Quello che tutti temevano si è verificato. La vulnerabilità dei server DNS, l’equivalente dell’elenco telefonico del web, è stata resa pubblica prima di quanto prospettato e sperato dal suo scopritore, Dan Kaminsky. Sono trascorsi solo 15 giorni dall’annuncio ufficiale , ma gli hacker hanno già affilato le armi e preparato l’artiglieria. Un exploit, riferito come funzionante anche se non velocissimo, è persino disponibile in un pacchetto di attacchi pronti all’uso .
HD Moore e )ruid , due esponenti della celebre crew Metasploit , nelle scorse ore hanno rilasciato diversi aggiornamenti consecutivi del proprio tool che contiene decine di metodi di attacco per i più diversi sottosistemi software di computer e server. In rapida sequenza, sfruttando le indiscrezioni degli ultimi giorni , hanno sfoderato due diverse modalità di avvelenamento di un server DNS, in grado rispettivamente di dirottare il traffico diretto verso una sola entry della tabella del database o di una intera classe riferita ad un dominio.
Sebbene l’ordine di grandezza del tempo necessario a questi exploit per agire sia ancora nel campo dei minuti – Kaminsky parlava della possibilità di compiere malefatte in pochi secondi – ora un malintenzionato potrebbe decidere di mettere in atto truffe potenzialmente molto pericolose semplicemente facendo convergere il traffico diretto su un sito web , come quello di una banca, su un proprio dominio opportunamente mascherato per sembrare la homepage originale. A nulla servirebbero i vari accorgimenti dei navigatori e taluni sistemi anti-phishing attualmente in uso: il loro funzionamento e la loro validità si basa su un server DNS affidabile, senza il quale perdono di significato.
Tutto il traffico diretto, ad esempio, verso www.governo.it o governo.it potrebbe essere reindirizzato su un server – dislocato fisicamente ovunque – contenente materiale non veritiero se non potenzialmente pericoloso. All’ignaro navigatore potrebbe essere proposto il download di applicazioni , file eseguibili, applet o activex infetti, da un dominio e da un indirizzo all’apparenza perfettamente validi e credibili. Senza contare, la possibilità che gli stessi elementi del sistema operativo o delle applicazioni installate possano subire sorte analoga scaricando aggiornamenti contraffatti, senza che tutto questo possa in alcun modo essere intercettato dall’utente.
Il rilascio di questi due exploit, a cui probabilmente seguiranno varianti che ne miglioreranno l’efficienza e la rapidità di successo, rischia di mettere in seria difficoltà la comunità. Kaminsky aveva dichiarato di voler attendere 30 giorni prima di fornire informazioni sulla natura della vulnerabilità da lui individuata, nella speranza che entro il mese di agosto la maggioranza dei server DNS in giro per la rete fossero stati aggiornati con le ultime patch rilasciate da aziende e sviluppatori open source.
La diffusione delle informazioni con 15 giorni di anticipo sconvolge i questi piani: meno della metà dei server interessati dal problema risulterebbe ad oggi al sicuro contro questo tipo di attacco, a causa probabilmente di un certo ritardo da parte degli amministratori di sistema nel provvedere all’applicazione delle patch. Vista la popolarità di cui gode il pacchetto Metaxploit tra i black hat, gli admin farebbero bene ad affrettarsi.
Luca Annunziata