Insanely News

Diffusione di informazioni obiettive e costruttive.

Insanely News

Categoria: Informatica

dns-spoofing

DNS Spoofing – “Dalla saga Man-In-The-Middle”

[InsanelyNews] DNS SPOOFING

Nella prima parte di questa saga abbiamo esaminato la normale comunicazione ARP e come la cache ARP di un dispositivo può essere avvelenata al fine di reindirizzare il traffico di rete delle macchine attraverso un’altra macchina con possibile intento malevolo. Questo attacco apparentemente avanzato man-in-the-middle (MITM) noto come avvelenamento da cache ARP viene fatto facilmente con il software giusto. In questo articolo discuteremo di un tipo simile di attacco MITM chiamato DNS Spoofing. Se non hai letto l’articolo precedente sulla cache ARP, allora ti consiglio di farlo ora, poiché questo articolo si basa sulle tecniche apprese in quell’articolo.

DNS Spoofing

Lo spoofing del DNS è una tecnica MITM utilizzata per fornire false informazioni DNS a un host in modo che quando tentano di navigare, ad esempio www.bankofamerica.com all’indirizzo IP XXX.XX.XX.XX, vengano effettivamente inviati a un falso www .bankofamerica.com residente all’indirizzo IP YYY.YY.YY.YY che un utente malintenzionato ha creato per rubare credenziali di banking online e informazioni sull’account da utenti ignari. Questo in realtà è fatto abbastanza facilmente e qui vedremo come funziona, come è fatto e come difenderci.

Comunicazione DNS normale

Il protocollo Domain Naming System (DNS) come definito nella RFC 1034/1035 è quello che alcuni considerano uno dei più importanti protocolli in uso su Internet. In poche parole, ogni volta che digiti un indirizzo web come http://www.google.com nel tuo browser, viene effettuata una richiesta DNS a un server DNS per scoprire a quale indirizzo IP viene assegnato il nome. Questo perché i router e i dispositivi che interconnettono Internet non comprendono google.com, ma comprendono solo indirizzi come 74.125.95.103.

Un server DNS stesso funziona memorizzando un database di voci (chiamate record di risorse) di indirizzi IP a nomi di nomi DNS, comunicando tali record di risorse ai client e comunicando tali record di risorse ad altri server DNS. L’architettura dei server DNS in tutte le aziende e in Internet è qualcosa che può essere un po ‘complicato. In effetti, ci sono interi libri dedicati all’architettura DNS. Non copriremo aspetti architettonici o anche tutti i diversi tipi di traffico DNS (è possibile rivedere le varie RFC relative al DNS qui ), ma esamineremo una transazione DNS di base, illustrata nella Figura 1.


Figura 1: una query e una risposta DNS

Funzioni DNS in un formato di tipo query / risposta.

Un client che desidera risolvere un nome DNS in un indirizzo IP invia una query a un server DNS e il server invia le informazioni richieste nella sua risposta.

Dal punto di vista dei clienti, gli unici due pacchetti visualizzati sono questa query e risposta.


Figura 2: query DNS e pacchetti di risposta

Questo scenario diventa un po ‘più complesso quando si considera la ricorsione DNS. A causa della natura gerarchica della struttura DNS di Internet, i server DNS hanno bisogno della capacità di comunicare tra loro al fine di individuare le risposte per le domande inviate dai clienti. Dopo tutto, potrebbe essere corretto aspettarsi che il nostro server DNS interno conosca il nome della mappatura degli indirizzi IP del nostro server intranet locale, ma non possiamo aspettarci che conosca l’indirizzo IP correlato a Google o Dell. È qui che entra in gioco la ricorsione. La ricorsione è quando un server DNS interroga un altro server DNS per conto di un cliente che ha fatto una richiesta. Fondamentalmente, questo trasforma un server DNS in un client stesso, visto in Figura 3.


Figura 3: query e risposta DNS mediante ricorsione

Spoofing DNS

C’è sicuramente più di un metodo disponibile per eseguire lo spoofing del DNS. Useremo una tecnica chiamata spoofing ID DNS.

Ogni query DNS che viene inviata in rete contiene un numero di identificazione generato in modo univoco che ha lo scopo di identificare query e risposte e legarle insieme. Ciò significa che se il nostro computer in attacco può intercettare una query DNS inviata da un dispositivo di destinazione, tutto ciò che dobbiamo fare è creare un pacchetto falso che contenga quel numero identificativo affinché quel pacchetto possa essere accettato da quel target.

