Il DNS spoofing: come funziona e come pre­ve­nir­lo

La ri­so­lu­zio­ne dei nomi su Internet offre varie pos­si­bi­li­tà di ma­ni­po­la­zio­ne. Una forma di attacco è il DNS spoofing, con cui vengono fal­si­fi­ca­ti gli indirizzi IP. Scoprite come funziona esat­ta­men­te, come si svolge un attacco di questo tipo, quali sono le sue varianti e come pre­ve­nir­lo.

Il Domain Name System, o DNS, è un sistema di­stri­bui­to a livello globale per la con­ver­sio­ne di domini Internet in indirizzi IP. Il DNS traduce un nome di dominio in un indirizzo IP, un processo noto con il termine “ri­so­lu­zio­ne dei nomi”.

Affinché la ri­so­lu­zio­ne dei nomi funzioni, è ne­ces­sa­rio assegnare a ogni terminale l’indirizzo IP di un server DNS. Il terminale indirizza le richieste DNS a questo server, che esegue la ri­so­lu­zio­ne dei nomi e re­sti­tui­sce una risposta. Se su un terminale non è impostato alcun server DNS, viene uti­liz­za­to au­to­ma­ti­ca­men­te quello del router locale.

Il termine generico spoofing significa “inganno” o “fal­si­fi­ca­zio­ne”. Il DNS spoofing descrive vari scenari in cui si verifica una ma­ni­po­la­zio­ne della ri­so­lu­zio­ne dei nomi DNS. Nello specifico viene fal­si­fi­ca­to l’indirizzo IP di un dominio. Il terminale sta­bi­li­sce quindi una con­nes­sio­ne all’indirizzo IP fal­si­fi­ca­to e il traffico di dati viene deviato verso un server fasullo. Ecco un esempio:

Dal momento che la ri­so­lu­zio­ne del nome è un processo in gran parte in­vi­si­bi­le all’utente, dif­fi­cil­men­te la vittima si accorge della ma­ni­po­la­zio­ne. Una ca­rat­te­ri­sti­ca par­ti­co­lar­men­te diabolica del DNS spoofing è che nel browser viene vi­sua­liz­za­to il dominio corretto.

• d1. Per prima cosa il client (ad esempio il browser sul terminale) richiama dal server DNS l’indirizzo IP associato al nome dell’host esempio.com.
• d2. Il client riceve una risposta alla query, che tuttavia contiene un indirizzo IP falso. La con­nes­sio­ne al server legittimo di esempio.com non è stata quindi stabilita.
• h1. Il client effettua invece la richiesta all’host falso che si nasconde dietro l’indirizzo IP fasullo.
• h2. L’host falso re­sti­tui­sce al client un sito ap­pa­ren­te­men­te legittimo. Tuttavia, al dominio fal­si­fi­ca­to manca il cer­ti­fi­ca­to di sicurezza, una ca­rat­te­ri­sti­ca che svela l’attacco.
• (A, B, C): approcci diversi di DNS spoofing: dal client o dal router locale, dalla con­nes­sio­ne di rete, dal server DNS.

Il DNS spoofing è uti­liz­za­to prin­ci­pal­men­te dai ma­lin­ten­zio­na­ti per eseguire attacchi in­for­ma­ti­ci. Questi attacchi di solito mirano a rubare i dati sensibili degli utenti. Il DNS spoofing viene, tuttavia, uti­liz­za­to anche da alcune aziende legittime. Alcuni fornitori di servizi Internet (ISP) hanno uti­liz­za­to il DNS spoofing, ad esempio, per imporre requisiti di censura o per scopi pub­bli­ci­ta­ri.

I criminali uti­liz­za­no il DNS spoofing per compiere attacchi di phishing e pharming. L’obiettivo finale è arrivare ai dati sensibili dell’utente. Il DNS spoofing fa credere alla vittima di trovarsi su un dominio legittimo. La fiducia della vittima nel dominio fasullo viene spesso sfruttata per esporlo a un software dannoso. L’utente installa in­con­sa­pe­vol­men­te questo malware in­fet­tan­do il suo sistema.

La maggior parte degli utenti utilizza, in­con­sa­pe­vol­men­te, il server DNS del proprio fornitore di servizi Internet, che è nor­mal­men­te pre­im­po­sta­to sul router locale. Questo significa che ogni richiesta DNS viene con­trol­la­ta dal provider Internet.

