A meno che non siate stati incollati a internet qualche settimana fa, potreste aver perso la massiccia interruzione che ha colpito la costa orientale il 21 ottobre. 21
Molti siti web popolari come Twitter, Reddit, Netflix, Etsy e Spotify erano inaccessibili a migliaia di utenti.
Gli esperti hanno poi dichiarato che l’interruzione è stata il risultato di un enorme attacco ai servizi DNS di Dyn, una società di infrastrutture internet.
Le preoccupazioni sugli attacchi DNS sono rimaste in secondo piano per molte aziende e società IT – ma questo potrebbe cambiare.
Aziende come Google, il New York Times e diverse banche sono cadute vittime di una varietà di attacchi DNS negli ultimi anni.
Con attacchi simili in arrivo, a quali tipi bisogna fare attenzione? Avvelenamento DNS e Spoofing
L’avvelenamento DNS può in definitiva indirizzare gli utenti al sito web sbagliato. Per esempio, un utente può inserire “msn.com” in un browser web, ma al suo posto viene caricata una pagina scelta dall’attaccante.
Siccome gli utenti stanno digitando il nome di dominio corretto, potrebbero non rendersi conto che il sito che stanno visitando è falso.
Questo crea un’opportunità perfetta per gli aggressori di utilizzare tecniche di phishing per estrarre informazioni – che siano credenziali di accesso o informazioni sulla carta di credito – da vittime ignare.
L’attacco può essere devastante, a seconda di diversi fattori, tra cui l’intenzione dell’attaccante e la portata dell’avvelenamento DNS.
Come fanno gli aggressori? Sfruttando il sistema di caching DNS.
Trickle-down DNS caching
Il caching DNS è utilizzato in tutto il Web per accelerare i tempi di caricamento e ridurre lo sforzo sui server DNS. In poche parole, una volta che un sistema interroga un server DNS e riceve una risposta, salva le informazioni in una cache locale per un riferimento più veloce.
Questo approccio è usato attraverso il web in modo trickle-down. I record di un server DNS sono usati per mettere in cache i record di un altro server DNS. Quel server è usato per mettere in cache i record DNS sui sistemi di rete come i router. Quei record sono usati per creare cache sulle macchine locali.
Cache DNS avvelenate
L’avvelenamento DNS si verifica quando una di queste cache è compromessa.
Per esempio, se la cache su un router di rete è compromessa, allora chiunque la usi può essere indirizzato erroneamente a un sito web fraudolento. I record DNS falsi si ripercuotono poi sulle cache DNS della macchina di ogni utente.
Questo può avvenire anche più in alto nella catena.
Per esempio, un grande server DNS può essere compromesso. Questo può avvelenare le cache dei server DNS mantenuti dai fornitori di servizi internet. Il veleno può arrivare fino ai sistemi di rete e ai dispositivi dei loro clienti, potenzialmente instradando milioni di persone verso siti web scelti da un attaccante.
Sembra assurdo? Non lo è. Nel 2010, gli utenti di Internet in tutti gli Stati Uniti sono stati bloccati da siti come Facebook e YouTube perché un server DNS di un ISP di alto livello ha accidentalmente recuperato record dal Great Firewall of China.
Antidoto per il veleno
L’avvelenamento della cache DNS è molto difficile da rilevare. Può durare fino a quando il TTL, o time to live, scade sui dati della cache o un amministratore si rende conto e risolve il problema.
A seconda della durata del TTL, i server potrebbero impiegare giorni per risolvere il problema da soli.
I metodi migliori per prevenire un attacco di avvelenamento della cache DNS includono l’aggiornamento regolare dei programmi, l’impostazione di tempi TTL brevi e la regolare pulizia delle cache DNS delle macchine locali e dei sistemi di rete.
Attacco #2: Amplificazione DNS per DDoS
Gli attacchi di amplificazione DNS non sono minacce contro i sistemi DNS. Invece, sfruttano la natura aperta dei servizi DNS per rafforzare la forza degli attacchi DDoS (distributed denial of service).
Gli attacchi DDoS non sono estranei ai riflettori, prendendo di mira siti noti come BBC, Microsoft, Sony e Krebs on Security.
