skip to main | skip to sidebar
24 commenti

La madre di tutte le falle informatiche risolta in segreto: siete ancora a rischio?

Cospirazioni reali: la falla nel DNS turata segretamente


L'articolo è stato aggiornato dopo la pubblicazione iniziale.

Sei mesi fa, un ricercatore, Dan Kaminski della società di sicurezza informatica IOActive, ha scoperto un difetto nel funzionamento del DNS o Domain Name System: il sistema distribuito che, in estrema sintesi, smista il traffico di Internet e che quando digitate un nome di un sito lo traduce in una coordinata numerica (l'indirizzo IP) che indica dove si trova su Internet quel sito e permette quindi di raggiungerlo.

Il difetto permetteva di alterare il funzionamento del DNS in modo da fornire agli utenti delle "traduzioni" sbagliate e quindi far credere agli utenti di star visitando un sito fidato, per esempio la propria banca, mentre in realtà stavano visitando il sito-trappola, visivamente identico, di un aggressore.

La falla era potenzialmente devastante: minava alla base la fiducia nei sistemi di Internet e, come dice Kaminski, permetterebbe di prendere il controllo di Internet in dieci secondi. E' stato quindi compiuto in gran segreto uno sforzo coordinato fra i più grandi nomi del mercato informatico per turarla prima che diventasse di dominio pubblico e ne approfittassero i vandali e i criminali della Rete.

Non si tratta di un errore di programmazione di uno specifico programma, ma di una vulnerabilità insita nelle specifiche di funzionamento del DNS: praticamente tutti i programmi di gestione del DNS hanno (o avevano) questa stessa falla proprio perché seguono le specifiche tecniche. Tutti i più diffusi sistemi operativi e quasi tutti i provider erano vulnerabili: l'elenco stilato dal CERT per descrivere il problema è sterminato e contiene i nomi più in vista del settore: 3com, Alcatel-Lucent, Apple, AT&T, Belkin, Cisco, D-Link, Debian, FreeBSD, Fujitsu, Gentoo, Hewlett-Packard, IBM, Internet Systems Consortium, Mandriva, Microsoft, Novell, OpenBSD, Red Hat, Slackware, Sun Microsystems, SUSE, Ubuntu, ZyXEL, giusto per citarne qualcuno.

La vulnerabilità, oltretutto, era gravissima: permetteva a un aggressore di sostituirsi perfettamente a un sito fidato, assumendone in tutto e per tutto l'identità, beffando antivirus, antispyware, firewall e ogni altra misura di sicurezza tradizionale. Roba da mettere in ginocchio il mercato del commercio elettronico e paralizzare le aziende che dipendono sempre più dai servizi di Internet.

Il 31 marzo scorso, sedici esperti di sicurezza da tutto il mondo si sono radunati in gran segreto presso il campus di Microsoft, a Redmond, per decidere la strategia da adottare per evitare un vero e proprio disastro informatico: tenere segreta la natura della falla e coordinarsi (anche fra concorrenti) per distribuire simultaneamente la patch che correggeva il problema.

Praticamente tutti i sistemi operativi, e quindi tutti gli utenti e tutti i provider di accesso a Internet, devono applicare una o più patch al proprio software di gestione del DNS o passare a una versione aggiornata.

La segretezza non è durata a lungo, nonostante il numero ristrettissimo di persone a conoscenza del problema (complottisti, prendete nota): una delle società di sicurezza coinvolte, la Matasano Security, ha pubblicato per errore lo spiegone, che trovate in copia qui, il 21 luglio, tredici giorni dopo l'annuncio pubblico dell'esistenza della falla, dato senza dettagli e con preghiera di non discuterne pubblicamente. L'ha ritirato subito, con tante scuse, ma ormai il danno è fatto (complottisti, prendete nota anche di questo).

Ai primi di luglio, praticamente tutti i principali produttori di software (tranne Apple per OS X Server) hanno distribuito un aggiornamento dei propri prodotti che risolve la falla, per cui se avete l'aggiornamento automatico del vostro Windows, Mac o Linux, avete già fatto il vostro dovere per blindarvi. Il problema sta principalmente nelle aziende e nei provider di accesso a Internet, che per ragioni tecniche talvolta hanno esitato a installare un aggiornamento così radicale, ma chiunque abbia o gestisca un domain name server deve mettersi a posto. Presso Doxpara trovate un test (basta cliccare su Check My DNS) per sapere se il vostro provider è già a posto. Se non lo è, potete ricorrere a OpenDNS.