I fornitori di servizi Internet possono, ad esempio, ma­ni­po­la­re in modo mirato le tabelle DNS dell’utente al fine di attuare i requisiti di censura go­ver­na­ti­vi. In molti paesi, ciò impedisce agli utenti di accedere a domini di con­di­vi­sio­ne di file o contenuti por­no­gra­fi­ci. Se l’utente tenta di accedere a uno di questi domini bloccati, viene rein­di­riz­za­to a una pagina di avviso. Questi blocchi possono, tuttavia, essere aggirati fa­cil­men­te uti­liz­zan­do un server DNS che non impone censure.

Lo stesso trucco, ovvero quello di rein­di­riz­za­re l’utente su un altro sito quando accede a de­ter­mi­na­ti domini, viene uti­liz­za­to anche per rac­co­glie­re dati dell’utente per scopi pub­bli­ci­ta­ri. A questo scopo, i provider Internet uti­liz­za­no il DNS hijacking, ad esempio, per rein­di­riz­za­re l’utente su una pagina specifica quando immette domini ine­si­sten­ti o errati. Questa pagina riproduce, ad esempio, annunci pub­bli­ci­ta­ri o crea profili utente, che vengono poi venduti.

Il DNS è una tec­no­lo­gia di base fon­da­men­ta­le per ogni tentativo di con­nes­sio­ne che svolge la ri­so­lu­zio­ne del nome. Il DNS spoofing può quindi influire su ogni singola con­nes­sio­ne del client. In­di­pen­den­te­men­te dal fatto che la vittima acceda a un sito web o invii un’e-mail, se l’indirizzo IP del server in questione è stato fal­si­fi­ca­to, un hacker può accedere ai dati riservati.

Nello specifico, il DNS spoofing comporta i seguenti rischi:

• furto di dati sensibili: mediante attacchi di spear phishing e pharming, i cy­ber­cri­mi­na­li rubano dati sensibili, come le password. Queste tecniche vengono spesso uti­liz­za­te per irrompere in sistemi in­for­ma­ti­ci o ar­chi­tet­ta­re varie truffe.
• Infezione del sistema con malware: la vittima è indotta a in­stal­la­re malware sul proprio sistema, spa­lan­can­do le porte all’ag­gres­so­re per svolgere ulteriori attacchi e ottenere un accesso completo.
• Accesso a un profilo utente completo: i dati personali raccolti vengono quindi venduti o uti­liz­za­ti per ulteriori attacchi di spear phishing.
• Pericolo di minaccia per­si­sten­te: se nel sistema viene impostato un server DNS dannoso, da quel momento in poi viene com­pro­mes­sa ogni co­mu­ni­ca­zio­ne. Anche le risposte DNS che sono state fal­si­fi­ca­te tem­po­ra­nea­men­te possono rimanere nella cache e causare danni nel lungo termine.

Un esempio concreto è l’ondata di attacchi di DNS spoofing che si è ve­ri­fi­ca­ta nella primavera 2020, nel pieno della pandemia COVID19. In questo caso si è trattato di un attacco di router hijacking, in cui un indirizzo IP dannoso per il server DNS viene immesso nel router.

Questo attacco è stato reso possibile da un accesso am­mi­ni­stra­to­re non sicuro al router. La vittima ha im­prov­vi­sa­men­te vi­sua­liz­za­to un av­ver­ti­men­to pre­su­mi­bil­men­te emesso dall’Or­ga­niz­za­zio­ne Mondiale della Sanità che ri­chie­de­va l’in­stal­la­zio­ne immediata di un’app in­for­ma­ti­va sul COVID19. In realtà, il software era un virus trojan. Quando la vittima ha in­stal­la­to in buona fede il trojan, il malware ha frugato nel sistema locale tentando di accedere ai dati sensibili.

Lo scopo era quello di creare un profilo completo che potesse essere uti­liz­za­to in ulteriori attacchi di spear phishing in­di­riz­za­ti alla vittima. I dati raccolti com­pren­de­va­no:

• cookie (browser)
• cro­no­lo­gia del browser
• dati di pagamento (browser)
• dati di accesso salvati (browser)
• dati per la com­pi­la­zio­ne di moduli salvati (browser)
• wallet di crip­to­va­lu­te
• tutti i file di testo sul di­spo­si­ti­vo
• database per l’au­ten­ti­ca­zio­ne a due fattori (2FA)

Le seguenti tre varianti di attacco si ri­fe­ri­sco­no allo schema (A–C) mostrato sopra.

