Nuove estensioni di dominio: che rischi di sicurezza informatica possono comportare?

Nuove estensioni di dominio: che rischi di sicurezza informatica possono comportare?

Non ci sono più i vecchi nomi locali di una volta o, per meglio dire, alcuni di essi sono diventati – o potrebbero diventare – nomi di dominio su internet come nel caso di server1.local. Uno studio recente di Verisign illustra questo rischio nel dettaglio: mentre qualche anno fa era considerato senza rischi creare domini su una rete locale, per pura comodità dell’azienda, nomi di dominio come computer1.school o nome.host, le cose starebbero lentamente cambiando. L’articolo in questione evidenzia infatti una relativa semplicità nell’effettuare attacchi Man in the middle mediante i browser degli utenti, sfruttando da un lato la collisione con omonimi creati ad hoc (cosiddetta Name Collision), dall’altro per via dell’uso del protocollo WPAD (Web Proxy Auto-Discovery).

L’espansione dello spazio di estensioni registrabili e, in misura particolare, le nuove estensioni di dominio (tuonome.qualcosa, in generale, arrivati ad oggi a quasi mille varianti differenti), hanno fatto in modo di mettere a disposizione del grande pubblico del web nomi che, anni fa, avrebbero potuto essere utilizzati esclusivamente nelle reti aziendali locali o riservati, quindi solo dai dipendenti e non genericamente dall’esterno. Verisign in altri termini ha messo in evidenza come molti malintenzionati possano acquistare alcuni di questi nomi “riservati”, al fine di effettuare un attacco “man in the middle“. L’elevata diffusione delle nuove estensioni di dominio, di fatto, potrebbe diventare un canale di diffusione di questi attacchi MITM; per evitare di fare confusione, a questo punto, è necessario riprendere a questo punto un po’ di concetti che forse non tutti hanno ben presente.

Nomi di dominio: ce ne sono di due tipi

Quando si pensa ai nomi di dominio si è automaticamente portati (specie se lettori abituali del mio blog) a pensare alla registrazione di un nome per un sito, un servizio o un’app che possa essere fruita su internet; in realtà, pero’, esiste una seconda (neanche così “anomala”) possibilità. In alcune reti locali, infatti, una stringa quale risorsa.estensione potrebbe rappresentare, nel contesto della LAN su cui ci troviamo, il nome simbolico da associare ad una risorsa, un server o un servizio interno.

Per intenderci: creando un record A nel DNS locale (ad esempio: nomescelto), infatti, ed associandolo all’indirizzo IP della risorsa desiderata, essa diventerà raggiungibile mediante un browser puntato su

http://nomescelto

e questo varrà per tutti gli utenti della rete intranet.

L’esempio che dovrebbe rendere chiaro il rischio, a questo punto, è l’estensione di dominio .local ad esempio: per carità, va benissimo rinominare una risorsa locale di rete come pippo.local, che sarà sempre e comunque raggiungibile dagli utenti della rete locale, non dall’esterno. Tuttavia dobbiamo essere consapevoli che qualcuno potrebbe registrare in modo malevolo il dominio internet pippo.local al fine di dirottare il nostro traffico e creare, ad esempio, un sito ingannevole copia di quello nella intranet al fine di derubarci di informazioni riservate. È una cosa che ho rilevato, tanto per farmi capire ancora meglio, digitando per errore alcuni domini con indirizzo contenente “localhost“, che in una rete non necessariamente connessa ad internet rappresenta 127.0.0.1 ovvero l’indirizzo del computer locale (un esempio su tutti, per quanto innocente ma rende l’idea: localhost.com).

Qual’è il rischio, quindi?

Arrivo all’esempio di Verisign: il WPAD, quando e se disponibile, viene utilizzato per gestire al meglio la configurazione dei server proxy in modo automatico, e potrebbe spianare la strada ad una potenziale backdoor per penetrare nei sistemi ed effettuare un leak, a vari livelli, delle informazioni riservate che circolano su di esse. WPAD – ricorda ComputerWorld – è abilitato di default sotto Windows ed Internet Explorer, mentre è supportato su altri browser anche se non di default (Linux e OS X). In teoria, quindi, un qualsiasi computer che faccia uso di WPAD e di un server DNS locale (come quello che ho esemplificato prima) potrebbe essere intercettato dall’esterno, ovviamente solo sotto opportune condizioni ed ammesso che ci siano le effettive condizioni per farlo.

Ad esempio, potrebbe non trovare il DNS locale, interrogare quello esterno ed essere dirottato, senza accorgersene a questo punto, su una pagina web identica (apparentemente lo stesso indirizzo) ma non più della rete locale, bensì su un potenziale sito ingannevole.

Ti piace questo articolo?

1 voto

Su Trovalost.it puntiamo sulla qualità dei contenuti da quando siamo nati: la tua sincera valutazione può aiutarci a migliorare ogni giorno.

Nuove estensioni di dominio: che rischi di sicurezza informatica possono comportare?

Non ci sono più i vecchi nomi locali di una …
Votato 4 / 10, campione di 1 utenti

Ti potrebbero interessare (Hosting e domini):

Cerca altro nel sito

Clicca sul box, e scegli la sezione per vederne i contenuti.