di  -  martedì 19 Febbraio 2008

Una recente ricerca del Georgia Institute of Technology, mostra che il numero di rogue DNS cresce negli ultimi tempi in modo preoccupante, e soprattutto che i siti malintenzionati a cui gli utenti vengono diretti, sono sempre più spesso del tutto simili a quelli originali. I tempi in cui si era diretti verso siti visibilmente contraffatti, carichi di pubblicità e/o di codice malevolo, volgono dunque al termine.

Questa nuova frontiera dell’hacking, induce i malcapitati utenti a credere di trovarsi nel sito giusto, e quindi ad inserire password e altri dati sensibili, esponendosi così a forti rischi, anche di natura economica: pensiamo a ebay, a Paypal, all’home banking. Ma come funziona esattamente il trucco?

Il server DNS, solitamente fornito dal nostro ISP, consente di accedere ai contenuti che c’interessano attraverso l’inserimento di URL facilmente memorizzabile (tipo www.appuntidigitali.it), invece che usando l’indirizzo IP del server su cui il sito che c’interessa è ospitato (151.1.244.60 per AD). Il server DNS ospita quindi un database in cui ad ogni URL è associato un indirizzo IP. Un server DNS malevolo, è invece impostato per associare siti contraffatti a URL ritenuti affidabili.

La prevenzione di questo rischio, a cui sono per ora esposti i soli utenti di sistemi Windows, consiste come sempre nell’uso di antivirus/antispyware aggiornati – ce ne sono di ottimi, anche gratuiti – e, ovviamente, nell’accesso al sistema con un account user e non administrator, particolarmente consigliato agli utenti meno smaliziati, per evitare che un’infezione possa causare danni gravi al sistema.

13 Commenti »

I commenti inseriti dai lettori di AppuntiDigitali non sono oggetto di moderazione preventiva, ma solo di eventuale filtro antispam. Qualora si ravvisi un contenuto non consono (offensivo o diffamatorio) si prega di contattare l'amministrazione di Appunti Digitali all'indirizzo info@appuntidigitali.it, specificando quale sia il commento in oggetto.

  • # 1
    BrightSoul
     scrive: 

    cioè, non ho capito, esiste un malware che ti cambia le impostazioni di connessione e ti sostituisce il server DNS con un altro, malevolo? Roba da crimine organizzato.

  • # 2
    Tambu
     scrive: 

    perché solo windows? gli altri sistemi non risolvono i dns? :)

  • # 3
    Alessio Di Domizio (Autore del post)
     scrive: 

    Esattamente. Da quel momento in poi, qualunque sito tu visiti vieni redirezionato verso siti che ti infettano il PC.

  • # 4
    Alessio Di Domizio (Autore del post)
     scrive: 

    No, tutti i computer usano il DNS. Il punto è che solo Windows è affetto in modo massiccio da malware e virus che hanno come effetto quello di modificarne le impostazioni.

  • # 5
    Tambu
     scrive: 

    ah per quello. penavo si parlasse di mettere la password su un sito fasullo…

  • # 6
    KabOOm
     scrive: 

    La cosa che mi spaventa è che a questo tipo di attacchi potrebbero essere soggetti anche buona parte dei router domestici…

    http://punto-informatico.it/p.aspx?i=2162171

  • # 7
    Kissakie
     scrive: 

    Mah, a me pare pericoloso pure se uno usa MacOS oppure un *NIX. Se mi collego all’home banking e do i miei dati a un sito che mi fa un attacco MITM, non c’è differenza tra un OS e l’altro. L’attaccante ha vinto comunque. E l’antivirus dovrebbe incorporare un controllo specifico di autenticità dei siti web, anche se non capisco in che maniera.
    Probabilmente l’unica vera difesa è usare un DNS proxy sul PC, istruito per interrogare solo il DNS del provider o DNS primarii. O fare svolgere lo stesso ruolo al router, con le stesse stringenti regole.

