mercoledì, Novembre 27, 2024

Protocollo DNS e le sue debolezze

Alessandro Torchia
Alessandro Torchiahttp://www.areanetworking.it
Trent'anni, sistemista Unix, specializzato su Solaris, sistema Operativo di casa Sun. Attualmente lavora come consulente presso una delle aziende sanitarie presenti sul territorio italiano. Certificato Sun SCSA (Solaris Certified System Administrator) e Sun SCNA (Solaris Certified Network Administrator), è responsabile dei sistemi cluster Sun SPARC Midrange, e della Storage Area Network FC presenti nei CED dell'azienda. Attualmente studia per conseguire la certificazione Sun Cluster 3.2 Administrator. In passato ha lavorato in ambito networking presso varie realtà prevalentemente su apparati Cisco e Nortel. Ha frequentato l'Academy CCNA e Fundamentals of Wireless, e cerca di mantenere vive le conoscenze acquisite in quest'ambito, nonostante la sua predilezione per l'ambito sistemistico Unix e la passione per Solaris siano la sua prima scelta.

Si è parlato molto della recente “scoperta” della grave vulnerabilità propria del protocollo DNS. Vulnerabilità causata da un problema di design e che quindi interessa molte, forse tutte le implementazioni software in circolazione.

E’ stato trovato un workaround e le patches sono arrivate in tempi brevi; come al solito mi chiedo chi tra coloro che sono a rischio si è occupato di patchare.
Noi l’abbiamo fatto (tra l’altro grazie a questo ho scoperto cose che ignoravo) e la falla, diciamo, è stata tappata alla buona. La soluzione finale è, comunque, passare a DNSSEC, che per come è stato pensato, non può soffrire del problema del fratello protocollo più anziano.

Parlandone con la mia compagna, che è entrata in tempi recenti nel mondo lavorativo IT, mi ha chiesto di spiegarle, con un esempio, il problema.

E allora le ho risposto, che se ho ben capito io stesso, può immaginare questo:

“Il tuo conto BancoPosta al quale accedi quando hai bisogno di effettuare operazioni, potrebbe essere un bersaglio. Il problema che un attaccante può sfruttare nei DNS è l’avvelenamento della cache. Il nome del sito che normalmente viene risolto a 62.241.4.82, viene cambiato a un’altro dove risiede una copia contraffatta dello stesso. La vittima non se ne accorge facilmente, inoltre le pagine fasulle, hanno links che puntano a url familiari e corrette, a differenza dei siti di pishing, dove ci si accorge della truffa verificando i links e notando che puntano a indirizzi estranei e non conformi alle pagine originali che vorremmo visitare.
Quindi è possibile che non ci si accorga della truffa, o che ci si riesca troppo tardi.”

Con un pò di fantasia si può pensare ad altri attacchi, quindi la situazione è piuttosto tesa, e le continue raccomandazioni a patchare ne sono prova.
Inoltre è uscito l’exploit, cosicchè, chi non è in grado di fabbricarsene uno, può sfruttare questo. E’ contenuto in Metasploit, un tool per penetration testing, IDS e simili.

Qui una descrizione della vulnerabilità: http://www.kb.cert.org/vuls/id/800113

E la pagina dell’ISC, curatori di BIND, contenente l’advisory:

YOU ARE ADVISED TO INSTALL EITHER THE PATCHES, STAYING WITHIN YOUR MAJOR VERSION, (9.5.0-P1, 9.4.2-P1, 9.3.5-P1) OR THE NEW BETA RELEASES (9.5.1b1, 9.4.3b2) IMMEDIATELY.

The patches will have a noticeable impact on the performance of BIND caching resolvers with query rates at or above 10,000 queries per second. The beta releases include optimized code that will reduce the impact in performance to non-significant levels.

Trovate il resto qui: http://www.isc.org/sw/bind/bind-security.php

Articoli correlati

Noleggia una Tesla per il tuo evento ICT!

Categorie