Non ci sono più i vecchi nomi locali di una volta o, per meglio dire, alcuni di essi sono diventati – o potrebbero diventare – nomi di dominio su internet come nel caso di server1.local. Uno studio recente di Verisign illustra questo rischio nel dettaglio: mentre qualche anno fa era considerato senza rischi creare domini su una rete locale, per pura comodità dell’azienda, nomi di dominio come computer1.school o nome.host, le cose starebbero lentamente cambiando. L’articolo in questione evidenzia infatti una relativa semplicità nell’effettuare attacchi Man in the middle mediante i browser degli utenti, sfruttando da un lato la collisione con omonimi creati ad hoc (cosiddetta Name Collision), dall’altro per via dell’uso del protocollo WPAD (Web Proxy Auto-Discovery).
L’espansione dello spazio di estensioni registrabili e, in misura particolare, le nuove estensioni di dominio (tuonome.qualcosa, in generale, arrivati ad oggi a quasi mille varianti differenti), hanno fatto in modo di mettere a disposizione del grande pubblico del web nomi che, anni fa, avrebbero potuto essere utilizzati esclusivamente nelle reti aziendali locali o riservati, quindi solo dai dipendenti e non genericamente dall’esterno. Verisign in altri termini ha messo in evidenza come molti malintenzionati possano acquistare alcuni di questi nomi “riservati”, al fine di effettuare un attacco “man in the middle“. L’elevata diffusione delle nuove estensioni di dominio, di fatto, potrebbe diventare un canale di diffusione di questi attacchi MITM; per evitare di fare confusione, a questo punto, è necessario riprendere a questo punto un po’ di concetti che forse non tutti hanno ben presente.
Nomi di dominio: ce ne sono di due tipi
Quando si pensa ai nomi di dominio si è automaticamente portati (specie se lettori abituali del mio blog) a pensare alla registrazione di un nome per un sito, un servizio o un’app che possa essere fruita su internet; in realtà , pero’, esiste una seconda (neanche cosଠ“anomala”) possibilità . In alcune reti locali, infatti, una stringa quale risorsa.estensione potrebbe rappresentare, nel contesto della LAN su cui ci troviamo, il nome simbolico da associare ad una risorsa, un server o un servizio interno.
Per intenderci: creando un record A nel DNS locale (ad esempio: nomescelto), infatti, ed associandolo all’indirizzo IP della risorsa desiderata, essa diventerà raggiungibile mediante un browser puntato su
http://nomescelto
e questo varrà per tutti gli utenti della rete intranet.
L’esempio che dovrebbe rendere chiaro il rischio, a questo punto, è l’estensione di dominio .local ad esempio: per carità , va benissimo rinominare una risorsa locale di rete come pippo.local, che sarà sempre e comunque raggiungibile dagli utenti della rete locale, non dall’esterno. Tuttavia dobbiamo essere consapevoli che qualcuno potrebbe registrare in modo malevolo il dominio internet pippo.local al fine di dirottare il nostro traffico e creare, ad esempio, un sito ingannevole copia di quello nella intranet al fine di derubarci di informazioni riservate. àˆ una cosa che ho rilevato, tanto per farmi capire ancora meglio, digitando per errore alcuni domini con indirizzo contenente “localhost“, che in una rete non necessariamente connessa ad internet rappresenta 127.0.0.1 ovvero l’indirizzo del computer locale (un esempio su tutti, per quanto innocente ma rende l’idea: localhost.com).
Qual’è il rischio, quindi?
Arrivo all’esempio di Verisign: il WPAD, quando e se disponibile, viene utilizzato per gestire al meglio la configurazione dei server proxy in modo automatico, e potrebbe spianare la strada ad una potenziale backdoor per penetrare nei sistemi ed effettuare un leak, a vari livelli, delle informazioni riservate che circolano su di esse. WPAD – ricorda ComputerWorld – è abilitato di default sotto Windows ed Internet Explorer, mentre è supportato su altri browser anche se non di default (Linux e OS X). In teoria, quindi, un qualsiasi computer che faccia uso di WPAD e di un server DNS locale (come quello che ho esemplificato prima) potrebbe essere intercettato dall’esterno, ovviamente solo sotto opportune condizioni ed ammesso che ci siano le effettive condizioni per farlo.
Ad esempio, potrebbe non trovare il DNS locale, interrogare quello esterno ed essere dirottato, senza accorgersene a questo punto, su una pagina web identica (apparentemente lo stesso indirizzo) ma non più della rete locale, bensଠsu un potenziale sito ingannevole.
👇 Da non perdere 👇
- 📈 Analizza Cellulari 📱
- 🔐 AI che dolor, Chat 🏴
- 🎯 Targetizza Database SQL 🗄
- 📊 Analizza Errori più comuni 📛
- 🚧 Costruisci Evergreen 📟
- 👩💻 Programma Gratis 🎉
- 💻 Configura Hosting a confronto 💑
- 🔒 Conosci Hosting reti e domini 💻
- 👩💻 Tapioca Informatica 🖥
- 💻 Iconizza Internet 💻
- 🔒 Gestisci Lavoro 🔧
- 💡 Mostra Marketing & SEO 🌪
- 🔑 Apprendi Meteo ⛅
- 🤯 Visiona Mondo Apple 🍎
- 🔍 Supervisiona Mondo Domini 🌐
- 🚀 Metti in cloud monitoraggio servizi online 📈
- 🔮 Anatomizza Nuove tecnologie 🖥
- 🔒 Antani PEC e firma digitale 📩
- 👀 Prematura Programmare 🖥
- 🎮 Lonfa Scrivere 🖋
- 🔒 Conosci Servizi di SMS 📶
- 👀 Guarda Sicurezza informatica e privacy digitale 🖥
- 🎮 Ricorda Siti web 🌎
- 🤖 Ottimizza Spiegoni artificiali 🎓
- 🧠 Neuralizza Svago 🎈
- 📡 Quantizza Usare Excel 🌀
- 🤖 Sovrascrivi Windows 😲
- 🎨 Personalizza Wireless 🚁
- 🔑 Decifra WordPress 🤵
- 💬 Il nostro canale Telegram: iscriviti
- 🟡 Come recuperare la password del proprio SPID (GUIDA)
- 🟠 Errore HTTP 409 Conflict: come risolverlo e da cosa dipende
- 🔴 Come recuperare la password del proprio SPID (GUIDA)