Nei giorni in cui scriviamo questo articolo abbiamo notato un grande fermento riguardo al mondo degli attacchi sui sistemi DNS.

http://isc.sans.org/presentations/dnspoisoning.php

Solitamente quando si parla di software DNS viene in mente Bind che fa da riferimento in questo campo e che ha delle caratteristiche che gli attaccanti ricercano: è largamente usato, sono attive in rete versioni eterogenee (per lo meno la 4, la 8 e la 9), ha un codice complesso ed è largamente riconosciuto che è molto difficile da analizzare.

La maggior parte degli attacchi visti negli ultimi giorni però non hanno coinvolto principalmente Bind ed hanno usato la tecnica chiamata poisoning/spoofing, nome che definisce una qualunque tecnica che permetta di cambiare le informazioni del DNS con altre. Pensiamo al caso di un server DNS vittima che viene costretto a risolvere un nome di dominio dal DNS server dell’attaccante ad esempio mandando una mail ad un utente inesistente di quella rete. Questo è il pretesto che permette di introdurre delle informazioni extra nel pacchetto di risposta alla DNS query della vittima e consente di sovrascrivere ad esempio tutte le entry dei domini .com cancellando quelli legittimi responsabili. A questo punto tutti i sistemi della rete vittima usano come risolutore dei nomi dominio (.com) il server DNS dell’attaccante. E’ chiaro che in modalità analoga potrebbero essere modificate le entry di qualsiasi dominio di primo livello (.it, .org, ecc.) Questa tecnica è utilizzabile con sistemi Windows NT o 2000 (fino al SP3) ed è riconducibile ad un incompleto hardening della configurazione; raccomandiamo di settare le chiavi di registro secondo le modalità indicate da Microsoft.

http://support.microsoft.com/default.aspx?scid=kb;en-us;241352
http://support.microsoft.com/kb/316786/EN-US/

Il funzionamento stesso del DNS offre una possibilità di attacco che consiste nel riuscire ad inserire nella cache del DNS una coppia “nome server – indirizzo IP” modificata opportunamente ad esempio con un “man in the middle” (intercettando le comunicazioni delle due parti).

Per la descrizione di un ulteriore variante, si veda http://www.securityfocus.com/guest/17905.

Gli attacchi di questi giorni sono anche dovuti ad una vulnerabilità passata piuttosto inosservata http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-0817 che colpisce alcuni prodotti Symantec.

In caso di attacco riuscito, la compromissione alla riservatezza delle comunicazione verso l’esterno è totale, per esempio può essere letta tutta la posta in uscita. In proiezione futura i rischi sono ancora superiori: pensiamo ad un azienda che si affida al VOIP per comunicare con l’esterno, anche le telefonate sarebbero intercettabili e, spingendoci al limite, anche tutti i messaggi di richiesta di aiuto al Cert o alla Polizia potrebbero essere individuati e neutralizzati dall’attaccante.

Il DNS fa un’attività così importante per il funzionamento dei sistemi che gli attacchi su di esso possono avere conseguenze devastanti. E’quanto basta per inserirlo a pieno titolo negli obiettivi sensibili degli attacchi informatici.