DNS hijacking, il bug sfugge e si rivela

“Il gatto è fuori dal sacco”: così si annuncia sui blog. L'infame falla infrastrutturale individuata da Dan Kaminsky, il ricercatore che quasi due settimane fa ha disvelato la vulnerabilità dei server DNS, chiedendo di non fare speculazioni pubbliche per il tempo necessario alle società coinvolte a distribuire una mega-patch in grado di neutralizzare il baco, è uscita fuori dal cordone di segretezza che avrebbe dovuto contenerla .

Kaminsky aveva annunciato che avrebbe atteso almeno 30 giorni prima della pubblicazione di tutti i dettagli sul suo lavoro di ricerca, giusto in tempo per la convention Black Hat che si terrà a Las Vegas il prossimo 6 agosto. Una divulgazione anticipata avrebbe potuto significare mettere a rischio il lavoro di 6 mesi , tempo impiegato assieme a Microsoft, Cisco e le altre grandi aziende coinvolte a vario titolo nella gestione della infrastruttura DNS, per mettere a punto una soluzione al problema.

Ma le speculazioni pubbliche, a quanto pare, cominciano a fioccare nonostante l'invito di Kaminsky: Thomas Dullien, CEO della società Zynamics.com anche noto halvar.flake , ha messo in dubbio la validità del principio di blackout sulle discussioni pubbliche e ha iniziato a parlare delle sue rilevazioni compiute osservando quel poco, o pochissimo, che era stato descritto da Kaminsky.

Secondo quanto pubblicato da Dullien, e poi confermato da altri ricercatori, l'attacco consisterebbe nello sfruttare una connessione sufficientemente veloce per interferire in una richiesta di risoluzione di un nome di dominio, “avvelenando” le richieste nella cache del server DNS e riuscendo a dirottare il traffico verso un sito web contraffatto.

Non esistono al momento conferme sul fatto che sia proprio questa la sostanza della tanto temuta vulnerabilità che in questi giorni sta tenendo sulle spine i giganti dell'economia di rete, ma è pur vero che lo stesso Kaminsky, che intende evidentemente tener fede alla propria intenzione di non parlare prima di agosto, ha pubblicato un post criptico sul suo blog, in cui invita ad aggiornare i sistemi con la patch quanto prima è possibile. Un post che molti hanno interpretato come una conferma: il segreto non sarebbe più un segreto.

Alfonso Maruccia