Questa tipologia di attacco di DNS spoofing comporta ma­ni­po­la­zio­ni dannose al di­spo­si­ti­vo locale o al router domestico. La vittima dapprima non si accorge di niente: il di­spo­si­ti­vo si connette nor­mal­men­te al server DNS, ma per i nomi dell’host richiesti vengono re­sti­tui­ti indirizzi IP fal­si­fi­ca­ti.

In questi attacchi, la minaccia persiste fino a quando la ma­ni­po­la­zio­ne non è rimossa. In questi casi, l’ag­gres­so­re ha tuttavia bisogno di un vettore di attacco per eseguire la ma­ni­po­la­zio­ne, che può essere un fattore tecnico, ad esempio la pos­si­bi­li­tà di accedere come am­mi­ni­stra­to­re, una password debole o simili. L’ag­gres­so­re ha anche la pos­si­bi­li­tà di per­sua­de­re la vittima tramite il Social En­gi­nee­ring a ef­fet­tua­re il cam­bia­men­to in buona fede.

In questa forma di attacco di DNS spoofing, noto come “local hijack”, vengono mo­di­fi­ca­te le im­po­sta­zio­ni di rete del di­spo­si­ti­vo locale e l’indirizzo IP del server DNS viene impostato su un valore dannoso.

Il cam­bia­men­to può essere tracciato dalla vittima e fa­cil­men­te annullato. Tuttavia, la ma­ni­po­la­zio­ne avviene spesso in com­bi­na­zio­ne con malware, che può ri­pri­sti­na­re il valore dannoso se alterato dalla vittima.

La maggior parte dei sistemi operativi utilizza un co­sid­det­to file host per con­sen­ti­re la ri­so­lu­zio­ne dei nomi di de­ter­mi­na­ti domini sul sistema locale. Se in questo file viene inserita una voce dannosa, il traffico dati viene rein­di­riz­za­to a un server con­trol­la­to dall’at­tac­can­te.

La ma­ni­po­la­zio­ne è per­ma­nen­te, ma una vittima esperta in materia può scoprirla fa­cil­men­te. Per risolvere il problema è suf­fi­cien­te mo­di­fi­ca­re il file host.

Per im­po­sta­zio­ne pre­de­fi­ni­ta, sul router locale è impostato l’indirizzo IP di un server DNS del fornitore di servizi Internet. In caso di “router hijack”, questo viene so­sti­tui­to da un indirizzo fasullo. L’attacco minaccia l’intero traffico dati che si svolge tramite il router. Poiché di solito in casa o in ufficio il router viene uti­liz­za­to da diversi di­spo­si­ti­vi per stabilire una con­nes­sio­ne, è possibile che diverse parti cadano vittima dell’attacco.

Molti utenti non sono con­sa­pe­vo­li di poter con­fi­gu­ra­re au­to­no­ma­men­te il router e l’attacco non viene scoperto per molto tempo. Quando sorgono dei problemi più avanti, le vittime spesso so­spet­ta­no del proprio di­spo­si­ti­vo e non del router. Vale quindi la pena tenere conto anche di un mal­fun­zio­na­men­to del router quando si ri­scon­tra­no strani disturbi.

Questa tipologia di attacco di DNS spoofing equivale a un attacco “man in the middle”. L’ag­gres­so­re finge di essere il server DNS della vittima e trasmette una risposta dannosa. L’attacco ha successo perché il traffico DNS passa at­tra­ver­so il pro­to­col­lo non crit­to­gra­fa­to User Datagram Protocol (UDP). La vittima non può garantire in alcun modo l’au­ten­ti­ci­tà della risposta DNS.

Altre forme di attacco, come l’ARP spoofing e il MAC spoofing, possono essere uti­liz­za­te come vie d’accesso alla rete locale. L’uso di tec­no­lo­gie di crit­to­gra­fia protegge da molti attacchi man in the middle.

Questa tipologia di attacco di DNS spoofing è diretta contro un server DNS legittimo e può quindi colpire un numero molto elevato di utenti. Si tratta di un attacco so­fi­sti­ca­to in quanto, di solito, è ne­ces­sa­rio superare diversi mec­ca­ni­smi di pro­te­zio­ne prima di poter hackerare il server.

