Luca Carettoni wrote:
Personalmente lo vedo un argomento rilevante dal punto di vista della ricerca
ma poco interessante nel mondo reale. Per truffare la maggior parte delle
persone (con scarse capacità informatiche) non serve un attacco di questo
tipo ma un semplice sito mirror fatto bene.
Qualche considerazione, che non ha la volontà di interpretare le
motivazioni che possono stare alla base di quel genere di approccio, ma
che vorrebbe lasciar intendere come dietro a questi nuovi approcci
tecnici per fregar la gente si possano nascondere, a catena, scenari
assai più vasti.
Un mirror a scopo phishing, per quanto fatto bene, è facilmente
individuabile e tracciabile. Quando viene individuato il mirror,
aggiungerne la locazione ad una DNSBL URI-based (tipo ph.surbl.org)
permette in tempi rapidi di propagare tale conoscenza a tutti gli
strumenti di mail-filtering che si appoggiano a tali risorse, bloccando
pertanto l'esposizione degli utenti alla minaccia.
Se viceversa il meccanismo agisce manipolando il resolver dell'utente
(che sia attraverso JS o malware che agiscano direttamente sulle
impostazioni del PC anzichè sul router, poco cambia se non il
tecnicismo), il link che punta alla risorsa è *completamente
indistinguibile* da quello reale e lecito del target del phishing, e
l'individuazione e il filtraggio di mail di origine malevola sarebbe
assai ardua, in quanto la discriminazione tra mail "malevole" e non sta
-in un certo senso- solo dalla parte dell'utente, e non più all'interno
della mail.
Ovviamente, non è banalissimo per l'abusante riuscire a correlare un
indirizzo email da "phishare" con la locazione di un PC ove la
manipolazione del resolver è riuscita, e questo -per ora- limita il
campo di applicazione di questo metodo, ma se ciò avvenisse il risultato
potrebbe avere un success-rate maggiore del phishing "tradizionale".
Tuttavia, non è troppo distante lo scenario in cui questo potrà
capitare, soprattutto alla luce delle strette correlazioni che si stanno
individuando tra alcune delle azioni di phishing più imponenti in
circolazione e le attività delle organizzazioni dietro la genesi dello
Storm Worm.
E ancora: l'unica speranza ragionevole di tamponare gli effetti del
pharming è (quando applicabile) il fatto che la rete stessa non consenta
di raggiungere il DNS dell'abusante (e di qui l'esistenza di oggetti
come la lista DROP di Spamhaus, ad esempio), nel qual caso l'utente non
risolve più nulla ma almeno "si salva".
Oppure bloccare a livello di routing la comunciazione con il mirror http.
Tuttavia, se aggiungi che le tecniche di fast-flux hanno introdotto
funzionalità DNS e http direttamente all'interno di questi worm, e che
storm stesso ne fa ampio utilizzo, ci sono ottime possibilità che il DNS
verso cui l'utente viene rediretto sia interno alla sua stessa macchina,
e il mirror sullo zombie del vicino di casa...
Difficile dire dove possa portare tutto questo, ma di certo trovo
difficile sottovalutarne il potenziale impatto.
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
