Coinvolte tutte le implementazioni del servizio di Domain Name System. Da Microsoft a Cisco, i maggiori produttori hanno aggiornato i propri software per ovviare al problema.
Lo US-CERT di concerto con altri esperti di sicurezza sta lanciando l’allarme circa un problema di progettazione che affliggerebbe tutte le implementazioni del servizio DNS (Domain Name System).
Il funzionamento
Con l’obiettivo di evitare la risoluzione ripetuta del medesimo nome a dominio, molti sistemi memorizzano i risultati ricevuti precedentemente all’interno di un’area cache. I dati vengono conservati per un periodo di tempo fissato. Nel caso in cui un aggressore riesca ad inserire indirizzi “fasulli” all’interno della cache, egli può deviare tutto il traffico verso server “maligni”. A questo punto, digitando l’indirizzo di un sito web famoso e ritenuto fidato, l’utente – senza accorgersene – si ritroverebbe reindirizzato su un server amministratore dall’aggressore. Quest’ultimo può così mettere in atto attacchi “phishing” sottraendo password e dati personali.
Il problema risiede nel fatto che le risposte alle query DNS possono essere falsificate. Per questo motivo, i sistemi più moderni impiegano un identificativo univoco (“trasaction ID”) di 16 bit per ogni singola interrogazione.
Se la risposta alla query contiene il corretto “transaction ID” significa che il messaggio proviene dal server giusto. Molti ricercatori hanno però più volte mostrato come errori nell’implementazione del servizio DNS ed, in particolare, nel meccanismo di generazione del numero casuale, possano essere sfruttati per lanciare attacchi (“DNS poisoning”).
L’esperto di sicurezza Dan Kaminsky ha recentemente scoperto una metodologia generale che consente di sferrare efficaci attacchi “DNS poisoning”. Kaminsky ha responsabilmente preferito non rivelare pubblicamente i dettagli della sua indagine sebbene abbia pianificato la presentazione della ricerca in occasione della prossima “Black Hat conference” di Agosto.
Patch “coordinate”
Il ricercatore ha provveduto ad informare tutti i vendor dato che l’attacco andrebbe a buon fine su piattaforme Cisco, Microsoft, Red Hat, Sun e così via. Tutte le aziende coinvolte hanno provveduto a rilasciare versioni aggiornate dei propri software rendendole disponibili, con uno sforzo coordinato, l’8 Luglio scorso.
Tra le migliorie introdotte, c’è la scelta automatica – in modo casuale – di una porta UDP da utilizzare per le varie query DNS.
I server DNS traducono indirizzi “mnemonici” (per esempio, www.01net.it) in indirizzi IP. L’attacco in questione permette ad un malintenzionato di modificare la cache di un server DNS inserendovi dei dati falsi. In questo modo, tutti gli utenti dei sistemi che si appoggiano al DNS attaccato, digitando nel loro browser gli URL di siti web conosciuti, si vedranno reindirizzati altrove – generalmente su pagine contenenti materiale ostile o comunque pericoloso (malware) -.
Amit Klein, CTO di Trusteer, una delle due aziende che hanno riportato alla ribalta la falla nel server DNS di Windows, aveva osservato, qualche tempo fa: “ciò che è particolarmente sorprendente è che il meccanismo alla base della generazione dei ‘transaction ID’ non sia ancora basato sull’utilizzo di algoritmi crittografici di provata e riconosciuta efficacia”.
Il problema è serio e tutti coloro che amministrano un server DNS sono invitati ad installare tempestivamente le patch rese disponibili dai vari produttori.