Il DNS Hijacking: quando il Domain Name System diventa un pericolo

Il Domain Name System (DNS) consente agli utenti di inserire nel browser di­ret­ta­men­te gli indirizzi web, più facili da ricordare rispetto agli indirizzi IP numerici, per essere rein­di­riz­za­ti subito al sito cor­ri­spon­den­te. Questo è possibile grazie all’invio diretto della richiesta DNS a un server DNS, che risponde con l’indirizzo IP corretto. La co­sid­det­ta ri­so­lu­zio­ne dei nomi funziona in linea di principio come un elenco te­le­fo­ni­co com­ple­ta­men­te au­to­ma­tiz­za­to: ogni numero cor­ri­spon­de a un de­ter­mi­na­to nome.

Questo sistema è estre­ma­men­te im­por­tan­te per la na­vi­ga­zio­ne quo­ti­dia­na nel World Wide Web, per questo il suo uso per scopi dannosi è così spa­ven­to­so. I cy­ber­cri­mi­na­li possono in­ter­cet­ta­re le richieste del browser e fornire risposte false. L’utente viene quindi in­di­riz­za­to su un sito web fasullo e pro­ba­bil­men­te dannoso, dove il suo computer viene infettato con virus o altro malware o dove l’utente può rivelare in­vo­lon­ta­ria­men­te dati sensibili. Il DNS Hijacking può causare danni con­si­de­re­vo­li.

Ma come funziona questa tecnica e come potete pro­teg­ger­vi? In questo articolo ri­spon­de­re­mo a queste domande.

Questa co­mu­ni­ca­zio­ne con il server è la parte più rischiosa, perché lo scambio di richieste e risposte spesso avviene senza crit­to­gra­fia e si basa sulla fiducia nel sistema. Queste cir­co­stan­ze offrono agli hacker diversi modi per in­ter­cet­ta­re le richieste e rein­di­riz­za­re gli utenti.

I cy­ber­cri­mi­na­li si in­tru­fo­la­no nel router delle loro vittime. Per farlo, sfruttano il fatto che po­chis­si­mi utenti cambiano le cre­den­zia­li dei loro router. In molte famiglie, il router funziona con il nome di accesso e la password con cui il di­spo­si­ti­vo è stato in­stal­la­to. Dato che molti fornitori non si prendono la briga di creare cre­den­zia­li di accesso in­di­vi­dua­li per ogni di­spo­si­ti­vo spedito, gli hacker possono fa­cil­men­te in­fil­trar­si nel relativo software uti­liz­zan­do le in­for­ma­zio­ni pre­de­fi­ni­te.

Lì possono quindi ma­no­met­te­re le im­po­sta­zio­ni DNS e spe­ci­fi­ca­re anche il server DNS preferito. A questo punto, gli hacker non devono fare altro che inserire il proprio server. La ri­so­lu­zio­ne del nome, ovvero la con­ver­sio­ne dell’indirizzo web in un indirizzo IP, è quindi com­ple­ta­men­te nelle mani dei criminali. Ogni volta che un sito web viene aperto, può quindi essere rein­di­riz­za­to a una pagina dannosa.

Questo tipo di attacco colpisce di­ret­ta­men­te il computer dell’utente. Un trojan consente agli hacker di accedere alle im­po­sta­zio­ni DNS del di­spo­si­ti­vo. Windows, ad esempio, consente di inserire di­ret­ta­men­te il server DNS preferito. Gli ag­gres­so­ri ne ap­pro­fit­ta­no e spe­ci­fi­ca­no sem­pli­ce­men­te il proprio server DNS. Teo­ri­ca­men­te, anche gli utenti possono vederlo, ma chi controlla re­go­lar­men­te le im­po­sta­zio­ni DNS del proprio sistema operativo? Anche con questa tecnica, il computer invia le richieste di­ret­ta­men­te al server maligno. In questo modo, ogni apertura di un sito web può essere rein­di­riz­za­ta.

