Circolano i primi exploit e circolano pure i log dei primi attacchi. La faccenda del bug dei DNS, gli elenchi telefonici di Internet, si sta ingrandendo di ora in ora . E con il rilascio delle prime indiscrezioni da parte dello scopritore della vulnerabilità, Dan Kaminsky, durante un webcast di avvicinamento al prossimo Black Hat 2008, la faccenda non potrà fare altro che peggiorare. Per questo, è lo stesso esperto di sicurezza a rilanciare l’appello: bisogna applicare le patch messe a disposizione dai produttori di software, e bisogna farlo il prima possibile.
Risalirebbe allo scorso giovedì notte il primo tentativo documentato di sfruttare la falla resa nota il 9 luglio, di cui tuttavia al momento non si conoscono i dettagli. Nelle stesse ore, venivano messi in circolazione i primi esempi di exploit proof-of-concept che tentano di mettere in pratica le teorie dedotte dalle scarne informazioni fornite da Kaminsky. Quest’ultimo ha poi rilanciato, fornendo ulteriori rivelazioni e facendo un po’ di luce su tutta la vicenda.
Sul suo blog, scrive : “Prima che questo attacco venisse scoperto, un cattivone aveva una possibilità su 65mila di dirottare la vostra connessione ad Internet, ma poteva fare un solo tentativo ogni paio d’ore. Dopo la scoperta dell’attacco, il cattivone aveva sempre una su 65mila possibilità, ma poteva provare migliaia di volte al secondo. Dopo la patch, il cattivone ha una possibilità su un paio di centinaia di milioni o di miliardi di dirottare la vostra connessione ad Internet”. Il che non significa, precisa, che sia impossibile : “Potrà sempre provarci migliaia di volte al secondo, ma facendo molto più baccano di prima”.
Più nel dettaglio, la vicenda pare coinvolga un dominio e tutti i suoi sottodomini. Kaminsky, al contrario di quanto scovato da altri ricercatori in precedenza, sostiene di aver individuato un meccanismo attraverso il quale un malintenzionato potrebbe sottoporre un server DNS ad un fuoco di fila di richieste per una intera classe di indirizzi, fino a trovare un punto debole attraverso il quale incunearsi: a quel punto, potrebbe istruire il server per restituire un indirizzo errato, prolungando inoltre a dismisura l’intervallo entro il quale aggiornare le tabelle di riferimento, così da massimizzare gli effetti del proprio attacco.
Mancano ancora i dettagli precisi, ma ormai il quadro sembra completo. Non è più necessario attendere la richiesta di un utente per tentare di intercettarne le comunicazioni, e con la forza bruta di migliaia di richieste – provenienti magari da più postazioni o persino una botnet – diverrebbe possibile scardinare un DNS senza che nessuno si accorga di niente o quasi.
La situazione, a livello globale, non è peraltro migliorata di molto dal momento dell’annuncio. Sebbene, precisa Kaminsky, inizialmente il numero di server vulnerabili verificati dall’applicazione presente sul suo blog superasse l’85 per cento , valore sceso a 52 nelle ultime ore, la maggior parte dei sistemi in circolazione resta vulnerabile a questo tipo di attacco. Kaminsky plaude agli sforzi compiuti dalle grandi aziende di telecomunicazione e dagli ISP per fare fronte alla situazione, ma chiede loro un impegno ulteriore per tentare di affrettare i tempi.
Kaminsky ha poi rivelato di aver scovato questa vulnerabilità mentre cercava un nuovo metodo di distribuzione dei contenuti sfruttando i DNS. La sua patch, ribadisce, non mette definitivamente al sicuro dalla eventualità che il DNS in uso venga infettato e il traffico di passaggio dirottato: il problema è intrinsecamente legato alla natura progettuale dell’attuale sistema, e dunque “abbiamo imparato cosa fare per sistemare la Rete in futuro”. Kaminsky spera che dalla sua scoperta scaturisca un dibattito, che ponga al centro i passi necessari per lo studio di sistemi più affidabili degli attuali da implementare nella Internet del futuro.
Luca Annunziata