  • # 8
    andrea
     scrive: 

    A quanto pare è ora di rendere i filtri anti pishing veramente efficaci.. se non erro ora guardano solo l’url, bisognerebbe ogni volta andare a controllare l’ip da una lista online in continuo aggiornamento e vedere se corrisponde con quello originale.
    Ma basterebbe anche tenere d’occhio l’ip dei dns e controllare che non cambi da antivirus; anche se i dns sono memorizzati sul router si sa comunque quando un browser(ad esempio) fa richieste al dns.

  • # 9
    Alessio Di Domizio (Autore del post)
     scrive: 

    Certo che è pericoloso anche per chi usa OSX, il punto è che il cambiamento di DNS viene eseguito da malware/virus che attaccano solo Windows.

  • # 10
    Kissakie
     scrive: 

    Ok, non avevo capito.
    L’articolo AP parla di rogue DNS ed io ho pensato a DNS su Internet che forniscono indirizzi IP differenti da quelli registrati per un certo nome di dominio. E io mi chiedevo come mai dovrei andare a chiedere a un bugiardo di dirmi la verità quando ho la verità a portata di domanda.
    Invece stiamo parlando di malware specifici per piattaforma windows che magari vanno a scrivere indirizzi direttamente nel file hosts di windows oppure sostituiscono i DNS predefiniti nelle impostazioni delle varie interfacce di rete.

    Va da se che in questo caso le macchine con windows sono più soggette, peggio se non dotate di firewall che si renda conto di simili (pericolose!) modifiche.
    Queste cose su un normale *NIX non si fanno tutti i momenti ed un utente normale non le fa e basta, sono compito dell’utente amministratore.
    L’abitudine di lavorare in windows con un utente con facoltà di amministratore è, secondo me, l’imputato principale di una simile tendenza.
    E il brutto è che purtroppo lo faccio pure io :-(

  • # 11
    Alessio Di Domizio (Autore del post)
     scrive: 

    Il fatto è che per un utente un minimo esperto utilizzare il sistema come administrator è indispensabile. Starebbe a MS implementare un sistema che consenta un uso tranquillo della macchina anche in modalità standard user. Certo che se la risposta è l’UAC di Vista, stavamo meglio prima…

  • # 12
    Alesandro
     scrive: 

    Un paio di cose non mi sono chiare:

    1) Quando sono su un sito, sulla barra degli indirizzi di MS IExplorer “vedo” i dettagli. Esempio, in questo momento (copia e incolla) è: http://www.appuntidigitali.it/900/dns-fasulli-sempre-di-piu-sempre-piu-pericolosi/

    2) In aggiunta, sul mio PC ho attivato SiteHound (di FireTrust) che dovrebbe segnalare l’autenticità del sito. In questo momento indica: “You are at:appuntidigitali.it”.

    3) In conclusione, posso essere tranquillo?

    4) Esistono sw che permettono di verificare il classico indirizzo di quattro cifre (esempio: 157.212.145.144 o simili) del sito visitato in un determinato istante?

  • # 13
    Alessio Di Domizio (Autore del post)
     scrive: 

    1) Quando sei vittima di DNS malevoli sulla barra di IE vedi l’indirizzo giusto;
    2) Sitehound è un valido aiuto, ma non è detto che un malware non possa metterlo fuori causa;

    Come diceva la pubblicità, prevenire è meglio che curare. Usare account “user”, proteggersi con antivirus, firewall etc e impostare per la normale navigazione DNS di terze parti come OpenDNS sono buone misure preventive. Mi permetto anche di consigliare Firefox come browser, in quanto meno esposto a infezioni tramite siti malintenzionati, specie se “condito” con appositi addon:
    http://www.p2pforum.it/forum/archive/index.php/t-194397.html

Scrivi un commento!

Aggiungi il commento, oppure trackback dal tuo sito.

I commenti inseriti dai lettori di AppuntiDigitali non sono oggetto di moderazione preventiva, ma solo di eventuale filtro antispam. Qualora si ravvisi un contenuto non consono (offensivo o diffamatorio) si prega di contattare l'amministrazione di Appunti Digitali all'indirizzo info@appuntidigitali.it, specificando quale sia il commento in oggetto.