Mentre gli altri due tipi di attacco rientrano nella sfera di influenza dell’utente, un attacco Rogue Hijack non colpisce di­ret­ta­men­te i di­spo­si­ti­vi. In questo caso, l’attacco colpisce e rileva di­ret­ta­men­te un name server esistente, ad esempio quello di un provider Internet. I di­spo­si­ti­vi dell’utente accedono quindi a un server DNS ef­fet­ti­va­men­te corretto, ma che non è più, o almeno in parte, sotto il controllo del fornitore effettivo. Gli hacker mo­di­fi­ca­no di solito alcuni record se­le­zio­na­ti.

Anche se un attacco di questo tipo è molto difficile da ef­fet­tua­re, dato che la maggior parte dei fornitori di name server hanno standard di sicurezza molto elevati, qualora riuscisse per­met­te­reb­be a un ag­gres­so­re di rag­giun­ge­re un numero molto elevato di utenti. Qualsiasi client che utilizza il server DNS manomesso per eseguire la ri­so­lu­zio­ne dei nomi può essere vittima di un attacco di DNS Hijacking.

Nel caso di un attacco man in the middle, l’ag­gres­so­re (il famoso uomo nel mezzo) in­ter­cet­ta i pacchetti di dati durante la co­mu­ni­ca­zio­ne tra client e server. Dato che le richieste DNS spesso non sono crit­to­gra­fa­te, l’hacker può accedervi senza dif­fi­col­tà. Invece del sito web de­si­de­ra­to, l’utente riceve l’indirizzo IP di una pagina web dannosa e il server DNS effettivo pro­ba­bil­men­te non riceverà mai la richiesta.

Il DNS Hijacking rein­di­riz­za gli utenti verso siti web in­de­si­de­ra­ti, ma quali danni può ef­fet­ti­va­men­te causare? Gli utenti possono, ad esempio, essere rein­di­riz­za­ti a siti web dove il loro sistema è infettato con software dannoso. Nella pratica, tuttavia, questa forma di attacco non è molto diffusa o quasi ine­si­sten­te. Le due tecniche del phishing e del pharming invece sono molto più frequenti.

Nel caso del phishing, l’utente finisce sulla replica di un sito web al­tri­men­ti con­si­de­ra­to af­fi­da­bi­le, con lo scopo di iden­ti­fi­ca­re i suoi dati sensibili. L’utente è convinto, ad esempio, di trovarsi sulla homepage della sua banca e inserisce le sue cre­den­zia­li di accesso come di consueto, compresa la password. L’hacker può quindi me­mo­riz­za­re e uti­liz­za­re le in­for­ma­zio­ni per assumere il controllo del conto bancario online dell’utente.

Il phishing funziona anche senza il DNS Hijacking, ad esempio quando gli utenti cliccano su link ma­ni­po­la­ti. La cor­ru­zio­ne del Domain Name System rende questa tecnica ancora più perfida: l’utente può aver fatto tutto cor­ret­ta­men­te, aver inserito l’URL corretto nella barra degli indirizzi del browser o magari aver cliccato su un se­gna­li­bro e venire in­di­riz­za­to comunque al sito web fasullo. A causa dell’elevato livello di fiducia nel DNS, la maggior parte degli utenti non controlla se sono ef­fet­ti­va­men­te sul sito web de­si­de­ra­to o se navigano su una replica fasulla.

Il pharming, d’altra parte, è di solito meno dannoso per l’utente, ma può essere comunque molto utile per l’hacker. Con questo metodo, gli utenti vengono in­di­riz­za­ti a un sito web gremito di annunci pub­bli­ci­ta­ri. Ogni volta che viene aperto questo sito, che al­tri­men­ti non avrebbe alcuno scopo, l’operatore riceve denaro, anche se il sito web viene chiuso im­me­dia­ta­men­te. Il fatturato generato in questo modo, poi, con­flui­sce spesso in altre attività criminali.

Il DNS Hijacking viene uti­liz­za­to sempre più spesso anche da organi ufficiali. Alcuni governi lo usano per censurare Internet, in parte per sedare le posizioni politiche, ma in parte anche per impedire, ad esempio, l’accesso alla por­no­gra­fia. Gli utenti che tentano di accedere a un sito web “con­trol­la­to” saranno rein­di­riz­za­ti a un altro sito web. A dif­fe­ren­za del phishing, questa forma di censura viene di solito segnalata chia­ra­men­te all’utente.

