Luca Annunziata

DNS poisoning, c'Ŕ l'exploit

Pronto un kit per sfruttare la vulnerabilitÓ. Che ora potrÓ essere impiegata dai malintenzionati per portare avanti truffe di nuova generazione. Gli admin devono affrettarsi per correre ai ripari

Roma - Quello che tutti temevano si è verificato. La vulnerabilità dei server DNS, l'equivalente dell'elenco telefonico del web, è stata resa pubblica prima di quanto prospettato e sperato dal suo scopritore, Dan Kaminsky. Sono trascorsi solo 15 giorni dall'annuncio ufficiale, ma gli hacker hanno già affilato le armi e preparato l'artiglieria. Un exploit, riferito come funzionante anche se non velocissimo, è persino disponibile in un pacchetto di attacchi pronti all'uso.

HD Moore e )ruid, due esponenti della celebre crew Metasploit, nelle scorse ore hanno rilasciato diversi aggiornamenti consecutivi del proprio tool che contiene decine di metodi di attacco per i più diversi sottosistemi software di computer e server. In rapida sequenza, sfruttando le indiscrezioni degli ultimi giorni, hanno sfoderato due diverse modalità di avvelenamento di un server DNS, in grado rispettivamente di dirottare il traffico diretto verso una sola entry della tabella del database o di una intera classe riferita ad un dominio.

Sebbene l'ordine di grandezza del tempo necessario a questi exploit per agire sia ancora nel campo dei minuti - Kaminsky parlava della possibilità di compiere malefatte in pochi secondi - ora un malintenzionato potrebbe decidere di mettere in atto truffe potenzialmente molto pericolose semplicemente facendo convergere il traffico diretto su un sito web, come quello di una banca, su un proprio dominio opportunamente mascherato per sembrare la homepage originale. A nulla servirebbero i vari accorgimenti dei navigatori e taluni sistemi anti-phishing attualmente in uso: il loro funzionamento e la loro validità si basa su un server DNS affidabile, senza il quale perdono di significato.
Tutto il traffico diretto, ad esempio, verso www.governo.it o governo.it potrebbe essere reindirizzato su un server - dislocato fisicamente ovunque - contenente materiale non veritiero se non potenzialmente pericoloso. All'ignaro navigatore potrebbe essere proposto il download di applicazioni, file eseguibili, applet o activex infetti, da un dominio e da un indirizzo all'apparenza perfettamente validi e credibili. Senza contare, la possibilità che gli stessi elementi del sistema operativo o delle applicazioni installate possano subire sorte analoga scaricando aggiornamenti contraffatti, senza che tutto questo possa in alcun modo essere intercettato dall'utente.

Il rilascio di questi due exploit, a cui probabilmente seguiranno varianti che ne miglioreranno l'efficienza e la rapidità di successo, rischia di mettere in seria difficoltà la comunità. Kaminsky aveva dichiarato di voler attendere 30 giorni prima di fornire informazioni sulla natura della vulnerabilità da lui individuata, nella speranza che entro il mese di agosto la maggioranza dei server DNS in giro per la rete fossero stati aggiornati con le ultime patch rilasciate da aziende e sviluppatori open source.

La diffusione delle informazioni con 15 giorni di anticipo sconvolge i questi piani: meno della metà dei server interessati dal problema risulterebbe ad oggi al sicuro contro questo tipo di attacco, a causa probabilmente di un certo ritardo da parte degli amministratori di sistema nel provvedere all'applicazione delle patch. Vista la popolarità di cui gode il pacchetto Metaxploit tra i black hat, gli admin farebbero bene ad affrettarsi.

Luca Annunziata
117 Commenti alla Notizia DNS poisoning, c'Ŕ l'exploit
Ordina
  • Buon giorno a tutti,
    Mi farebbe molto piacere se cortesemente a chi lo chiede gli si dà la possibilità di usare tre indirizzi DNS,
    se non altro riesce a scelgliere di usare internet.
    La favola dei tre porcellini, vede il lupo come unico assalitore, mentre qui 'cosi', sono tanti con molti.
    Gli indirizzi sono un po come le stringhe delle scarpe, hai voglia di fare tutti fiocchi e va bene mettere scarpe che di stringhe non ne hanno ma come si può notare si mettono di solito a copie di due, e si scelgono per necessità; dove non si scelgono si spera sia un esigenza individuale e non un' imposizione .
    Se tutto ciò non è avvenuto prima e solo per una certa necessità dove si mettono in campo delle risorse con delle possibilità, qui la crisi non ha dimensione che sia chiaro. Attualmente le stesse risorse 'oggi' sono cambiate sotto l'aspetto delle quantità, quindi ripeto che il bue deve avere quattro zampe e le scarpe vanno a coppie, poi per tutto il resto c'è mastercard.
    Gli esempi sono altamente intimidatori dove qui se si sbaglia c'e il bue con due scarpe e quindi non si va a ballare!.
    Saluti e buona giornata a Voi tutti.

