Il termine hijacking significa “dirottare”, ovvero portare un utente ignaro a collegarsi ad un sito malicious spacciandolo per quello a cui voleva effettivamente accedere. Nel precedente post, abbiamo visto un classico esempio di hijacking, basato sul DNS Poisoning. Tuttavia tale metodo non è il più utilizzato quando si parla di dirottamento, poichè di difficile attuazione. Ecco allora che vengono introdotte alcune tecniche alternative all’avvelenamento del DNS, molto più facili da eseguire e con probabilità di successo molto più elevate. Tra queste tecniche quella maggiormente utilizzata riguarda la modifica del file hosts, presente nella stragrande maggioranza dei sistemi operativi.
Ma a cosa serve effettivamente il file hosts? Bene, a grandi linee esso viene utilizzato con tre finalità:
1) implementare un servizio di blacklisting, ovvero impedire volontariamente l’accesso della nostra macchina ad alcuni siti Internet;
2) rendere più rapide le operazioni di testing effettuate sugli indirizzi pubblici degli host di una rete, senza pubblicarli necessariamente su Internet, esponendoli ad inutili rischi;
3) rendere più veloce l’accesso ad un determinato sito Internet (senza contattare il DNS di zona), poichè l’indirizzo IP associato al suo dominio è presente nel file in questione.
E’ bene comunque guardare in faccia la realtà: il file hosts è scarsamente utilizzato per quanto riguarda le finalità lecite ad esso associate, mentre è ampiamente utilizzato con finalità di hijacking.
Ma come può avvenire la modifica del file hosts? Per capire ciò è necessario andare a rappresentare la struttura del file in questione (di seguito è riportato il file hosts di default di Windows XP, che si trova nella dir C:>/WINDOWS/system32/drivers/etc):
# Copyright (c) 1993-1999 Microsoft Corp. # # Questo è un esempio di file HOSTS usato da Microsoft TCP/IP per Windows. # # Questo file contiene la mappatura degli indirizzi IP ai nomi host. # Ogni voce dovrebbe occupare una singola riga. L'indirizzo IP dovrebbe # trovarsi nella prima colonna seguito dal nome host corrispondente. # L'indirizzo e il nome host dovrebbero essere separati da almeno uno spazio # o punto di tabulazione. # # È inoltre possibile inserire commenti (come questi) nelle singole righe # o dopo il nome del computer caratterizzato da un simbolo '#'. # # Per esempio: # # 102.54.94.97 rhino.acme.com # server origine # 38.25.63.10 x.acme.com # client host x 127.0.0.1 localhost
Come si può facilmente notare, all’indirizzo 127.0.0.1 è associato il dominio localhost. Allo stesso modo potrei associare all’indirizzo 151.12.1.1 il dominio www.ciao.it. In questo modo quando proverò ad accedere mediante browser all’indirizzo www.ciao.it, contatterò l’IP 151.12.1.1. Proprio grazie a questo mapping IP-dominio potrei, in teoria, effettuare delle operazioni malicious. Ad esempio:
Trudy registra un dominio, www.trudy.com, con IP 151.12.1.1 e 151.12.1.2, su cui carica un sito in cui sono presenti contenuti di tipo dinamico (e quindi potenzialmente dannosi) ed un sito-copia di www.banca.it. Nel caso specifico, Trudy ha inserito all’interno del proprio sito un applicativo che va a modificare automaticamente il file hosts del PC vittima. Il file hosts potrebbe assumere la seguente struttura
151.12.1.2 www.banca.it
In questo modo, l’utente ignaro, digitando sul suo browser www.banca.it accederà al sito-copia di Trudy, il cui indirizzo è proprio 151.12.1.2. L’utente non si accorgerà di quanto avvenuto, e procederà, ad esempio, con l’inserimento delle proprie credenziali per l’accesso al portale di homebanking. Tale accesso, ovviamente, avrà come unico risultato quello di permettere a Trudy di carpire le credenziali dell’utente vittima e riutilizzarle per effettuare, ad esempio, dei pagamenti.
Si potrebbe evitare una situazione del genere semplicemente impedendo al nostro browser di scaricare i contenuti dinamici associati a siti di dubbia provenienza, o ancora installando un buon anti-spyware. Fate dunque molta attenzione.
Il post termina qui, a presto.