Nel frattempo sono già spuntate le prime forme di attacco basate su questa falla, per cui non c'è tempo da perdere. I più curiosi possono godersi Evilgrade, il video dimostrativo pubblicato da Infobyte che usa questa falla per spacciare falsi aggiornamenti dei programmi più diffusi.

Fonti: The Register, Doxpara.com, Cgisecurity, The Inquirer, Wired, BBC.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati manualmente da un moderatore a sua discrezione: è scomodo, ma è necessario per mantenere la qualità dei commenti e tenere a bada scocciatori, spammer, troll e stupidi.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui e/o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (24)
Questo commento è stato eliminato dall'autore.
Paolo, sei sempre utilissimo: ho appena controllato i miei DNS col sito e ho scoperto che non ero sicuro. Sono passato all'Open DNS e ora tutto sembra funzionare bene.

Grazie! Adesso vado in giro per l'ufficio a fare lo spaccone esperto di informatica: "Ma tu hai controllato i tuoi server DNS?" LOL
Scusa se approfitto della tua competenza: io ho appena cambiato i miei DNS, poi ho fatto il check test su Doxpara.
Mi è apparso questo messaggio, per me misterioso:
Your name server, at ...*, appears to be safe, but make sure the ports listed below aren't following an obvious pattern (:1001, :1002, :1003, or :30000, :30020, :30100...).

Non so cosa fare!
Preciso: ho un'adsl con Alice, sono collegata al modem con un cavo ethernet, e ho Windows Xp.
Ho anche un Mac, devo andare a verificare...
"Non si tratta di un errore di programmazione di uno specifico programma, ma di una vulnerabilità insita nelle specifiche di funzionamento del DNS: tutti i programmi di gestione del DNS hanno (o avevano) questa stessa falla proprio perché seguono le specifiche tecniche. Tutti i sistemi operativi e tutti i provider erano vulnerabili:"

in realtà alcuni server DNS sono sicuri:

"Security
I love this quote from the qmail security guarantee page: "Move separate functions into mutually untrusting programs...these programs don't even trust each other." Sound principle that also applies to djbdns. dnscache, tinydns, and walldns run as dedicated non-root UIDs inside chroot jails. dnscache is immune to cache poisoning. tinydns and walldns never cache information, nor do they support recursion. "

http://www.tinydns.org/

Note that djbdns is not subject to the DNS vulnerability announced July 8. From the CERT Advisory: "Daniel J. Bernstein is credited with the original idea and implementation of randomized source ports in the DNS resolver."

Il povero Bernstein fu preso in giro dal 2001 per quella sua ossessione.

http://cr.yp.to/djbdns/forgery-cost.txt

Bè, pare avesse ragione.
Grazie None, in effetti nell'elenco del CERT alcuni software erano indicati come non vulnerabili, ma pensavo si trattasse di software che era stato già patchato poco prima. Ottima dritta, ho corretto l'articolo.
@ patrizia: devi controllare che i numeretti scritti sotto, in fondo alla finestrella del test, NON siano in progressione regolare, come è invece nell'esempio. E' un po' criptica come indicazione, in effetti.
Cmq la faccenda sa molto di Matrix: in pratica, potrebbe essere che io ora sto scrivendo su un finto blog di un finto attivissimo e il test del DNS sia finto pure lui, tutto per carpirmi i dati della carta di credito.

Paolo, controlla bene la grammatica, a volte unico baluardo contro il phisihing ;-)

PS vi ricordate lo Squipitari Virus?

"In questa momenta voi avere ricevuto "virus albanese".

Siccome noi nela Albania no ha esperienza di softuer

e programmaziona, questo virus albanese funziona su principio

di fiducia e cooperazione.

Allora, noi prega voi adesso cancela tutti i file di vostro ar disc

e spedisce questo virus a tutti amici di vostra rubrica.

Grazia per fiducia e cooperazione. "

Esisteva anche l'antivirus... A volte certi messaggi spam sono scritti in questo stile...
Complimenti Paolo, ottimo articolo come sempre. Avevo già letto qualcosa ma non ne avevo capito la portata. Tnx!

