Una recente ricerca del Georgia Institute of Technology, mostra che il numero di rogue DNS cresce negli ultimi tempi in modo preoccupante, e soprattutto che i siti malintenzionati a cui gli utenti vengono diretti, sono sempre più spesso del tutto simili a quelli originali. I tempi in cui si era diretti verso siti visibilmente contraffatti, carichi di pubblicità e/o di codice malevolo, volgono dunque al termine.
Questa nuova frontiera dell’hacking, induce i malcapitati utenti a credere di trovarsi nel sito giusto, e quindi ad inserire password e altri dati sensibili, esponendosi così a forti rischi, anche di natura economica: pensiamo a ebay, a Paypal, all’home banking. Ma come funziona esattamente il trucco?
Il server DNS, solitamente fornito dal nostro ISP, consente di accedere ai contenuti che c’interessano attraverso l’inserimento di URL facilmente memorizzabile (tipo www.appuntidigitali.it), invece che usando l’indirizzo IP del server su cui il sito che c’interessa è ospitato (151.1.244.60 per AD). Il server DNS ospita quindi un database in cui ad ogni URL è associato un indirizzo IP. Un server DNS malevolo, è invece impostato per associare siti contraffatti a URL ritenuti affidabili.
La prevenzione di questo rischio, a cui sono per ora esposti i soli utenti di sistemi Windows, consiste come sempre nell’uso di antivirus/antispyware aggiornati – ce ne sono di ottimi, anche gratuiti – e, ovviamente, nell’accesso al sistema con un account user e non administrator, particolarmente consigliato agli utenti meno smaliziati, per evitare che un’infezione possa causare danni gravi al sistema.
cioè, non ho capito, esiste un malware che ti cambia le impostazioni di connessione e ti sostituisce il server DNS con un altro, malevolo? Roba da crimine organizzato.
perché solo windows? gli altri sistemi non risolvono i dns? :)
Esattamente. Da quel momento in poi, qualunque sito tu visiti vieni redirezionato verso siti che ti infettano il PC.
No, tutti i computer usano il DNS. Il punto è che solo Windows è affetto in modo massiccio da malware e virus che hanno come effetto quello di modificarne le impostazioni.
ah per quello. penavo si parlasse di mettere la password su un sito fasullo…
La cosa che mi spaventa è che a questo tipo di attacchi potrebbero essere soggetti anche buona parte dei router domestici…
http://punto-informatico.it/p.aspx?i=2162171
Mah, a me pare pericoloso pure se uno usa MacOS oppure un *NIX. Se mi collego all’home banking e do i miei dati a un sito che mi fa un attacco MITM, non c’è differenza tra un OS e l’altro. L’attaccante ha vinto comunque. E l’antivirus dovrebbe incorporare un controllo specifico di autenticità dei siti web, anche se non capisco in che maniera.
Probabilmente l’unica vera difesa è usare un DNS proxy sul PC, istruito per interrogare solo il DNS del provider o DNS primarii. O fare svolgere lo stesso ruolo al router, con le stesse stringenti regole.
A quanto pare è ora di rendere i filtri anti pishing veramente efficaci.. se non erro ora guardano solo l’url, bisognerebbe ogni volta andare a controllare l’ip da una lista online in continuo aggiornamento e vedere se corrisponde con quello originale.
Ma basterebbe anche tenere d’occhio l’ip dei dns e controllare che non cambi da antivirus; anche se i dns sono memorizzati sul router si sa comunque quando un browser(ad esempio) fa richieste al dns.
Certo che è pericoloso anche per chi usa OSX, il punto è che il cambiamento di DNS viene eseguito da malware/virus che attaccano solo Windows.
Ok, non avevo capito.
L’articolo AP parla di rogue DNS ed io ho pensato a DNS su Internet che forniscono indirizzi IP differenti da quelli registrati per un certo nome di dominio. E io mi chiedevo come mai dovrei andare a chiedere a un bugiardo di dirmi la verità quando ho la verità a portata di domanda.
Invece stiamo parlando di malware specifici per piattaforma windows che magari vanno a scrivere indirizzi direttamente nel file hosts di windows oppure sostituiscono i DNS predefiniti nelle impostazioni delle varie interfacce di rete.
Va da se che in questo caso le macchine con windows sono più soggette, peggio se non dotate di firewall che si renda conto di simili (pericolose!) modifiche.
Queste cose su un normale *NIX non si fanno tutti i momenti ed un utente normale non le fa e basta, sono compito dell’utente amministratore.
L’abitudine di lavorare in windows con un utente con facoltà di amministratore è, secondo me, l’imputato principale di una simile tendenza.
E il brutto è che purtroppo lo faccio pure io :-(
Il fatto è che per un utente un minimo esperto utilizzare il sistema come administrator è indispensabile. Starebbe a MS implementare un sistema che consenta un uso tranquillo della macchina anche in modalità standard user. Certo che se la risposta è l’UAC di Vista, stavamo meglio prima…
Un paio di cose non mi sono chiare:
1) Quando sono su un sito, sulla barra degli indirizzi di MS IExplorer “vedo” i dettagli. Esempio, in questo momento (copia e incolla) è: http://www.appuntidigitali.it/900/dns-fasulli-sempre-di-piu-sempre-piu-pericolosi/
2) In aggiunta, sul mio PC ho attivato SiteHound (di FireTrust) che dovrebbe segnalare l’autenticità del sito. In questo momento indica: “You are at:appuntidigitali.it”.
3) In conclusione, posso essere tranquillo?
4) Esistono sw che permettono di verificare il classico indirizzo di quattro cifre (esempio: 157.212.145.144 o simili) del sito visitato in un determinato istante?
1) Quando sei vittima di DNS malevoli sulla barra di IE vedi l’indirizzo giusto;
2) Sitehound è un valido aiuto, ma non è detto che un malware non possa metterlo fuori causa;
Come diceva la pubblicità, prevenire è meglio che curare. Usare account “user”, proteggersi con antivirus, firewall etc e impostare per la normale navigazione DNS di terze parti come OpenDNS sono buone misure preventive. Mi permetto anche di consigliare Firefox come browser, in quanto meno esposto a infezioni tramite siti malintenzionati, specie se “condito” con appositi addon:
http://www.p2pforum.it/forum/archive/index.php/t-194397.html