GlobalSign Blog

Conosciuto anche come DNS spoofing, il DNS cache poisoning è un attacco progettato per individuare e poi sfruttare le vulnerabilità che esistono in un DNS, o sistema di nomi di dominio, al fine di attirare il traffico organico da un server legittimo a uno falso.

La minaccia di avvelenamento della cache DNS ha fatto notizia all’inizio di quest’anno in aprile, quando i server DNS del gigante della crittografia MyEtherWallet sono stati dirottati e reindirizzati agli utenti legittimi su un sito web di phishing.

Come risultato dell’avvelenamento della cache, più utenti sono stati ingannati a dare le loro chiavi del portafoglio prima di trasferire le loro criptovalute in un altro portafoglio digitale associato agli hacker. Nel complesso, gli hacker hanno rubato circa centosessantamila dollari di Ethereum prima che il problema fosse identificato e fermato.

Questo è solo un esempio che illustra quanto possa essere pericoloso l’avvelenamento della cache DNS. Un altro motivo per cui questo tipo di attacco è pericoloso è che può facilmente diffondersi da un server DNS all’altro.

In questo articolo, tratteremo l’argomento di come funziona l’avvelenamento della cache DNS e poi alcune soluzioni che puoi applicare per fermarlo se mai dovesse accadere a te.

Ogni volta che il tuo browser contatta un nome di dominio, deve prima contattare il server DNS.
I server dei nomi di dominio (DNS) sono l’equivalente di Internet di un elenco telefonico. Mantengono un elenco di nomi di dominio e li traducono in indirizzi IP (Internet Protocol).

Questo è necessario perché, anche se i nomi di dominio sono facili da ricordare per le persone, i computer o le macchine, accedono ai siti web in base agli indirizzi IP.

Il server risponderà quindi con almeno un indirizzo IP (ma di solito più) per il tuo computer per raggiungere il nome di dominio. Una volta che il tuo computer si connette all’indirizzo IP, il DNS converte il nome del dominio in un indirizzo IP che il tuo computer può leggere.

In questo momento, il tuo provider di servizi Internet sta eseguendo più server DNS, ognuno dei quali memorizza (o salva) le informazioni da altri server. Anche il router Wi-Fi che hai in casa agisce essenzialmente come un server DNS, in quanto memorizza le informazioni dai server del tuo ISP.

Una cache DNS viene “avvelenata” quando il server riceve una voce errata. Per mettere questo in prospettiva, può accadere quando un hacker ottiene il controllo di un server DNS e poi cambia le informazioni in esso.

Per esempio, possono modificare le informazioni in modo che il server DNS dica agli utenti di cercare un certo sito web con un indirizzo sbagliato. In altre parole, l’utente inserisce il nome “corretto” del sito web, ma poi viene inviato all’indirizzo IP sbagliato, e in particolare, a un sito web di phishing.

Prima abbiamo detto che una delle ragioni per cui l’avvelenamento della cache DNS è pericoloso è la velocità con cui può diffondersi da un server DNS all’altro. Questo avviene se e quando più fornitori di servizi internet ricevono le loro informazioni DNS dal server controllato dagli hacker, il che si traduce nella diffusione della voce DNS ‘avvelenata’ a quegli ISP per essere messa in cache.

Da quel punto in poi, può diffondersi ad altri server DNS e i router domestici, così come i computer cercheranno la voce DNS solo per ricevere la risposta sbagliata, con il risultato che sempre più persone diventano vittime dell’avvelenamento. Solo una volta che la cache avvelenata è stata cancellata su ogni server DNS interessato, il problema sarà risolto.

Come proteggersi dall’avvelenamento della cache DNS

Uno degli aspetti complicati dell’avvelenamento della cache DNS è che sarà estremamente difficile determinare se le risposte DNS ricevute sono legittime o meno. Nel caso di My Ethereum Wallet, avevano mezzi molto limitati per impedire che la situazione si verificasse, e il problema è stato infine risolto dai loro fornitori di server.

Fortunatamente, ci sono ancora una serie di misure che la vostra organizzazione può prendere per evitare che un tale attacco vi accada, quindi non dovreste avere l’impressione che l’avvelenamento della cache DNS sia impossibile o quasi da prevenire.

Per esempio, una cosa che dovreste fare è far configurare i vostri server DNS da un professionista IT in modo che contino molto poco sulle relazioni con altri server DNS. Questo rende molto più difficile per un cyber-criminale utilizzare il proprio server DNS per corrompere i loro obiettivi, il che significa che il vostro server DNS è meno probabile che venga corrotto, e quindi voi (e tutti nella vostra organizzazione) avete meno probabilità di essere reindirizzati a un sito web errato.

Potete inoltre avere i vostri server DNS configurati per memorizzare solo i dati che sono legati specificamente al dominio richiesto e per limitare le risposte alle query per fornire solo informazioni che riguardano anche il dominio richiesto. L’idea è che il server sarà configurato in modo che i servizi richiesti siano gli unici che possono essere eseguiti. Avendo servizi aggiuntivi che non sono richiesti per essere eseguiti sul vostro server DNS, si aumentano notevolmente le probabilità di un attacco.

Si dovrebbe anche garantire che venga utilizzata la versione più recente del DNS. Questo perché le versioni più recenti utilizzeranno funzioni di sicurezza come la randomizzazione delle porte e gli ID delle transazioni che sono crittograficamente sicuri per aiutare a difendersi dagli attacchi di avvelenamento.

Un’altra importante difesa contro l’avvelenamento della cache DNS, come MyEtherWallet ha consigliato in un annuncio dopo l’attacco avvenuto nell’aprile 2018, è cercare il nome della società nella barra degli indirizzi (quindi nel loro caso ‘MyEtherWallet Inc’).
Questo significa che il sito sta utilizzando un certificato EV SSL/TLS. Questo aiuterebbe a prevenire che le persone cadano vittime di un attacco di poisoning, perché si assicurerebbero di non inserire i loro dati personali nel sito di un hacker. Non tutte le aziende usano EV sui loro siti web, quindi questa non è una misura infallibile, ma può essere uno strumento utile quando si cerca di determinare se si è sul sito giusto.

Un certificato SSL/TLS è semplicemente un piccolo file di dati installato su un server web che può legare i dettagli della vostra organizzazione a una chiave crittografica. Dopo che è stato installato, il certificato attiverà il protocollo HTTPS per abilitare una connessione sicura e criptata tra un browser e il tuo server web. Nel caso dei certificati EV SSL/TLS, alcuni di questi dettagli dell’organizzazione, incluso il nome dell’azienda come menzionato sopra, saranno presentati direttamente nell’interfaccia utente del browser.

Conclusione

In sintesi, l’avvelenamento della cache DNS si verifica quando un aggressore sfrutta un server DNS per inviare una risposta DNS falsificata che sarà messa in cache dai server legittimi.

Di conseguenza, gli utenti che visitano il dominio corrotto saranno inviati a un nuovo indirizzo IP che l’hacker ha selezionato, che di solito è un sito web di phishing dannoso dove le vittime possono essere manipolate per scaricare malware o inviare dettagli finanziari o di login.

Attuare i passi sopra descritti aiuterà a difendere la vostra organizzazione dagli attacchi di avvelenamento della cache DNS.

Nota: Questo articolo del blog è stato scritto da un collaboratore ospite allo scopo di offrire una maggiore varietà di contenuti ai nostri lettori. Le opinioni espresse in questo articolo da un autore ospite sono esclusivamente quelle del collaboratore e non riflettono necessariamente quelle di GlobalSign.

Lascia un commento