Amplificare e amplificare
Gli attacchi DDoS avvengono tipicamente con una botnet. L’attaccante utilizza una rete di computer infettati da malware per inviare grandi quantità di traffico a un obiettivo, come un server. L’obiettivo è quello di sovraccaricare il bersaglio e rallentarlo o mandarlo in crash.
Gli attacchi di amplificazione aggiungono più forza. Invece di inviare il traffico direttamente da una botnet a una vittima, la botnet invia richieste ad altri sistemi. Questi sistemi rispondono inviando volumi ancora maggiori di traffico alla vittima.
Gli attacchi di amplificazione DNS sono un esempio perfetto. Gli attaccanti utilizzano una botnet per inviare migliaia di richieste di ricerca ai server DNS aperti. Le richieste hanno un indirizzo sorgente falsificato e sono configurate per massimizzare la quantità di dati restituiti da ciascun server DNS.
Il risultato: un attaccante invia quantità relativamente piccole di traffico da una botnet e genera volumi proporzionalmente maggiori – o “amplificati” – di traffico dai server DNS. Il traffico amplificato è diretto a una vittima, causando il malfunzionamento del sistema.
Deflettere e difendere
I firewall UTM possono essere configurati per riconoscere e fermare gli attacchi DDoS mentre si verificano, facendo cadere i pacchetti artificiali che cercano di inondare i sistemi sulla rete.
Un altro modo per combattere gli attacchi DDoS è quello di ospitare l’architettura del cliente su più server. In questo modo, se un server diventa sovraccarico, un altro server sarà ancora disponibile.
Se l’attacco è piccolo, gli indirizzi IP che inviano il traffico possono essere bloccati. Inoltre, un aumento della larghezza di banda del server può permettergli di assorbire un attacco.
Esistono anche molte soluzioni dedicate e a pagamento che sono progettate esclusivamente per combattere gli attacchi DDoS.
Attacco #3: DNS attaccato da DDoS
Gli attacchi DDoS possono essere utilizzati contro molti tipi diversi di sistemi. Questo include i server DNS.
Un attacco DDoS riuscito contro un server DNS può causarne il crash, rendendo gli utenti che si affidano al server incapaci di navigare sul web (nota: gli utenti saranno ancora in grado di raggiungere i siti web che hanno visitato di recente, assumendo che il record DNS sia salvato in una cache locale).
Questo è quello che è successo ai servizi DNS di Dyn, come descritto in apertura di questo post. Un attacco DDoS ha sopraffatto i sistemi dell’azienda, causandone il crash, che ha impedito a migliaia di persone di accedere ai principali siti web.
Come difendersi da questi attacchi dipende dal ruolo dei vostri sistemi nell’ambiente.
Ad esempio, state ospitando un server DNS? In questo caso, ci sono misure che potete prendere per proteggerlo, come mantenerlo patchato e permettere solo alle macchine locali di accedervi.
Forse state cercando di raggiungere il server DNS attaccato? In questo caso, probabilmente avrete problemi di connessione.
Questo è il motivo per cui è una buona idea configurare i vostri sistemi per fare affidamento su più di un server DNS. In questo modo, se il server primario va giù, ne hai un altro come ripiego.
Consigliamo i server DNS pubblici gratuiti di Google: 8.8.8.8 e 8.8.4.4. Le istruzioni sono disponibili anche per gli indirizzi IPv6.
Prevenire e mitigare gli attacchi
Gli attacchi ai server DNS sono un grande rischio per la sicurezza della rete e dovrebbero essere presi seriamente. Sia le aziende che le società IT devono implementare misure di sicurezza per prevenire e ridurre gli effetti di un tale attacco, nel caso in cui ne siano vittime.
A seguito di tali attacchi, l’ICANN ha iniziato a sottolineare questi rischi con il DNSSEC, una tecnologia crescente utilizzata per prevenire gli attacchi ai server DNS.
DNSSEC attualmente funziona “firmando” ogni richiesta DNS con una firma certificata per garantire l’autenticità. Questo aiuta i server ad eliminare le richieste false.
L’unico svantaggio di questa tecnologia è il fatto che deve essere implementata in tutte le fasi del protocollo DNS per funzionare correttamente – che sta lentamente ma inesorabilmente arrivando.
Tenere d’occhio la tecnologia in via di sviluppo come il DNSSEC, nonché rimanere aggiornati sugli ultimi attacchi DNS è un buon modo per rimanere davanti alla curva.