Completeremo questo processo facendo due passaggi con un unico strumento. In primo luogo, ARP cache avvelenerà il dispositivo di destinazione per reindirizzare il traffico attraverso il nostro host in modo che possiamo intercettare la richiesta DNS, e quindi invieremo effettivamente il pacchetto contraffatto. L’obiettivo di questo scenario è far sì che gli utenti della rete di destinazione visitino il nostro sito Web dannoso anziché il sito Web a cui stanno tentando di accedere. Una rappresentazione di questo attacco è vista in Figura 4.


Figura 4: DNS Spoofing Attack Utilizzo del metodo di spoofing ID DNS

Esistono alcuni strumenti diversi che possono essere utilizzati per eseguire lo spoofing del DNS. Useremo Ettercap, che ha sia versioni Windows che Linux. Puoi scaricare Ettercap da qui .

Se stai installando Ettercap su una macchina Windows noterai che ha una GUI che funziona perfettamente, ma per questo esempio useremo l’interfaccia della riga di comando.

Prima di eseguire Ettercap, è necessario un po ‘di configurazione.

Ettercap è uno sniffer di pacchetti che utilizza vari plug-in per eseguire i vari attacchi che può eseguire.

Il plug-in dns_spoof è ciò che farà l’attacco in questo esempio, quindi dobbiamo modificare il file di configurazione associato a quel plug-in. Su un sistema Windows, questo file può trovarsi in C: \ Programmi (x86) \ EttercapNG \ share \ etter.dns e in /usr/share/ettercap/etter.dns. Questo file è abbastanza semplice e contiene i record DNS che desideri spoofare. Per i nostri scopi, vorremmo che qualsiasi utente che tentasse di andare su yahoo.com venisse indirizzato a un host sulla rete locale, quindi aggiungeremo la voce evidenziata nella Figura 5.


Figura 5: aggiunta di un record DNS falsificato a etter.dns

Queste voci in pratica indicano al plug-in dns_spoof che quando visualizza una query DNS per yahoo.com o www.yahoo.com (per un record di risorse di tipo A) deve fornire l’indirizzo IP 172.16.16.100 in risposta. In uno scenario realistico, il dispositivo 172.16.16.100 eseguiva una qualche forma di software per server Web che presentasse all’utente il sito Web falso.

Una volta che il file è stato configurato e salvato, siamo liberi di eseguire la stringa di comando che avvierà l’attacco. La stringa di comando utilizza le seguenti opzioni:

  • -T – Specifica l’uso dell’interfaccia basata su testo
  • -q – Esegue i comandi in modalità silenziosa in modo che i pacchetti catturati non vengano trasmessi allo schermo
  • -P dns_spoof – Specifica l’uso del plug-in dns_spoof
  • -M arp – Inizia un attacco di avvelenamento da Arp MITM per intercettare i pacchetti tra gli host
  • // // – Specifica l’intera rete come target dell’attacco

La stringa di comando finale per i nostri scopi sarebbe:

Ettercap.exe -T -q -P dns_spoof -M arp // //

L’esecuzione del comando inizierebbe il doppio attacco a fasi, avvelenando prima la cache ARP dei dispositivi sulla rete e quindi trasmettendo le risposte false alle query DNS.


Figura 6: Ettercap ascolta attivamente le query DNS

Una volta avviato, chiunque tenti di accedere a www.yahoo.com viene reindirizzato al nostro sito dannoso.

Difendersi dallo spoofing DNS

Lo spoofing del DNS è difficile da difendere perché gli attacchi sono per lo più passivi. In genere, non si saprà mai che il tuo DNS è stato falsificato fino a quando non è successo. Quello che ottieni è una pagina web diversa da quella che ti aspetti. In attacchi molto mirati è molto probabile che tu non possa mai sapere che sei stato ingannato a inserire le tue credenziali in un sito falso finché non ricevi una chiamata dalla tua banca chiedendoti perché hai appena acquistato una nuova barca al largo della Grecia. Detto questo, ci sono ancora alcune cose che possono essere fatte per difendersi da questi tipi di attacchi:

  • Proteggi le tue macchine interne: attacchi come questi sono eseguiti più comunemente all’interno della rete. Se i dispositivi di rete sono sicuri, c’è meno possibilità che questi host compromessi vengano utilizzati per lanciare un attacco di spoofing.
  • Non fare affidamento su DNS per sistemi sicuri: su sistemi altamente sensibili e sicuri che in genere non si naviga su Internet è spesso una buona pratica non utilizzare DNS. Se si dispone di un software che si basa su nomi host per funzionare, questi possono essere specificati manualmente nel file host dispositivi.
  • Usa IDS: un sistema di rilevamento delle intrusioni, quando posizionato e distribuito correttamente, in genere può rilevare la maggior parte delle forme di avvelenamento della cache ARP e di spoofing del DNS.
  • Usa DNSSEC: DNSSEC è una nuova alternativa al DNS che utilizza i record DNS con firma digitale per garantire la validità di una risposta alla query. DNSSEC non è ancora in ampia distribuzione ma è stato ampiamente accettato come “il futuro del DNS”. Questo è così tanto che il DOD degli Stati Uniti ha incaricato tutti i domini MIL e GOV di iniziare a utilizzare DNSSEC entro il prossimo anno. Puoi leggere ulteriori informazioni su DNSSEC qui .

Incartare

DNS Spoofing è una forma molto letale di un attacco MITM quando abbinato al giusto livello di abilità e intenzioni malevole. Usando questa tecnica possiamo utilizzare tecniche di phishing per rubare credenzialmente le credenziali, installare malware con un exploit drive-by o addirittura causare una condizione di negazione del servizio.

whatsapp

WhatsApp: la Polizia avverte: “ATTENZIONE a quel messaggio”

Se vi arriva questo SMS, cancellatelo subito, non cliccatelo”


Carrefour avverte: “Noi estranei, stiamo facendo luce sulla vicenda”

La Polizia di Stato attraverso la propria pagina Facebook “Una vita da social” ha dato l’allarme su una nuova truffa che circola in queste ore su WhatsApp e invita i cittadini a fare il passaparola per avvisare tutti anche condividendo semplicemente questo avviso/articolo su facebook.

La truffa dei falsi buoni sconto Carrefour torna a colpire gli utenti iscritti all’app di messaggistica WhatsApp. A segnalare la minaccia gli agenti della Polizia di Stato tramite la pagina Facebook “Una vita da social”. Come visibile dagli screenshot pubblicati dalle forze dell’ordine, il nuovo messaggio truffa viene inviato direttamente da un nostro contatto, aumentando così le possibilità di cascare in questa pericolosa truffa in grado di attivare costosi abbonamenti a pagamento sugli smartphone delle vittime.

L’sms che vi arriverà sarà così:

whatsapp

 

Come riportato dalla fonte: “Carrefour Italia mette in guardia tutti i propri clienti sulla presunta truffa che in questi giorni sta girando online. Questa volta anche nella messaggistica istantanea come WhatsApp viene pubblicizzata la falsa emissione di un voucher sconto Carrefour tramite l’immissione di dati personali”. I responsabili di Carrefour Italia allertano i clienti su questa truffa che sta girando su WhatsApp ed altre app di instant messaging come Facebook Messenger invitando gli utenti a prestare la massima attenzione quando viene richiesto l’inserimento dei propri dati sensibili sui siti web.

Fate girare, informate tutti..

ssh

Ssh: come trasferire file e cartelle tra due server Linux

Configurazione Server Linux

Se vi è capitato di dover trasferire cartelle o file tra due server dedicati, allora vi sarete imbattuti in questo dilemma… Attraverso una connessione ssh (a uno dei due server, nel nostro caso quello di destinazione) è possibile lanciare il comando scp che consente di trasferire singoli file o intere cartelle (e sottocartelle) tra la macchina corrente (il server a cui ci connettiamo via ssh) e la macchina remota (quella con i file da trasferire).

Ecco la sintassi del comando:

scp -rpC [email protected]:/percorso/cartella-sorgente/ /cartella-di-destinazione/
dove:

nomeutente è l’user con cui accedere sulla macchina remota (NB: questo utente deve avere accesso ftp ai file da trasferire).
222.222.222.222 è l’IP della macchina remota (quella con i file da prendere).
/percorso/cartella-sorgente/ è il path della cartella da prendere sulla macchina remota.
/percorso/cartella-di-destinazione/ è il path in cui la cartella verrà copiata sulla macchina corrente.
Basta lanciare il comando e, se tutto è ok, ci verrà chiesta la password dell’utente e una volta inserita inizieremo a vedere l’elenco dei files trasferiti.

Occhio alla porta: il comando cercherà di collegarsi di default attraverso la porta 22, nel nostro caso i server sono configurati per accettare la connessione ssh su una porta diversa (per questioni di sicurezza), abbiamo dovuto quindi aggiungere l’istruzione -P numeroporta per evitare di ottenere l’errore:

ssh: connect to host 222.222.222.222 port 22: Connection refused
Buon trasferimento!

Powered by WordPress & Theme by Anders Norén

English English Italian Italian