I server DNS sono disposti in gerarchie e co­mu­ni­ca­no tra loro. Un hacker può uti­liz­za­re l’IP spoofing per spac­ciar­si per uno di questi server. L’autore dell’attacco convince un server ad accettare un indirizzo IP non corretto per un dominio. Il server inserisce la voce errata nella sua cache “av­ve­le­nan­do­la”.

Qualsiasi richiesta fatta al server dopo che la cache è stata av­ve­le­na­ta, re­sti­tui­rà alle vittime la voce fal­si­fi­ca­ta. La minaccia persiste fino a quando la voce non viene rimossa dalla cache. Un’opzione per pro­teg­ge­re il server è la specifica DNSSEC, che può essere uti­liz­za­ta per tutelare la co­mu­ni­ca­zio­ne dei server all’interno del DNS.

Questa forma di attacco è pro­ba­bil­men­te la variante più elaborata. In questo caso, un at­tac­can­te prende il controllo di un server DNS legittimo. Una volta com­pro­mes­so, neanche la crit­to­gra­fia DNS più moderna può offrire pro­te­zio­ne. La crit­to­gra­fia dei contenuti dovrebbe però almeno per­met­te­re alla vittima di ac­cor­ger­si dell’attacco.

Come avrete notato, il DNS spoofing rap­pre­sen­ta una minaccia seria. For­tu­na­ta­men­te, esiste una serie di semplici misure che for­ni­sco­no una pro­te­zio­ne efficace contro questo attacco in­for­ma­ti­co.

In generale, i metodi di crit­to­gra­fia offrono due vantaggi prin­ci­pa­li:

1. I dati sono protetti dall’accesso da parte di terzi non au­to­riz­za­ti.
2. L’au­ten­ti­ci­tà del partner di co­mu­ni­ca­zio­ne è garantita.

So­prat­tut­to il secondo punto è una com­po­nen­te critica nella lotta contro il DNS spoofing: se un at­tac­can­te finge di essere un host legittimo, si ve­ri­fi­che­rà un errore di cer­ti­fi­ca­to lato utente. Il tentativo di frode viene quindi scoperto.

Per un livello di pro­te­zio­ne di base, è im­por­tan­te pro­teg­ge­re il maggior numero possibile di con­nes­sio­ni mediante il metodo della crit­to­gra­fia di tra­smis­sio­ne. L’accesso ai siti Web nel browser dovrebbe pre­fe­ri­bil­men­te avvenire tramite HTTPS. La popolare esten­sio­ne di browser HTTPS Eve­ry­whe­re protegge la con­nes­sio­ne ai siti Web che for­ni­sco­no contenuti sia tramite HTTP che HTTPS. Inoltre, è ne­ces­sa­rio as­si­cu­rar­si che le con­nes­sio­ni con­fi­gu­ra­te nel programma di posta elet­tro­ni­ca (IMAP, POP3 e SMTP) uti­liz­zi­no pro­to­col­li sicuri quali TLS e SSL.

Se le con­nes­sio­ni sono protette da crit­to­gra­fia di tra­smis­sio­ne, dovrebbe perlomeno essere possibile rilevare un attacco di DNS spoofing: poiché l’host ma­lin­ten­zio­na­to non dispone del cer­ti­fi­ca­to di sicurezza dell’host autentico, il browser e il programma di posta elet­tro­ni­ca allertano l’utente durante la con­nes­sio­ne. In questo modo si ha la pos­si­bi­li­tà di in­ter­rom­pe­re la con­nes­sio­ne e adottare ulteriori misure di pro­te­zio­ne.

Sebbene la crit­to­gra­fia di tra­smis­sio­ne protegga il traffico di dati, la con­nes­sio­ne al server DNS rimane vul­ne­ra­bi­le, rap­pre­sen­tan­do quindi l’anello più debole della catena. Esistono tuttavia metodi dedicati lato utente per crit­to­gra­fa­re le richieste DNS. Degni di nota sono in par­ti­co­la­re DNSCrypt, DNS over HTTPS (DoH) e DNS over TLS (DoT). Tutte queste tec­no­lo­gie pro­teg­go­no contro i pe­ri­co­lo­si attacchi man in the middle, ma nessuno dei tre approcci è già integrato nei sistemi operativi più diffusi per un uso di massa. Affinché la crit­to­gra­fia DNS abbia effetto, il server DNS deve inoltre sup­por­ta­re le ri­spet­ti­ve tec­no­lo­gie di sicurezza.

