Innanzitutto, che cos’e’ un DNS e cosa fa. Si tratta di una macchina che ha come scopo trasformare indirizzi come http://www.keinpfusch.net in un 173.194.69.121. Le macchine su internet si distinguono le une dalle altre per via di un indirizzo. Insomma, se io voglio chiamarvi devo sapere che numero di telefono abbiate. Cosi’, io voglio chiamare un certo Fibonacci, e il suo numero di telefono e’ 01123581321 , perche’ questo signore vive a Torino.(1)
A parte il signor Fibonacci e pochi altri, il cui numero e’ facilmente deducibile, per tutti gli altri serve un elenco telefonico che ci dia il numero di telefono. Ecco, i DNS fanno piu’ o meno questo lavoro: 
Anche quando inviate la posta, qualcuno dovra’ pur sapere a quale macchina inviare l’email per, che so io, keinpfusch.net. Voi inviate posta a [email protected], ma come fa tutto il mondo a sapere a quale calcolatore inviare il messaggio perche’ io lo legga?
Fa circa cosi’:
E riceve indietro, in ordine di costo, la lista di “uffici postali” che dibrigano la posta per conto mio. L’ordine di costo (10,20,30) e’ dovuto al fatto che un tempo i server costavano molto e si preferiva usare quelli piu’ costosi solo quando i piu’ economici erano guasti. Google , oggi, usa la stessa tecnica semplicemente per gestire gli enormi flussi di posta che gestisce, instradandoli ed incanalandoli.
Seconda vexata quaestio: che cos’e’ un bot e cos’e’ una botnet.
Un bot e’ un software che voi scaricate ed installate inconsapevolmente (per esempio quando provate un freeware trovato qui e la’ nella rete) , o che vi si installa e scarica senza un vostro intervento. Una volta infetto, il computer esegue delle azioni che voi non desiderate.
A differenza di molti virus, pero’, questi bot non hanno lo scopo di distruggere il vostro PC o danneggiarlo (nella maggior parte dei casi) ma di svolgere operazioni piu’ complesse. E queste operazioni verranno eseguite a comando. Quando uno di questi bot si installa su , diciamo, un milione di computer , e obbedisce ad un singolo gruppo di amministratori, ha formato una botnet, cioe’ un esercito di computer che eseguirano alcuni comandi , come zombie al servizio di un maestro voodoo.
Per esempio, possono decidere di leggere tutti insieme una pagina web, e se sono molti il server non riuscira’ a reggere il carico. L’effetto che otterrete e’ circa questo, il classico DDOS: (ovviamente questo presume che il sito sia in grado di rispondere col 503)
 |
| L’amministratore di sistema non e’ sveglissimo, ma e’ un esempio. |
Possono fare anche attacchi piu’ complessi: se voi provate tutte le possibili password di un sito, qualcuno riconoscera’ un’attivita’ sospetta e bannera’ il vostro IP. Se pero’ il vostro sito accetta 3 tentativi per computer e io provo con un milione di computer diversi, potrei azzeccare la password.
Questi sono esempi banali: in generale oggi si riconoscono i pattern di un attacco informatico mediante software automatici: si fa tapping del traffico con dei dispositivi tipo questi qui ( http://www.netoptics.com/products/aggregation-taps ) , si manda una copia del traffico ad un analizzatore di protocollo tipo questi qui : ( http://www.tek.com/protocol-analyzer ) , oppure a degli IDS ( http://www.cisco.com/warp/public/cc/pd/sqsw/sqidsz/index.shtml ) -menziono quelli su cui ho messo le mani nella mia vita- e se si riconoscono dei pattern precisi si alza semplicemente la linea, cioe’ si chiude la porta dello switch.(2)
Se pero’ l’attacco viene spezzettato e proviene da moltissimi indirizzi IP, anche questo genere di difesa diventa molto piu’ debole, e quindi delle botnet molto numerose possono rappresentare un problema. Per fortuna dal punto di vista della telco Tier-1 (di chi cioe’ controlla il mezzo fisico) hanno dei fingerprint abbastanza precisi, ma per i comuni ISP e’ problematico riconoscerli bene.