    Sondaggio:
    Piaciuto il mio intervento?
    Si capisce giusto un pò, che occorrono almeno degli indirizzi del DNS?.
    Tu porti le scarpe?
    if = a si
    Si vuol dire che siete in tre, tu e due scarpe questi sono i DNS. E' tutto passo e chiudo.
    non+autenticato
  • da questa falla potrebbero nascerne di nuove, se per esempio viene riscontrata la falla in un sito di aggiornamento di un programma, la persona che la scopre può anche creare aggiornamenti per cambiare il programma a proprio piacimento a magari installare backdoor e malware vario.
    Se questa è una vulnerabilità dei DNS non solo solo i siti ad essere a rischio.
  • Data la portata del bug molto più ampia del previsto consiglio a tutti di controllare i certificati di connessioni https (usati nei siti "delicati" come per le banche) se esso corrisponde a quello dichiarato dal DNS potete dormire sonni tranquilli.

    Sempre che, naturalmente, non venga rotto l'algoritmo RSA, a questo punto la maggior parte delle comunicazioni criptate non lo sarebbero più.... ma questo è un altro discorso per ora (fortunatamente) molto lontano dalla realtà.
    non+autenticato
  • A quanto ho capito con questo meccanismo (non pericoloso per le transazioni perche' basate su HTTPS - sufficienti info negli altri commenti) sarebbe possibile fare letteralmente sparire intere societa' da internet: Google, Paypal, Microsoft etc. Chiaramente effetto limitato agli utenti dei DNS eventualmente coinvolti. Danni di non poco conto direi...
    non+autenticato
  • c'ho pensato anch'io ma è fantascienza..A bocca aperta
    non+autenticato
  • Assolutamente. Era giusto una pippa mentaleOcchiolino
    non+autenticato
  • Occhio... solitamente le banche e molti altri siti "delicati", sono protetti da certificati SSL in https... Secondo me l'exploit dei DNS non può "superare" questa, seppur piccola, barriera. O almeno non è sufficiente...
  • Sì, ma moltissimi "utonti" non controlleranno la presenza del certificato...
    H5N1
    1641
  • peggio per loro!!!
    la gente deve capire che deve fare attenzione a quello che fa su Internet... Così come fa attenzione, quando va al bancomat, che nessuno stia a spiare il codice, deve fare attenzione al certificato. Del resto il phishing esiste da tempo, adesso hanno solo maggiori probabilità di cadere nella rete: se ci rimangono, tanto vale che vadano direttamente ad uno sportello a fare le loro operazioni...
  • certo perchè tu invece controlli certificato per certificato ogni santa volta che ti colleghi ad un sito che usa SSL. Basta un certificato contraffato, in cui sia diverso anche SOLO UN CARATTERE, e non te accorgeresti mai.
    Sono d'accordo sul navigare responsabili, però è in grado di farlo l'1% della gente. Quindi scordati tutti i servizi online che ti piacciono tanto, se solo questa gente potrà utilizzarli in maniera "sicura". Non sarà conveniente per banche & co..
    non+autenticato
  • Se il DN del certificato non corrisponde al nome dell'host (rispetto a quello inserito dall'utente, quindi CNAME etc non creano problemi), il browser non e' in grado di validarlo, producendo un warning all'utente. Quindi chi usa HTTPS e' assolutamente a posto.
    non+autenticato
  • non è proprio corretto..


    Https garantisce solamente la verifica della chiave SSL, per farlo interroga il dns. Se redirige quel traffico, la chiave te la convalida lui e buonanotte.

    Comunque parliamo di scenari FANTASCIENTIFICI e DIFFICILMENTE REALIZZABILI.
    Il problema c'è, è vero, ma verrà risolto in due ore (se non lo è già stato). Saranno pochissimi i DNS vulnerabili nel giro di pochi gg.
    non+autenticato
  • A parte questo, la verifica della chiave SSL non viene fatta "interrogando il DNS", ma interrogando il server che ha emesso il certificato SSL.
    Oltre a questo, le banche "serie" hanno un doppio codice: uno ti permette di LEGGERE quello che hai sul conto, l'altro ti permette di fare operazioni. Se anche dovessero "rubarmi" il primo codice, io sono comunque tranquillo.
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | 4 | Successiva
(pagina 1/4 - 19 discussioni)