Domini .mobi attaccati via WHOIS, con 20 dollari. Com'è potuto accadere

Benjamin Harris, CEO di watchTowr, ha sfruttato una vulnerabilità nel servizio WHOIS dei domini .mobi per generare certificati HTTPS contraffatti e monitorare comunicazioni email. Ecco come ha fatto. L'esperimento solleva preoccupazioni sulla fragilità delle misure di sicurezza attuali.

Non capita tutti i giorni che un ricercatore di sicurezza acquisisca la capacità di generare certificati HTTPS contraffatti, di tracciare le attività via email su domini altrui e, addirittura, di eseguire codice arbitrario su migliaia di server. Incredibile, ma è esattamente ciò che è successo a Benjamin Harris, CEO della società di sicurezza watchTowr. Il bello è che è bastata una spesa minima, pari a 20 dollari, per acquisire in un colpo solo tutte queste capacità e attaccare domini .mobi.

Tutto è cominciato con la scoperta del mancato rinnovo di un dominio precedentemente utilizzato dal register dei domini di primo livello .mobi per fornire il servizio WHOIS. Come abbiamo spiegato nell’articolo, ogni registro di domini di primo livello fornisce uno strumento, accessibile pubblicamente, per verificare l’intestatario di un nome di dominio.

Harris ha scoperto che il dominio dotmobiregistry.net era scaduto quindi il servizio WHOIS whois.dotmobiregistry.net non forniva più alcuna risposta. Il registro per il TLD .mobi aveva infatti annunciato il passaggio al nuovo dominio whois.nic.mobi.

Registrazione del dominio e riattivazione del vecchio WHOIS per il dominio .mobi

Ciò che ha fatto Harris in collaborazione con gli altri esperti di watchTowr, è la registrazione del vecchio dominio dotmobiregistry.net. Nel giro di poche ore dalla configurazione del suo server, questo ha ricevuto oltre 76.000 query uniche da parte di enti, registri di dominio, strumenti di sicurezza online e governi di tutto il mondo.

Popolando il suo database WHOIS con dati fittizi che corrispondevano a domini .mobi reali, Harris ha acquisito poteri che non avrebbe mai dovuto avere. Tra questi, la capacità di determinare l’indirizzo email che un’autorità di certificazione, come GlobalSign, utilizza per verificare le richieste di certificati TLS.

Il ricercatore ha generato anche una richiesta di certificato per il dominio microsoft.mobi, ottenendo per tutta risposta da GlobalSign un’email contenente un link di verifica. Il messaggio è stato inviato a un indirizzo email di watchTowr.

A valle di tutto quanto accaduto, Harris ha deciso di interrompere l’esperimento per motivi etici e di informare prontamente tutte le parti coinvolte.

Il servizio WHOIS è sempre centrale nei processi di verifica

Il team di ricercatori di watchTowr spiega che la loro scoperta casuale mette in luce la fragilità delle misure di sicurezza su cui ci si basa quotidianamente. Il sistema WHOIS, nonostante sembri obsoleto, è ancora cruciale ed è correntemente utilizzato da servizi antispam e autorità di certificazione per verificare la proprietà dei domini. Ovvio che se un attaccante riuscisse in qualche modo a far breccia nel servizio WHOIS di un TLD di primo livello, come abbiamo visto nel caso di .mobi, le conseguenze potrebbero essere disastrose.

Harris sottolinea che con la sua azione è di fatto riuscito ad attrarre a sé i poteri di generazione ed emissione di certificati TLS/SSL validi per qualunque dominio .mobi.

Attività del genere, se poste in essere da gruppi di criminali informatici, potrebbero condurre all’intercettazione del traffico o alla creazione di server fasulli, spacciati come appartenenti ad organizzazione legittime e universalmente riconosciute (phishing efficacissimo). I server email e i servizi antispam hanno interagito con il dominio registrato da Harris, consentendogli di monitorare le comunicazioni private.

Da ultimo, la presenza di alcune vulnerabilità in vari client WHOIS può consentire l’esecuzione di codice malevolo sui dispositivi che effettuano query. E ciò che rende la situazione ancora più preoccupante è che molti client WHOIS si basano su riferimenti obsoleti, continuando a interrogare server non più affidabili.

La fine dell’esperimento e i rischi futuri

I ricercatori di watchTowr precisano di aver collaborato con il National Counterintelligence and Security Center (NCSC) statunitense oltre che con l’organizzazione ShadowServer Foundation per garantire la custodia del dominio e prevenire ulteriori esposizioni.

Tuttavia, il problema di fondo rimane: l’assenza di una convenzione condivisa per la denominazione dei server WHOIS e la possibilità che domini o infrastrutture obsolete possano diventare una minaccia appaiono come una sorta di spada di Damocle per il futuro.

Quanto emerso non può non suonare come un campanello d’allarme per la sicurezza dell’intera rete Internet. C’è bisogno di una revisione dei sistemi di registrazione e verifica dei domini, al fine di proteggere gli utenti e mantenere l’integrità delle comunicazioni online.

Credit immagine in apertura: iStock.com – adventtr

Ti consigliamo anche

Link copiato negli appunti