Alfonso Maruccia

DNS, mamma li Turchi!

Un gruppo di hacker turchi mette a segno un colpaccio sui server di un fornitore di servizi DNS, redirigendo il traffico di centinaia di siti su una pagina a tema

Roma - Dopo la clamorosa capitolazione del modello di sicurezza basato sui servizi di autenticazione dei certificati SSL, la rete si scopre (ancora) un po' più insicura "grazie" all'opera del gruppo di hacker turchi Turkguvenligi. Gli smanettoni sono riusciti a compromettere i server del servizio di DNS NetNames, redirigendo poi il traffico verso un sito-manifesto da loro gestito.

Il collettivo Turkguvenligi ha fatto breccia nelle macchine di NetNames grazie a un attacco di tipo SQL Injection, e una volta conquistati i server ha modificato l'indirizzo dei server DNS "master" della società responsabili dell'indirizzamento diretto ai siti web della clientela.

Sono 186 i siti colpiti, con vittime di primo piano del calibro di Coca-Cola, Interpol, Adobe, Dell, Microsoft, UPS, Vodafone, Peugeot, l'Università di Harvard, F-Secure, BitDefender, Secunia, The Register e via elencando. Colpito persino il sito di Gary McKinnon, l'hacker della NASA che rischia l'estradizione verso gli Stati Uniti.
La breccia è rimasta aperta per poche ore domenica scorsa ed è stata chiusa velocemente, rassicura NetNames, e a quanto pare l'unica azione concreta intrapresa da Turkguvenligi è consistita nella presentazione di una pagina autopromozionale con tanto di dichiarazione del 4 settembre come "Giorno Mondiale degli Hacker".

Nondimeno le conseguenze dell'attacco sarebbero potuto essere molto serie, se non estreme: una volta modificato il database dei server DNS, gli hacker avrebbero potuto sfruttare la loro posizione per mettere in piedi pagine fasulle ma simili a quelle dei servizi/prodotti originali - facendo conseguentemente incetta di dati utente, numeri di carte di credito e quant'altro. Contro questo genere di attacco nemmeno il nuovo servizio di sicurezza DNSSEC avrebbe probabilmente potuto nulla, avvertono gli esperti.

Alfonso Maruccia
Notizie collegate
  • TecnologiaDNS, sette chiavi per domarliA sette esperti in giro per il mondo è stato fatto dono della settima parte di una chiave universale per il "reboot" dell'infrastruttura DNSSEC. Ma non è un segreto, e il potere di questo codice è tutto sommato limitato
  • SicurezzaCertificati SSL, il buco s'allargaLe conseguenze della breccia nei server della società fiamminga DigiNotar si fanno sempre più serie: cresce il numero dei certificati compromessi
27 Commenti alla Notizia DNS, mamma li Turchi!
Ordina
  • Ma anche gmail il 4 settembre funzionava strano. Hanno redirezionato la login ad un altro url per una giornata!
    non+autenticato
  • ...segnalerebbe che il sito cui sei stato rediretto non è l'originale, potendo così segnalare all'utente che non è il caso di inserire credenziali, numeri di carte, ecc.ecc.

    se questo gruppo e l'altro fossero stati d'accordo (o comunque, si riuscissero a coordinare i due attacchi) avrebbero potuto effettivamente un effetto davvero catastrofico.
    non+autenticato
  • Ne sei sicuro? Se cambio ip di un sito nel dns verso un mio server e mi porto dietro i certificati, SSL/TLS non segnala un bel niente!!! SSL è basato sui nomi e non sugli IP.
    non+autenticato
  • contenuto non disponibile
  • mi pare che senza un certificato valido (o "diginotarrato"), un attacco al solo dns x dirottare un sito SSL fallisce xche al server "finto" manca comunuque un certificato col nome valido da presentare al browser.