Oltre alla crit­to­gra­fia di tra­smis­sio­ne e alla pro­te­zio­ne della con­nes­sio­ne al server DNS, anche l’utilizzo di una Virtual Private Network (VPN) può con­tri­bui­re alla pro­te­zio­ne contro il DNS spoofing. Quando si utilizza una VPN, tutte le con­nes­sio­ni vengono in­stra­da­te at­tra­ver­so un tunnel crit­to­gra­fa­to. Tenete presente tuttavia che l’indirizzo IP di un server DNS può ancora essere ar­chi­via­to nella maggior parte dei programmi VPN. Se si tratta di un indirizzo dannoso, la pro­te­zio­ne dal DNS spoofing fornita dalla VPN perde ogni effetto.

Se non avete tempo da dedicare alla scelta di un provider VPN, uti­liz­za­te l’app gratuita di Clou­d­fla­re WARP, che fornisce fun­zio­na­li­tà VPN e crit­to­gra­fia DNS tramite il suo servizio di DNS Resolver 1.1.1.1. Maggiori in­for­ma­zio­ni sono di­spo­ni­bi­li alla fine dell’articolo.

Il grado ulteriore di sicurezza offerto è combinato con un’in­ter­fac­cia utente di facile utilizzo. L’app è at­tual­men­te di­spo­ni­bi­le per i di­spo­si­ti­vi mobili, ma sarà adattata anche per l’uso con computer Windows e macOS.

Una delle misure più efficaci per pro­teg­ger­si dal DNS spoofing è l’utilizzo di un DNS Resolver pubblico. La con­fi­gu­ra­zio­ne è talmente semplice che può essere eseguita fa­cil­men­te dall’utente. Tutto quello che dovete fare è cambiare il server DNS spe­ci­fi­ca­to sul vostro sistema. Come esempio vi pre­sen­tia­mo il Resolver Quad9 dell’omonima or­ga­niz­za­zio­ne no profit.

L’utilizzo di un DNS Resolver pubblico offre diversi vantaggi:

• elevata velocità di risposta da parte del DNS: le grandi reti DNS Resolver ge­sti­sco­no decine di server in tutto il mondo. Questo significa che, grazie al co­sid­det­to routing anycast, per la ri­so­lu­zio­ne dei nomi viene sempre uti­liz­za­to il server geo­gra­fi­ca­men­te più vicino, ga­ran­ten­do così tempi di risposta brevi.
• Elevato livello di pro­te­zio­ne dei dati e privacy: molti provider Internet vendono i dati dei clienti generati dal traffico DNS. So­li­ta­men­te i popolari Resolver pubblici ar­chi­via­no solo quantità minime o nessun dato sull’utilizzo, ga­ran­ten­do un elevato livello di privacy e anonimato.
• Nessuna ap­pli­ca­zio­ne di misure di censura: le norme di censura statale sono valide solo all’interno dei confini nazionali. I fornitori di servizi Internet di solito operano nel paese dei propri clienti e sono quindi obbligati a imporre le misure di censura previste dallo Stato. Una rete Resolver con sede all’estero può, invece, offrire i propri servizi a livello globale senza dover tenere conto della censura re­go­la­men­ta­ta dallo Stato.
• Rispetto dei moderni standard di sicurezza: le grandi reti DNS Resolver pubbliche sono spe­cia­liz­za­te solo nella risposta alle richieste DNS. Pertanto sono spesso pionieri nell’uso di moderni standard di sicurezza come DNSSEC, DoH, DoT e DNSCrypt.
• Blocco di domini dannosi: l’utilizzo di una rete DNS Resolver pubblica può inoltre con­tri­bui­re alla pro­te­zio­ne da malware e phishing. I domini no­to­ria­men­te dannosi vengono inseriti in co­sid­det­te blacklist e un tentativo di accesso a questi domini rein­di­riz­za l’utente a una pagina di avviso.

Nella tabella seguente vi elen­chia­mo alcune delle reti DNS Resolver pubbliche più diffuse. Seguendo la con­ven­zio­ne, ogni rete Resolver è con­fi­gu­ra­ta in modo ri­don­dan­te tramite due indirizzi IP. Se il primo dei due server non è ac­ces­si­bi­le, viene uti­liz­za­to il secondo. Alcune reti Resolver offrono indirizzi IP ag­giun­ti­vi at­tra­ver­so i quali è possibile abilitare ulteriori funzioni, come quella per la tutela dei minori.