Attacco informatico DNS spoofing: alcuni dettagli

Washington Post, CNN, BBC, Twitter, Viber, Associated Press, Twitter, Viber: sono soltanto alcuni dei nomi coinvolti in un particolare tipo di attacco informatico legato alle recenti tensioni internazionali in Siria. In questo articolo andiamo ad analizzare tecnicamente questo tipo di attacco informatico.

In sostanza l’attacco in questione permette di associare all’indirizzo internet del sito vittima una pagina web arbitraria, in modo del tutto subdolo e senza che l’utente medio percepisca alcuna differenza: in questo modo la circolazione di notizie false “ufficiali”, ad esempio, diventa molto agevole per gli attaccanti. Il DNS, infatti, si basa su una catena di richieste che permettono di associare, in modo dinamico, veloce e trasparente per l’utente, un nome mnemonico (salvatorecapolupo.it, ad esempio) ad un indirizzo IP (nel mio caso 174.122.126.253): ovviamente questo rappresenta una schematizzazione semplificata dello scenario, visto che ad un IP possono corrispondere più host virtuali, ma per quello che stiamo raccontando in questa sede è più che sufficente fermarsi qui. Questa associazione dominio-IP si basa su una catena di “fiducia” che permette di effettuare dinamicamente questa “traduzione” e di aggiornare un database di record distribuito in rete contenente tutte le richieste, che si trova ad essere inevitabilmente “fragile” in alcuni punti. Qualcosa di piuttosto simile, all’atto pratico per l’utente che consulta il sito -e molto più subdolo – a quello che avviene quando si verifica il DNS poisoning di cui ho parlato qualche tempo fa. Un sito per visualizzare l’associazione IP dominio (e viceversa) è ad esempio hcidata.info

La cosa in parte incredibile di questo tipo di attacchi, che possono sia rendere inaccessibile molti dei siti web più famosi che redirezionarne subdolamente il traffico verso portali simili controllati dagli attaccanti, è che si ottengono facendosi fornire dagli admin dei vari “anelli” della catena, in maniera fraudolenta, le credenziali di accesso. Nessun attacco diretto mediante i canali HTTP o FTP, nessuna modifica al codice, nessun attacco sul database del sito: basta manipolare in un qualsiasi punto la catena di redirezionamento DNS per ottenere misconfigurazioni, errori sul sito o peggio redirect a siti “ombra” con contenuti controllabili direttamente dagli hacker.

A tal proposito si segnala la possibilità per gli utenti che registrano un sito (o più precisamente un nome di dominio) di avvalersi del registry lock, il quale non consente di modificare automaticamente la configurazione del DNS imponendo, di conseguenza, una verifica manuale. Anche in questo caso, in effetti, si tratta di informazioni di pubblico dominio disponibili ricorrendo, ad esempio, a questo sito digitando il nome del dominio di cui vogliamo sapere se esista un registry lock attivo o meno. Se non esiste (e ce ne accorgiamo dalla presenza dei record con valore “serverDeleteProhibited”, “serverTransferProhibited” e/o “serverUpdateProhibited”), la catena di richieste DNS appena citata è utilizzabile per sfruttare questa singolare vulnerabilità del sistema internet.

Tophost
Ti piace questo articolo?

0 voti

Su Trovalost.it puntiamo sulla qualità dei contenuti da quando siamo nati: la tua sincera valutazione può aiutarci a migliorare ogni giorno.

Ti potrebbero interessare (Sicurezza informatica):

Cerca altro nel sito

Clicca sul box, e scegli la sezione per vederne i contenuti.