    mentre col solo certificato SSL "diginotarrato" puoi gia' fare tutto perche c'e' il nome e non l'IP, quindi il server puo stare dove vuole e non e' necessario un dirottamento dns (che se c'e' rende pero piu' difficile individuare dove hai messo il server finto).
    cosi mi pare.
    non+autenticato
  • contenuto non disponibile
  • - Scritto da: unaDuraLezione
    > Affinchè l'inganno funzioni bene sono necessarie
    > entrambe le
    > componenti.
    > 1) dirottamente del traffico (tramite DNS
    > poisoning, routing farlocco del tuo ISP, file
    > host modificato ad arte, ...
    > )
    > 2) certificato generato da una CA trusted
    > installato sul server farlocco
    >
    > In presenza del solo punto uno, l'inganno
    > potrebbe funzionare finchè si rimane in HTTP puro
    > (senza
    > HTTPS)
    > In presenza del solo punto due, l'inganno serve a
    > poco perché non raggiungerai mai il sito farlocco
    > (rimane solo la possibilità del social
    > engineering)

    (nella possibilita' del social engineering non serve ne il punto uno ne il due, se ti convinco a fare login su https://gmail.deltubo.com posso tranquillamente avere un certificato valido per questo hostname...).
  • GLI HACK. TURCHI MANDINO IN TILT I SERVER ISREALIANI!!!!!!!!!A bocca aperta
  • - Scritto da: JackBahuer
    > GLI HACK. TURCHI MANDINO IN TILT I SERVER
    > ISREALIANI!!!!!!!!!
    >A bocca aperta

    Ti piacerebbe, ma caschi male Indiavolato
    non+autenticato
  • .
    come da titolo... sotto che sistema operativo girano i server DNS compromessi??
    -----------------------------------------------------------
    Modificato dall' autore il 06 settembre 2011 18.28
    -----------------------------------------------------------
    Fiber
    3605
  • - Scritto da: Fiber
    > .
    > come da titolo... sotto che sistema operativo
    > girano i server DNS
    > compromessi??
    > --------------------------------------------------
    > Modificato dall' autore il 06 settembre 2011 18.28
    > --------------------------------------------------
    A prescindere dalla risposta, hai sbagliato la domanda. Che doveva essere: chi ha scritto quella web application coi piedi ? L'os non c'entra granche' (SE, come dice l'articolo, hanno violato il sistema attraverso sql injection)
    non+autenticato
  • Si ma non è che NetNames tiene i web server sui stessi server del dns...
    Sono entrati "nella rete" con un SQL Injection e poi sono entrati dentro i dns sfruttando la mancanza dei blocchi del firewall, almeno credo.
    non+autenticato
  • TROLL TROLL TROLL TROLL!
    *trollface*
    non+autenticato
  • - Scritto da: For teh lulz
    > TROLL TROLL TROLL TROLL!
    > *trollface*


    inizi a grattarti

    capisco Rotola dal ridere
    Fiber
    3605
  • Fiber, fai il bravo che sennò mi diventi come Ruppolo...
    non+autenticato
  • Una SQL Injection è una vulnerabilità del sito, non del sistema operativo... la domanda è...

    Chi ha programmato quella robaccia? XD
    non+autenticato
  • sqlmap deve aver rovinato il sonno (e continuerà a farlo per un po') di un sacco di pigri sviluppatori web e non solo.
    non+autenticato
  • - Scritto da: Fiber
    > .
    > come da titolo... sotto che sistema operativo
    > girano i server DNS
    > compromessi??
    > --------------------------------------------------
    > Modificato dall' autore il 06 settembre 2011 18.28
    > --------------------------------------------------

    2 scelte: microsoft o lnux

    apple è al riparo
  • - Scritto da: TheOriginalFanboy
    > - Scritto da: Fiber
    > > .
    > > come da titolo... sotto che sistema operativo
    > > girano i server DNS
    > > compromessi??
    > >
    > --------------------------------------------------
    > > Modificato dall' autore il 06 settembre 2011
    > 18.28
    > >
    > --------------------------------------------------
    >
    > 2 scelte: microsoft o lnux
    >
    > apple è al riparo

    ovvio che sia al " Riparo " ( virtuale )

    non lo adotta nessuno anche per quel tipo di utilizzi Rotola dal ridere

    quando una cosa non viene usata non ha nessun rischio Rotola dal ridere
    Fiber
    3605
  • Fiber, NON Ruppolizzarti per favore! Era una Sql injection.
    Vuoi che ti presento dei programmatori .NET incapaci che avrebbero potuto generare lo stesso problema?
    non+autenticato
  • Basta guardare la homepage di NetNames e il loro blog. NESSUNA segnalazione del problema... la loro massima preoccupazione e' parlare dell'imminente vendita dei TLD porno .XXX !
    non+autenticato