Roma – Non sono una novità assoluta ma ora secondo VeriSign gli attacchi contro i name server, i DNS , potrebbero avere conseguenze devastanti. E questo perché negli ultimi mesi crew di cracker hanno collaudato e perfezionato le tecniche di aggressione contro i server Domain Name Systems , ossia quei server che si occupano di indirizzare il traffico web.
Il fatto che a lanciare l’allarme sia VeriSign è significativo: non solo l’azienda è uno dei maggiori player commerciali della rete ma gestisce anche i root server dei domini.com e.net, il che la posiziona come osservatorio privilegiato su certi fenomeni. Ciò che la società paventa è uno scenario in cui i temibili attacchi denial-of-service distribuiti, noti con l’acronimo DDoS , diventino ancora più pericolosi .
Come noto, in un attacco DDoS “tradizionale”, un’armata di computer infetti gestita da remoto dai cracker consente loro di lanciare da ciascuno di essi richieste ad un server vittima: la contemporaneità e il numero delle richieste è stato spesso sufficiente a buttare fuori dalla rete intere organizzazioni ed imprese . Un attacco distribuito di questo tipo si può fermare solo con grande difficoltà agendo perlopiù sull’isolamento dalla rete colpita degli IP dei computer utilizzati per l’aggressione.
La nuova “variante”, come l’ha definita il New Scientist nel riprendere la nota allarmata di VeriSign, è in realtà già nota da lungo tempo e prevede il coinvolgimento dei server DNS . In questo scenario viene trasmesso un messaggio truccato al DNS, un messaggio che contiene un indirizzo di ritorno manipolato, che rappresenta quello della macchina che si intende colpire: il server DNS ritiene questa una richiesta valida e trasmette dunque i risultati del suo processo al computer-vittima. Risultato di questo attacco è rendere di fatto inaccessibile il computer-obiettivo, una situazione che può significare interrompere le attività di un sito istituzionale, bloccare le attività online di una società commerciale o, più in generale, ostacolare le operazioni di molti o moltissimi utenti Internet.
La debolezza principale risiede nel cosiddetto “recursive name service”, una funzionalità a lungo esplorata come possibile causa di problemi. Come sottolinea ZDnet in mancanza di paletti che consentano l’interrogazione della gerarchia dei DNS soltanto a fonti fidate, molti server DNS trasmettono le richieste che arrivano loro ad altri name server qualora non dispongano delle informazioni necessarie a risolvere le richieste in arrivo.
“In teoria – spiega Tom Espiner di cnet – una volta che un cracker abbia compromesso un server DNS, il recursive name service potrebbe essere utilizzato per forzare altri server DNS per contattare quello compromesso e risolvere la richiesta. Nel tempo questo consentirebbe ad un cracker di infettare le cache di un gran numero di server DNS attraverso la cache di una sola macchina compromessa”.
Bloccare questa funzionalità consentendo l’accesso alla gerarchia dei DNS alle soli fonti fidate è una operazione che non molti vorranno adottare, perché rischia di tagliar fuori molto traffico: secondo un survey effettuato di recente e citato in queste ore dal New Scientist , l’80 per cento dei server DNS non è stato preparato contro questo genere di attacchi, il che dà ampio spazio di movimento ai cracker. Anche Graham Pinkney, esperto di Symantec, ha confermato che ciò “ha il potenziale di rivelarsi estremamente distruttivo”.
Sull’argomento il Computer Emergency Response Team (CERT) alle dipendenze del governo americano ha rilasciato nei mesi scorsi un pdf che descrive tecniche di protezione contro questo genere di aggressione e che ora circola come libro di testo tra i responsabili dei sistemi di routing.
Come accennato non si tratta di tecniche particolarmente innovative ma secondo Ken Silva, responsabile tecnico di VeriSign, le sperimentazioni dei cracker su questo genere di aggressioni vanno avanti ormai dalla fine dell’anno scorso. “Questi attacchi – ha spiegato in una intervista rilasciata a cnet – sono assai più invasivi di qualsiasi cosa abbia visto”.
Il monitoraggio effettuato da VeriSign, ha spiegato Silva, mette in evidenza che da alcune settimane le attività dei cracker appaiono pressoché bloccate, un’evenienza che secondo l’esperto prelude ad un attacco su larga scala .