Internet ottiene una patch, dato che il bug DNS è corretto

I produttori del software utilizzato per connettere i computer su Internet hanno rilasciato collettivamente aggiornamenti software martedì per correggere un bug grave in uno dei protocolli sottostanti di Internet, il Domain Name System (DNS).

L'errore è stato scoperto "da un completo incidente", di Dan Kaminsky, un ricercatore del fornitore di sicurezza IOActive. Kaminsky, ex dipendente di Cisco Systems, è già noto per il suo lavoro nel networking.

Inviando determinati tipi di query ai server DNS, l'utente malintenzionato potrebbe quindi reindirizzare le vittime da un sito Web legittimo, ad esempio, Bofa.com - a un sito Web dannoso senza che la vittima se ne accorga. Questo tipo di attacco, noto come avvelenamento della cache DNS, non ha effetto solo sul Web. Potrebbe essere usato per reindirizzare tutto il traffico Internet ai server degli hacker.

[Ulteriori letture: Come rimuovere malware dal tuo PC Windows]

Il bug potrebbe essere sfruttato "come un attacco di phishing senza inviarti e-mail, "ha dichiarato Wolfgang Kandek, direttore tecnico della compagnia di sicurezza Qualys.

Anche se questo difetto interessa alcuni router domestici e il software DNS client, è principalmente un problema per gli utenti aziendali e ISP (provider di servizi Internet) che eseguono i server DNS utilizzati dai PC per trovare la loro strada su Internet, ha detto Kaminsky. "Gli utenti domestici non devono farsi prendere dal panico", ha detto in una conferenza telefonica di martedì

. Dopo aver scoperto il bug diversi mesi fa, Kaminsky ha immediatamente radunato un gruppo di circa 16 esperti di sicurezza responsabili dei prodotti DNS, che si sono incontrati a Microsoft il 31 marzo. per trovare un modo per risolvere il problema. "Ho contattato gli altri ragazzi e ho detto:" Abbiamo un problema ", ha detto Kaminsky. "L'unico modo per farlo è se avessimo una versione simultanea su tutte le piattaforme."

Quella massiccia correzione di bug è avvenuta martedì, quando alcuni dei fornitori di software DNS più diffusi hanno rilasciato patch. Microsoft, Cisco, Red Hat, Sun Microsystems e Internet Software Consortium, i produttori del software server DNS più diffuso, hanno aggiornato il software per risolvere il bug.

Il BIND open source del Internet Software Consortium (Berkeley Internet Name Domain) viene eseguito su circa l'80 percento dei server DNS di Internet. Per la maggior parte degli utenti BIND, la correzione sarà un semplice aggiornamento, ma per il 15% stimato di utenti BIND che non sono ancora passati all'ultima versione del software, BIND 9, le cose potrebbero essere un po 'più difficili.

Questo è perché le versioni precedenti di BIND hanno alcune caratteristiche popolari che sono state cambiate quando è stato rilasciato BIND 9, secondo Joao Damas, senior program manager per Internet Software Consortium.

Il bug di Kaminsky ha a che fare con il modo in cui client e server DNS ottengono informazioni da altri server DNS su Internet. Quando il software DNS non conosce l'indirizzo IP (Internet Protocol) numerico di un computer, richiede un altro server DNS per queste informazioni. Con l'avvelenamento della cache, l'hacker induce il software DNS a credere che domini legittimi, come Bofa.com, si colleghino a indirizzi IP dannosi.

I ricercatori di sicurezza hanno saputo dei modi per lanciare questi attacchi da avvelenamento della cache contro server DNS da qualche tempo a questa parte, ma in genere questi attacchi richiedono che gli aggressori inviino molti dati al server DNS che stanno cercando di infettare, il che rende gli attacchi più facili da rilevare e bloccare. Tuttavia, Kaminsky ha scoperto un modo molto più efficace per lanciare un attacco di successo.

Dato che il difetto di Kaminsky è nella progettazione del DNS stesso, non c'è un modo semplice per risolverlo, ha detto Damas. Invece, aziende come ISC hanno aggiunto una nuova misura di sicurezza al loro software che rende più difficile l'avvelenamento della cache.

Nel lungo periodo, tuttavia, il modo più efficace per gestire l'avvelenamento della cache sarà adottare un metodo più sicuro La versione del DNS, denominata DNSSEC, ha dichiarato Danny McPherson, chief research officer di Arbor Networks. La correzione di martedì è fondamentalmente "un hack che lo rende molto più difficile", ha detto. "Ma non risolve il problema di root."

Kaminsky dice che offrirà agli amministratori di rete un mese per correggere i loro software prima di rivelare ulteriori dettagli tecnici sulla falla alla conferenza Black Hat del prossimo mese a Las Vegas. Nel frattempo, ha pubblicato un codice sul suo sito Web che consente agli utenti di verificare se il server DNS dell'azienda o dell'ISP è stato corretto.