Con DNS Flaw Now Public, Attack Code Imminent

Un giorno dopo che una società di sicurezza ha postato per sbaglio dettagli di una grave falla nel Domain Name System (DNS) di Internet, gli hacker stanno dicendo che il software che sfrutta questa falla verrà presto visualizzato.

Diversi hacker sono quasi certamente sta già sviluppando un codice di attacco per il bug, e molto probabilmente emergerà nei prossimi giorni, ha detto Dave Aitel, chief technology officer presso il fornitore di sicurezza Immunity. La sua azienda finirà per sviluppare un codice di esempio per il suo software di test di sicurezza Canvas, un compito che si aspetta di prendere circa un giorno, data la semplicità dell'attacco. "Non è così difficile", ha detto. "Non stai guardando uno sforzo di cracking del DNA."

L'autore di uno strumento di hacking ampiamente utilizzato ha detto che si aspetta un exploit entro la fine della giornata di martedì. In un'intervista telefonica, HD Moore, autore del software di test di penetrazione Metasploit, ha concordato con Aitel che il codice di attacco non sarebbe stato difficile da scrivere.

[Ulteriori letture: i migliori NAS per lo streaming multimediale e il backup]

Il difetto, una variazione su quello che è noto come un attacco di avvelenamento da cache, è stato annunciato l'8 luglio dal ricercatore di IOActive Dan Kaminsky, che ha pianificato di rivelare tutti i dettagli del bug durante una presentazione del 6 agosto alla conferenza di Black Hat.

Quel piano è stato sventato lunedì, quando qualcuno a Matasano ha accidentalmente postato i dettagli della falla prima del previsto. Matasano rimosse rapidamente la posta e si scusò per l'errore, ma era troppo tardi. I dettagli della falla si diffondono presto su Internet.

E questa è una brutta notizia, secondo Paul Vixie, presidente della società che è il produttore dominante del software DNS, l'Internet Systems Consortium. Vixie, come altri che sono stati informati sul bug di Kaminsky, non ha confermato che fosse stato divulgato da Matasano. Ma se fosse così, "è un grosso problema", ha detto in un messaggio di posta elettronica.

L'attacco può essere utilizzato per reindirizzare le vittime a server maligni su Internet prendendo di mira i server DNS che fungono da indicatori per tutti il traffico di Internet. Ingannando i server di un provider di servizi Internet (ISP) nell'accettare cattive informazioni, gli hacker potrebbero reindirizzare i clienti dell'azienda a siti Web dannosi a loro insaputa.

Sebbene una correzione software sia ora disponibile per la maggior parte degli utenti del software DNS, può richiedere del tempo per questi aggiornamenti che si fanno strada attraverso il processo di test e in realtà vengono installati sulla rete.

"La maggior parte delle persone non ha ancora applicato patch", ha detto Vixie. "Questo è un problema gigantesco per il mondo."

Quanto grande è il problema di qualche discussione.

Neal Krawetz, proprietario di Hacker Factor Solutions, consulente per la sicurezza informatica, ha dato un'occhiata ai server DNS gestiti dai maggiori Gli ISP all'inizio di questa settimana hanno scoperto che più della metà di loro erano ancora vulnerabili all'attacco.

"Trovo sconcertante che i maggiori ISP … siano ancora identificati come vulnerabili", ha scritto in un post sul blog. "Quando gli [hacker] apprenderanno l'exploit, andranno a giocare, sicuramente inizieranno con il frutto più basso - grandi aziende che sono vulnerabili e supportano un numero enorme di utenti."

Si aspetta che gli utenti vedere gli attacchi entro poche settimane, iniziando prima con gli attacchi di prova e, eventualmente, persino con un dirottamento di dominio diffuso. "Finalmente ci saranno i phisher, gli autori di malware e gli aggressori organizzati", ha scritto in un'intervista via e-mail del martedì. "Mi aspetto davvero che questi attacchi siano molto mirati."

Probabilmente la maggior parte degli ISP avrà applicato la patch prima che tutti gli attacchi inizino a emergere, e ciò proteggerà la maggior parte degli utenti domestici, ha dichiarato Russ Cooper, un senior information analista della sicurezza con Verizon Business. E gli utenti aziendali che usano software DNS-proxy sicuro saranno "praticamente protetti" dall'attacco al loro firewall, ha detto Cooper.

"Se qualcuno cerca davvero di sfruttarlo, il numero effettivo di vittime finirà per essere estremamente piccolo ", ha predetto.

HD Moore ha detto che non ha esattamente visto le cose in quel modo. Poiché il difetto colpisce quasi tutto il software DNS utilizzato su Internet, ha affermato che potrebbero esserci molti problemi in futuro.

"Questo è un bug che ci preoccuperemo da un anno a partire da ora", ha affermato.