Anche gli stessi provider di Internet si affidano in una certa misura alla tecnica del DNS Hijacking: se un utente tenta di accedere a un indirizzo web che non è re­gi­stra­to nel DNS, viene di solito vi­sua­liz­za­to un messaggio di errore (NXDOMAIN) e non viene caricato alcun sito web. Questo accade spesso quando, ad esempio, si digita un URL sbagliato. Prima che venga mostrato un messaggio di errore, la richiesta passa at­tra­ver­so ogni livello del Domain Name System. Solo quando il livello superiore conferma che ef­fet­ti­va­men­te non esiste nessun record sotto questo indirizzo, il browser riceve la risposta.

È esat­ta­men­te in questo istante che avviene il DNS Hijacking da parte del provider di rete: il messaggio di errore viene in­ter­cet­ta­to e al suo posto viene vi­sua­liz­za­to l’indirizzo IP di un altro sito web. Con questa tecnica, i provider di Internet cercano di rein­di­riz­za­re l’utente verso siti web con molta pub­bli­ci­tà per generare guadagni diretti o per attirare l’at­ten­zio­ne sulle proprie offerte. Anche se questo non causa alcun danno all’utente, la vi­sua­liz­za­zio­ne della pub­bli­ci­tà può comunque essere fa­sti­dio­sa.

Nel DNS Hijacking, le opzioni di pro­te­zio­ne sono varie quanto i metodi di attacco. Per prima cosa dovreste cambiare le cre­den­zia­li del vostro router. Na­tu­ral­men­te, ha senso scegliere una password molto sicura, ma la cosa più im­por­tan­te è non lasciarla ai valori pre­de­fi­ni­ti. Po­chis­si­mi truf­fa­to­ri per­de­ran­no tempo a decifrare la password. Inoltre, è ne­ces­sa­rio ag­gior­na­re il firmware del di­spo­si­ti­vo. I pro­dut­to­ri ri­la­scia­no ag­gior­na­men­ti re­la­ti­va­men­te regolari che colmano le falle di sicurezza.

Per pro­teg­ge­re il PC è ne­ces­sa­rio pro­teg­ger­si dai trojan. Potete farlo con software antivirus o gestendo con at­ten­zio­ne i file in rete. Non dovete mai scaricare file da una fonte sco­no­sciu­ta o dubbia.

Una con­nes­sio­ne VPN può offrire una pro­te­zio­ne ag­giun­ti­va. In questo caso l’utente non sta­bi­li­sce una con­nes­sio­ne diretta con il sito web de­si­de­ra­to, ma lascia che la co­mu­ni­ca­zio­ne avvenga at­tra­ver­so il server di un servizio VPN. In genere, queste con­nes­sio­ni sono inoltre com­ple­ta­men­te criptate. Gli attacchi man in the middle sono quindi pra­ti­ca­men­te im­pos­si­bi­li.

In generale, scet­ti­ci­smo e cautela possono fungere da mezzi pro­tet­ti­vi molto potenti contro altri pericoli su Internet. So­prat­tut­to nel caso di siti web che trattano dati molto sensibili (online banking, online shop, ecc.), si dovrebbe prestare molta at­ten­zio­ne all’au­ten­ti­ci­tà del contenuto. I cer­ti­fi­ca­ti SSL, che potete vi­sua­liz­za­re fa­cil­men­te nel vostro browser, possono fornire im­por­tan­ti indizi al riguardo.

At­tual­men­te si stanno svi­lup­pan­do metodi più sicuri per la ri­so­lu­zio­ne dei nomi. L’obiettivo del DNS over HTTPS e del DNS over TLS è quello di criptare la tra­smis­sio­ne, offrendo pro­te­zio­ne dagli attacchi man in the middle e au­men­tan­do, in generale, la privacy degli utenti. Questa tec­no­lo­gia, tuttavia, non si è ancora affermata come standard per tutti i sistemi.