la richiesta al server di ".net" che a sua volta la inoltra a quello di "pincopallino.net" e così via... ora basta che una di queste macchine sia compromessa per aggiornare con i dati fasulli le cache dei vari server che accettano risposte non fidate ed alla fine potresti connetterti ad una macchina che non è quella che ti aspetti.
  • - Scritto da: logicaMente
    > ora
    > basta che una di queste macchine sia compromessa

    Hai detto niente! Se bucano i DNS cosi' facilmente possiamo anche chiudere baracca!

    Comunque la spiegazione e' assolutamente corretta.
    non+autenticato
  • usare direttamente l'ip può non avere l'effetto desiderato.

    1) la maggioranza dei siti condivide come virtual host lo stesso IP di tanti altri. E' una caratteristica di HTTP 1.1. Questo segnifica che contattando l'ip senza specificare il campo Host negli header http non raggiungerai mai il sito.

    2) Anche se il sito in questione fosse contattabile con il solo ip esistono scenari che rischiano di far si che la cosa ti sfugga di mano:

    a) all'interno del sito clicchi su un link che ha
        un indirizzoassoluto. Ad esempio
        http://www.questosito.com/pagina2.htm

    b) clicchi su un link che porta ad un sottodominio del
        sito stesso. Ed es. http://pagamento.questosito.com

    In entrambi i casi tornano in ballo i DNS... che fai controlli tutti i link su cui clicchi?
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 7 discussioni)