Feeds:
Posts
Comments

Archive for February 4th, 2009

Pharming

Oggi ho scritto un documentino stringato per il nostro HelpDesk interno, al fine di facilitare la risoluzione di “casi curiosi” quando forniscono assistenza a clienti con problemi di qualche tipo.

Dato che non mi costa nulla (son notoriamente pigro), ho pensato di mettere qui parte del testo, nella speranza possa essere utile a qualcuno.

Si noti che, comunque, non è nulla di particolarmente nuovo…

  • Premessa numero 1: pharming

Il “pharming” è la pratica, da parte di malware, di “avvelenare” la risoluzione DNS dell’utente per dirigirlo in posti diversi da dove si aspetterebbe di andare. Ad esempio, se il malware scrive nel file hosts del client un indirizzo di suo gusto associato al sito di una banca, l’utente va sul sito scelto dall’attaccante anzichè su quello della banca. Questo permette scenari di phishing in cui l’utente non si accorge di nulla (o quasi), dato che crede di vedere il sito “vero“.
C’è una variante infida: anzichè avvelenare la risoluzione DNS locale, il malware si può limitare ad impostare il sistema operativo affinchè utilizzi un DNS di risoluzione sotto il controllo dell’attacante. In questo modo l’attaccante stesso può “smanacciare” le risoluzioni DNS in maniera centralizzata, operando sul suo DNS anzichè sulla macchina dell’utente.

E’ una lista di reti note per essere in pieno e diretto controllo di criminali informatici noti. Tipicamente, è su reti di questo tipo che risiedono i server DNS di cui al punto precedente.
DROP è pensata per essere utilizzata in nullrouting: vengono in tal modo inibite le comunicazioni tra la rete che applica DROP e le reti da essa listate. Se il nullrouting viene quindi eseguito dall’ISP, esso ha effetto su tutti i clienti dell’ISP stesso.

Quel che accade sommando le due cose è che se un utente “pharmato” ha un ISP che pratica tale nullrouting, il suo client non riesce a raggiungere il DNS usato per la risoluzione (ovvero quello dell’attaccante). Questo lo mette al riparo dall’essere oggetto delle truffe connesse al pharming (e da svariate altre spiacevoli cose) ma gli impedisce anche di navigare o di fare qualsiasi altra cosa richieda una risoluzione DNS.

Se quindi doveste incocciare in un PC con problemi che ha un DNS di risoluzione “fantasioso”, verificate se esso non sia in una rete DROPpata: se c’è, sapete cosa raccontare all’utente, che sarà (se è furbo) anche contento di aver avuto problemi di navigazione. Si noti tuttavia che è plausibile che vi sia o vi sia stato un evento di infezione che ha consentito la riscrittura del DNS di risoluzione e pertanto è assai opportuno un ciclo approfondito di “pulizia”…

Read Full Post »

%d bloggers like this: