Cerca nel blog

2008/07/29

La madre di tutte le falle informatiche risolta in segreto: siete ancora a rischio?

Cospirazioni reali: la falla nel DNS turata segretamente


L'articolo è stato aggiornato dopo la pubblicazione iniziale.

Sei mesi fa, un ricercatore, Dan Kaminski della società di sicurezza informatica IOActive, ha scoperto un difetto nel funzionamento del DNS o Domain Name System: il sistema distribuito che, in estrema sintesi, smista il traffico di Internet e che quando digitate un nome di un sito lo traduce in una coordinata numerica (l'indirizzo IP) che indica dove si trova su Internet quel sito e permette quindi di raggiungerlo.

Il difetto permetteva di alterare il funzionamento del DNS in modo da fornire agli utenti delle "traduzioni" sbagliate e quindi far credere agli utenti di star visitando un sito fidato, per esempio la propria banca, mentre in realtà stavano visitando il sito-trappola, visivamente identico, di un aggressore.

La falla era potenzialmente devastante: minava alla base la fiducia nei sistemi di Internet e, come dice Kaminski, permetterebbe di prendere il controllo di Internet in dieci secondi. E' stato quindi compiuto in gran segreto uno sforzo coordinato fra i più grandi nomi del mercato informatico per turarla prima che diventasse di dominio pubblico e ne approfittassero i vandali e i criminali della Rete.

Non si tratta di un errore di programmazione di uno specifico programma, ma di una vulnerabilità insita nelle specifiche di funzionamento del DNS: praticamente tutti i programmi di gestione del DNS hanno (o avevano) questa stessa falla proprio perché seguono le specifiche tecniche. Tutti i più diffusi sistemi operativi e quasi tutti i provider erano vulnerabili: l'elenco stilato dal CERT per descrivere il problema è sterminato e contiene i nomi più in vista del settore: 3com, Alcatel-Lucent, Apple, AT&T, Belkin, Cisco, D-Link, Debian, FreeBSD, Fujitsu, Gentoo, Hewlett-Packard, IBM, Internet Systems Consortium, Mandriva, Microsoft, Novell, OpenBSD, Red Hat, Slackware, Sun Microsystems, SUSE, Ubuntu, ZyXEL, giusto per citarne qualcuno.

La vulnerabilità, oltretutto, era gravissima: permetteva a un aggressore di sostituirsi perfettamente a un sito fidato, assumendone in tutto e per tutto l'identità, beffando antivirus, antispyware, firewall e ogni altra misura di sicurezza tradizionale. Roba da mettere in ginocchio il mercato del commercio elettronico e paralizzare le aziende che dipendono sempre più dai servizi di Internet.

Il 31 marzo scorso, sedici esperti di sicurezza da tutto il mondo si sono radunati in gran segreto presso il campus di Microsoft, a Redmond, per decidere la strategia da adottare per evitare un vero e proprio disastro informatico: tenere segreta la natura della falla e coordinarsi (anche fra concorrenti) per distribuire simultaneamente la patch che correggeva il problema.

Praticamente tutti i sistemi operativi, e quindi tutti gli utenti e tutti i provider di accesso a Internet, devono applicare una o più patch al proprio software di gestione del DNS o passare a una versione aggiornata.

La segretezza non è durata a lungo, nonostante il numero ristrettissimo di persone a conoscenza del problema (complottisti, prendete nota): una delle società di sicurezza coinvolte, la Matasano Security, ha pubblicato per errore lo spiegone, che trovate in copia qui, il 21 luglio, tredici giorni dopo l'annuncio pubblico dell'esistenza della falla, dato senza dettagli e con preghiera di non discuterne pubblicamente. L'ha ritirato subito, con tante scuse, ma ormai il danno è fatto (complottisti, prendete nota anche di questo).

Ai primi di luglio, praticamente tutti i principali produttori di software (tranne Apple per OS X Server) hanno distribuito un aggiornamento dei propri prodotti che risolve la falla, per cui se avete l'aggiornamento automatico del vostro Windows, Mac o Linux, avete già fatto il vostro dovere per blindarvi. Il problema sta principalmente nelle aziende e nei provider di accesso a Internet, che per ragioni tecniche talvolta hanno esitato a installare un aggiornamento così radicale, ma chiunque abbia o gestisca un domain name server deve mettersi a posto. Presso Doxpara trovate un test (basta cliccare su Check My DNS) per sapere se il vostro provider è già a posto. Se non lo è, potete ricorrere a OpenDNS.

Nel frattempo sono già spuntate le prime forme di attacco basate su questa falla, per cui non c'è tempo da perdere. I più curiosi possono godersi Evilgrade, il video dimostrativo pubblicato da Infobyte che usa questa falla per spacciare falsi aggiornamenti dei programmi più diffusi.

Fonti: The Register, Doxpara.com, Cgisecurity, The Inquirer, Wired, BBC.

Nessun commento: