Attacco informatico DNS spoofing: alcuni dettagli

Attacco informatico DNS spoofing: alcuni dettagli
Tophost a 10,99

In questo articolo andiamo ad analizzare tecnicamente questo tipo di attacco informatico. Si tratta di un attacco subito, ad esempio, nel 2013 dai siti web del Washington Post, CNN, BBC, Twitter, Viber, Associated Press, Twitter, Viber – e furono soltanto alcuni dei nomi coinvolti.

Cos’è il DNS Spoofing

In sostanza l’attacco in questione permette di associare all’indirizzo internet del sito vittima una pagina web arbitraria, in modo del tutto subdolo e senza che l’utente medio percepisca alcuna differenza: in questo modo la circolazione di notizie false “ufficiali” (fake news), ad esempio, diventa molto agevole per gli attaccanti. Non è forse l’attacco più comune che si possa verificare, anche perchè i DNS imparano a difendersi sempre meglio da questi attacchi, ma è certamente uno dei più noti nella letteratura di sicurezza informatica.

Come funziona nel dettaglio il DNS Spoofing

Il DNS, infatti, si basa su una catena di richieste che permettono di associare, in modo dinamico, veloce e trasparente per l’utente, un nome mnemonico (salvatorecapolupo.it, ad esempio) ad un indirizzo IP (nel mio caso 174.122.126.253): ovviamente questo rappresenta una schematizzazione semplificata dello scenario, visto che ad un IP possono corrispondere più host virtuali, ma per quello che stiamo raccontando in questa sede è più che sufficente fermarsi qui. Questa associazione dominio-IP si basa su una catena di “fiducia” che permette di effettuare dinamicamente questa “traduzione” e di aggiornare un database di record distribuito in rete contenente tutte le richieste, che si trova ad essere inevitabilmente “fragile” in alcuni punti.

Qualcosa di piuttosto simile, all’atto pratico per l’utente che consulta il sito -e molto più subdolo – a quello che avviene quando si verifica il DNS poisoning di cui ho parlato qualche tempo fa. Un sito per visualizzare l’associazione IP dominio (e viceversa) è visibile nel nostro tool IP finder, il quale permette di verificare le associazioni IP con dominio (e viceversa).

Rischi del DNS Spoofing

La cosa in parte incredibile di questo tipo di attacchi, che possono sia rendere inaccessibile molti dei siti web più famosi che redirezionarne subdolamente il traffico verso portali simili controllati dagli attaccanti, è che si ottengono facendosi fornire dagli admin dei vari “anelli” della catena, in maniera fraudolenta, le credenziali di accesso. Nessun attacco diretto mediante i canali HTTP o FTP, nessuna modifica al codice, nessun attacco sul database del sito: basta manipolare in un qualsiasi punto la catena di redirezionamento DNS per ottenere misconfigurazioni, errori sul sito o peggio redirect a siti “ombra” con contenuti controllabili direttamente dagli hacker.

A tal proposito si segnala la possibilità per gli utenti che registrano un sito (o più precisamente un nome di dominio) di avvalersi del registry lock, il quale non consente di modificare automaticamente la configurazione del DNS imponendo, di conseguenza, una verifica manuale. Anche in questo caso, in effetti, si tratta di informazioni di pubblico dominio disponibili ricorrendo, ad esempio, a questa pagina digitando il nome del dominio di cui vogliamo sapere se esista un registry lock attivo o meno.

Se non esiste (e ce ne accorgiamo dalla presenza dei record con valore “serverDeleteProhibited”, “serverTransferProhibited” e/o “serverUpdateProhibited”), la catena di richieste DNS appena citata è utilizzabile per sfruttare questa singolare vulnerabilità del sistema internet.

Ti piace questo articolo?

0 voti

Su Trovalost.it puntiamo sulla qualità dei contenuti da quando siamo nati: la tua sincera valutazione può aiutarci a migliorare ogni giorno.