Categorie
Networking News Tips & Tricks

Dns: attenti al man-in-the-middle

Un ricercatore di sicurezza argentino ha da poco pubblicato uno strumento “pronto da usare” che prende di mira i meccanismi di aggiornamento di Java, Mac OS X, OpenOffice.org, iTunes, WinZip ed altri software sfruttando tecniche di attacco “man-in-the-middle” come quelle rese possibili poggiando sulle vulnerabilità dei servizi DNS, recentemente messe a nudo.

Gli attacchi dell'”uomo in mezzo” ovvero “man-in-the-middle attacks” consentono all’aggressore di leggere, inserire o modificare a piacere i messaggi scambiati tra due interlocutori senza che nessuno di essi sia in grado di sapere se il collegamento sia stato compromesso.

Il toolkit, sviluppato da Francisco Amato (ricercatore presso Infobyte Security Research), nella sua versione iniziale, è capace di emulare l’applicazione di un aggiornamento fasullo per i vari software presi di mira. Un video dimostrativo illustra come venga utilizzato il codice exploit per la vulnerabilità DNS (recentemente prodotto da H.D. Moore) con lo scopo di modificare il server utilizzato per il download degli aggiornamenti Java sostituendolo con uno “maligno”. A questo punto, l’aggressore può inviare codice dannoso sul sistema del malcapitato.

La scorsa settimana molti codici exploit sono stati rilasciati, dopo la notizia della scoperta della vulnerabilità resa da Dan Kaminsky. Uno dei codici maligni, in particolare, permette non solo di manipolare i record relativi ad uno specifico indirizzo Internet ma offre anche la possibilità di modificare completamente la corrispondenza tra indirizzo IP ed URL mnemonico sui server DNS vulnerabili. Secondo quanto dichiarato dal ricercatore H.D. Moore ai media statunitensi basterebbero appena un paio di minuti per “avvelenare” la cache di un server DNS lasciato ancora esposto alla vulnerabilità.

Per verificare che il vostro server DNS non sia affetto dalla vulnerabilità, è sufficiente applicare il suggerimento precedentemente illustrato in questa notizia.
Altre informazioni sulla problematica, sono reperibili qui.

Categorie
Networking News Tips & Tricks Trucchi Registro

Mettere alla prova il server DNS in uso

Come riportato dall’Internet Storm Center (ISC) di SANS sarebbe già in circolazione almeno due codici exploit funzionanti in grado di attaccare la vulnerabilità presente nelle varie implementazioni del servizio DNS (ved. queste notizie per ottenere maggiori informazioni sulla problematica).

Secondo il ricercatore HD Moore uno dei due codici è particolarmente efficace ed è quindi da ritenersi più pericoloso. Al momento, il codice non riuscirebbe ad intervenire sulla cache ma è in grado di verificare il timeout impostato ed attendere la scadenza per effettuare una modifica.

Il tool disponibile a questo indirizzo si propone di verificare se il resolver DNS in uso possa essere o meno affetto dalla vulnerabilità recentemente portata alla luce da Dan Kaminsky ed oggetto, in questi giorni, di continue discussioni.
Al resolver DNS indicato viene assegnata la valutazione “good”, “fair” oppure “poor” a seconda del numero di porte differenti utilizzate durante una serie di interrogazioni effettuate consecutivamente.
In ambiente Windows, è possibile utilizzare (da Prompt dei comandi) l’istruzione nslookup -type=txt -timeout=30 porttest.dns-oarc.net per controllare il resolver DNS in uso mentre, nel caso di sistemi Unix-like, dig +short porttest.dns-oarc.net TXT.
Per verificare DNS specifici, è sufficiente impiegare il comando nslookup -type=txt -timeout=30 porttest.dns-oarc.net IP-del-server nel caso di Windows; dig @IP-del-server +short porttest.dns-oarc.net TXT, nel caso di sistemi Unix/Linux.