In ogni caso, poiche’ alcuni governi (quello cinese, ed altri) hanno iniziato a dotarsi di botnet per attaccare siti governativi o fare spionaggio (un esempio e’ il worm che manda i disegni degli architetti in Cina che non e’ un bot ma e’ scritto dal servizio segreto cinese ) per demolire le centrifughe iraniane e rubarne i disegni, eccetera.(3)
Cosi’, l’ FBI ha chiesto al governo di poter bloccare qualsiasi sito o rete da cui arrivino attacchi pericolosi per grandi quantita’ di persone o per le istituzioni americane. Scelta giustissima , che personalmente approvo in pieno. Ogni paese ha diritto alla difesa militare dei propri cittadini.
Adesso andiamo al caso.
Un criminale russo ha creato un bot primitivo e lo ha diffuso, cioe’ ha piazzato dei robot dentro milioni di computer, allo scopo di falsificare i dati del vostro DNS. Definirlo bot e definrla botnet e’ a mio avviso improprio perche’ e’ un oggetto molto piu’ primitivo, ma lo troverete descritto anche come trojano e come worm.
Qualsiasi sia il DNS che voi configurate manualmente lui lo cambiera’ di nascosto quando agisce, quindi prima rimuovetelo, non appena cercate di andare su un preciso sito, il bot vi manda -a comando- su dei siti che decide lui, o meglio su un dns che poi vi manda su quei siti. Ora, se milioni di persone vanno su siti che vendono delle cose, e finiscono su una copia, probabilmente quel che otterrete e’ che ruberanno migliaia di numeri di carte di credito.
In realta’ l’intento iniziale di DNSChanger era quello di inviare gente su alcuni siti ove si era installata una qualche forma di pubblicita’ a pagamento, per aumentarne il traffico. Esistono rumors (ma sono solo rumors) di alcune varianti di DNSChanger. DNSCHanger non e’ un bot sotto il controllo diretto e continuo di qualcuno. Essendo vecchio ha un design antiquato, e agisce cosi’ come e’ stato costruito per agire. I bot piu’ moderni sono agli ordini diretti ed immediati (EinSatzBot) di un preciso padrone.
In generale, cioe’, tutti i milioni(?) Uhm: migliaia. di computer che sono infetti (se dico milioni non mi riferisco a DNSChanger ma alle botnet in generale) , sono zombie al comando di una specifica entita’, che gli fara’ fare quel che vogliono. Quelli che sono infettati da DNSChanger invece non obbediscono ad ordini diretti, ma vi costringono ad usare come DNS dei precisi host su internet.
E’ successo che l’ FBI si sia accorto di questo bot e abbia individuato alcune delle mappe false. Significa che il DNS sono come delle mappe di internet. Se io comando i DNS, sto creando delle false mappe, ove Apple (il sito) non e’ piu’ a Cupertino ma si trova a Novostibirsk. Il bot vi mandava a leggere un DNS, cioe’ una mappa, che dava risposte false. Sapendo che io intendevo mandare il traffico apple a Novostibirsk, l’ FBI ha manipolato a sua volta la rete per sostistuirsi a questi DNS e fornire una mappa corretta.
Succede pero’ che da lunedi’ l’ FBI si limitera’ a spegnere le contromisure che aveva adottato per tenere i pc infetti sulla strada giusta, sostituendo quei server che distribuiscono la mappa farlocca, spegnera’ i dns di ausilio che aveva messo in piedi, e cosi’ via, e questo significa che se siete infetti piomberete nel nulla non solo quando cercherete di andare sui siti che questi bot cercano di “collocare altrove”, ma sempre. Perche’ sempre? Perche’ il DNS lo usate sempre.
Perche’ l’ FBI si e’ stufata?
Questo perche’ il pericolo risale a 5 anni fa, e onestamente la polizia si e’ rotta di spendere soldi solo perche’ voi non comprate un antivirus.
In pratica non e’ la fine di internet: e’ semplicemente un “virus” (come lo chiamerete per abitudine) che se si trova sul vostro computer vi vorrebbe mandare in luoghi pericolosi, solo che la polizia americana ha costruito un bel muro sulla strada che porta in quei posti. Potete immaginarla cosi’, anche se e’ piu’ complesso e anziche’ costruire un muro, per rimanere nella metafora, si e’ stufata di fornirvi un ponte.
