Gli attacchi informatici di nuova generazione saranno invisibili, trasparenti ai software di sicurezza e all’utente. Il “merito” di questa indesiderata evoluzione, secondo i ricercatori di Google e del Georgia Institute of Technology , risiederebbe tutta nell’utilizzo malevolo dei server DNS cosiddetti “open recursive”, grazie ai quali già oggi i soliti noti possono imbastire siti difficilmente individuabili dai sistemi antitruffa .
In uno studio in via di pubblicazione il prossimo febbraio anticipato da PC World , gli esperti di sicurezza hanno dato uno sguardo piuttosto ravvicinato a quei sistemi DNS aperti alle query di qualsiasi client, che al contrario dei server tradizionali accettano le richieste di risoluzione di dominio provenienti da qualsiasi computer connesso in rete senza distinzioni di sorta, ragion per cui risultano l’ideale per quanti abbiano intenti malevoli come la realizzazione di un attacco di ingegneria sociale o un sito spara-malware.
Sui 17 milioni di server DNS “open recursive” stimati dallo studio, il 2% fornisce risultati “discutibili” mentre lo 0,4% – circa 68mila – ha un vero e proprio comportamento malevolo, inviando falsi indirizzi IP alle query di risoluzione di un dominio: rivolgersi con una URL “www.google.it” ad uno di questi server spedisce l’utente su una macchina che con il server originale di BigG non ha niente a che vedere ed è stata messa in rete per chissà quali scopi. I ricercatori considerano questi server come una vera e propria “seconda autorità segreta” nella gestione delle query DNS, capace di minare le stesse fondamenta della robustezza e affidabilità dell’intera infrastruttura di rete.
Adoperando i server “open recursive” è più facile realizzare attacchi di DNS poisoning per truffe di tipo finanziario, poiché sapere di visitare la giusta pagina web di un intermediario sul modello di PayPal non sarà più garanzia assoluta di trovarsi su un sito legittimo. Di “crimine con pochi testimoni” parla David Dagon, ricercatore del Georgia Tech co-autore dello studio, che evidenzia i rischi nell’utilizzo dei server DNS “open recursive”.
Il DNS poisoning e la modifica dell’indirizzo IP di un dominio per vie illecite non sono strategie nuove nel campo degli attacchi informatici, ma nondimeno la diffusione di server “open” rappresenta una via alla diffusione di crimini telematici sofisticati e difficili da individuare. Alla base del DNS poisoning di nuova generazione vi è comunque la necessità – attraverso un attacco proveniente da un sito web appositamente realizzato – di modificare le impostazioni dei server DNS su Windows : da quel momento in poi, il PC “avvelenato” potrà visualizzare le pagine web messe in rete dai criminali mentre l’utente si riterrà “sicuro” grazie alla frequentazione di domini ben noti e collaudati.
Se il trojan iniziale non viene bloccato e le impostazioni DNS vengono modificate, c’è ben poco che i software e le infrastrutture di sicurezza attuali possano fare: “È davvero la backdoor definitiva” ha dichiarato allarmato Chris Rouland di IBM, confessando come “tutto quello che stiamo installando nella società trascurerà completamente il problema”.
I siti web progettati per modificare le impostazioni DNS del sistema sono in crescita, e i ricercatori hanno individuato più di 2100 vettori di un simile attacco usando i crawler web di Google. Ars Technica nota infine che il dirottamento dei server DNS – o DNS hijacking – non dovrebbe passare inosservato su Windows Vista , dove la tecnologia User Account Control è progettata per avvertire l’utente in caso di una simile evenienza. Sempre che l’utente non abbia disabilitato il sin troppo ciarliero e discusso sistema di sicurezza integrato da Microsoft nel suo ultimo sistema operativo.
Alfonso Maruccia
Ti potrebbe interessare
14 dic 2007