P.S. Cmq io uso il software del paranoico Bernstein ;-)
Se penso al rischio corso dall'intera rete... brrr.
ma quindi se il server dns che uso è ok ( test con doxpara ) in automatico tutte le macchine che usano questo dns sono "sicure" anche se non hanno fatto gli ultimi aggiornamenti automatici del sistema operativo ?
volevo solo precisare che i numeretti nel test non devono seguire alcuno schema affinchè il server sia sicuro:

ad esempio 1024,1536,3072,4608

è uno schema a , a+(a/2) , 3a , 3a+(3a/2)

comunque ha ragione markogts, anche doxPara in realtà è una copia, tutta l'internet che navighiamo è una copia di quella vera ed ora è tutto in mano ai cospiratori :D
Per caso è questa la patch che ha mandato in palla ZoneAlarm su Windows?
sì, almeno stando a Punto Informatico. Infatti mi sono sorpreso quando Paolo ha scritto l'articolo su ZA impostandolo come una magagna di Windows, senza parlare dellla sua origine.Povero zio Bill :)
Ho eseguito il check su DoxPara. A quanto pare i DNS Telecom non sono sicuri.
Amici esperti mi hanno detto che sarebbe utile anche aggiornare il firmware del router, cosa che ho fatto anche se non ne ho trovato uno recentissimo. Oppure non usare il router come cache DNS.
Scusate, ma sto sbattendo la testa su cose che forse ai più apparirarnno ovvie. Io ho un router firewall con il DHCP disabilitato, per permettere il forwarding delle porte, (altrimenti emule non funziona). Di conseguenza, SE HO BEN CAPITO, i server DNS devo impostarli direttamente sul computer, e non sul router, giusto?

Cmq confermo che ho fatto i test sul sito consigliato da Paolo e sia a casa che in ufficio mi dava server non sicuro. Sono passato all'OpenDNS. Speriamo bene.
Pure io sto navigando con Alice Telecom e DoxPara mi dice che è tutto a posto; i DNS sono sicuri e le porte listate non seguono nessun pattern ovvio!

(Uso i DNS assegnati automaticamente al momento della connessione)
Avevo fatto un controllo (gestisco due DNS) e ho visto che i DNS di Debian erano a poosto da almeno un anno (bind9).
L'idea di non usare porte predicibili è un'idea affermata do un bel po.
Ottimo articolo.

Giovanni
Bravo Paolo e bravi commentatori come sempre. Ma siamo sicuri che OpenDNS sia tutto rose, fiori e filantropia? Se googlate in giro si trovano diverse critiche (lontananza dei servers che sono oltroceano, tracciamento della navigazione degli utenti)... a meno che siano state sparse dai complottisti! :-D
Beh, ffrancesco, meglio Opendns che DNS insicuri e magari sostituiti da chissà chi...
@Markogts:
Cmq la faccenda sa molto di Matrix: in pratica, potrebbe essere che io ora sto scrivendo su un finto blog di un finto attivissimo e il test del DNS sia
finto pure lui, tutto per carpirmi i dati della carta di credito.


Ma no, tu ora stai scrivendo su un finto blog di un finto Attivissimo che ha scritto un finto articolo di finta sicurezza su una finta falla macroscopica... capito? Problema risolto!

p.s.: mi sa che l'unica cosa vera nel ragionamento è la finta sicurezza...
Secondo il test, i server DNS di Wind/Libero Infostrada non sono patchati.
Ma non tornero' ad OpenDNS, che avevo rabbiosamente espulso dal mio router quando ho scoperto (l'acqua calda) che, per esempio, mi ammannivano versioni customizzate di siti come Google (guarda caso proprio un motore di ricerca), ufficialmente per rendere piu' spedita la navigazione, in pratica per fare harvesting di dati interessanti. Se non e' DNS poisoning questo...
Inizia la caccia a un DNS pulito.
Questa falla era già conosciuta nel 2001
http://cr.yp.to/djbdns/forgery-cost.txt
No, non è DNS poisoning, è data harvesting. eh eh...
A me il test a casa ha dato DNS primario Libero sicuro, il secondario no, col risultato che facendo il test a più riprese il test il responso era altalenante. Risolto impostando a mano solo il DNS sicuro. Dovrò ricordarmi di ricontrollare tra qualche tempo...