Andiamo all’ultimo punto. La raccomandazione e’ quella di andare su alcuni siti web che vi diranno se siete infetti oppure no, come questo:
semplicemente cambiate il suffisso .de con il suffisso .it e lo avrete in italiano o in qualsiasi altra lingua: http://www.dns-ok.de
Sono sensati i toni apocalittici di Repubblica o Corriere? No. Sono la solita cialtroneria di chi scrive i titoli dei giornali cercando di fare notizia.
Dal punto di vista delle telco Tier-1 (le telco maggiori) qualora ci siano sonde che fanno tapping a campione sulla reti (come hanno almeno due telco di mia conoscenza) l’attivarsi di una botnet e’ un evento tutt’altro che segreto, diciamo palese. Improvvisamente si palesa un pattern preciso. In questo caso, anche se non abbiamo ache fare con delle botnet, il “pattern” da misurare sono le richieste verso i DNS fasulli, di cui si e’ preso il controllo.
Questo permette di stimare la dimensione di DNSChanger, e onestamente si tratta di 20-50.000 utenti in Italia, e poche centinaia di migliaia di casi in occidente. Ci sono stime piu’ ottimistiche o meno ottimistiche, io preferisco partire dall’idea che in media l’amministratore di piccole reti sia un cialtrone reinventato, e assumo che quando in una piccola rete Small Business c’e’ un computer infetto, allora tutti i computer di quella rete siano infetti. Siamo quindi attorno ai 50.000 in italia e al milioncino nel mondo.
Gli ottimisti stimano 20.000 in Italia e 350.000 nel mondo. Come dicevo, io preferisco una stima paranoica, perche’ il mio lavoro mi chiede di tener conto della sicurezza.
In ogni caso, di certo non e’ l’ Apocalisse di Internet, dal momento che:
- DNSChanger e’ noto da 5 anni e tutti gli antivirus lo bloccano. Vorrei capire chi diamine ancora e’ infetto. Se qualcuno e’ infetto, se lo merita.
- Sebbene alcuni rumors dicano che esistono varianti “EinSatzBot” di DNSChanger, non ci sono ancora prove o ritrovamenti credibili. Esistono EinSatzBot che cambiano il DNS a comando, ma non sono derivati di DNSChanger, se non nell’idea.
- Il numero totale di computer su internet e’ di svariati ordini di grandezza superiore al numero di computer infetti. O se preferite, il numero di computer infetti e’ di svariati ordini di grandezza inferiore al totale dei computer/dispositivi connessi.
- Non e’ un problema di Internet, ma del vostro PC.
Cosa ne penso? Se fosse per me, chi entra su internet dovrebbe prendere una patente, come per l’auto. Siccome non e’ cosi’, esistono ancora computer non protetti contro robe che sono comparse 5 anni fa.
Quindi si, se avete quel virus da lunedi’ potreste non essere piu’ in grado di navigare. Succedera’ a coloro che sono cosi’ arretrati da non essere protetti contro un pericolo registrato nel 2007.
Cioe’, essenzialmente l’ Apocalisse punira’ chi se lo merita.
Ometto di dire quel che penso dei giornalisti biondi che hanno scritto sui giornali di “Apocalissi di Internet” . Che dovrebbero smetterla di cianciare di lunedi’ nero ed iniziare con il lunedi’ neGro. Mi spiego meglio con un disegnino: [ndr: immagine porno rimossa]
Ah, si: nessuno di questi giornalisti e’ negro.
Uriel Fanelli, 7 luglio 2012
(1) Una certa percentuale di cazzeggio ci sta sempre. E lo so , lo zero. Non mi scassate.
(2) Alcuni trovano sensato limitarsi a droppare la connessione tcp. Personalmente lo trovo stupido e facilmente aggirabile.
(3) Un tempo , quando avevo il mio piccolo ISP, avevo semplicemente usato delle liste rbl per bannare asia, africa, sudamerica e paesi dell’est europa. Ai miei clienti non importava il traffico di quei paesi, e io vivevo piuttosto meglio: 95% dello spam in meno e molti meno attacchi/scan.
