Giuseppe F.
C’è una nuova minaccia hacker da temere, che coinvolge chiunque navighi su internet. Gli attacchi sono già partiti da tempo.
La nuova tecnica usata dagli hacker appare assai sofisticata e pericolosa. In pratica, hanno imparato a sfruttare una zona franca e poco controllata di internet come nascondiglio, come nuovo canale di comunicazione e, soprattutto, come vettore di attacco per gli utenti comuni. Tradotto: ora i malintenzionati possono rilasciare migliaia di malware all’interno di una parte fondamentale e spesso trascurata del funzionamento del web.
Il dominio critico è il DNS, ovvero il domain name system, la funzione che converte i nomi dei siti web (come www.player.it, ad esempio) in indirizzi IP. Cioè in quei codici che i computer usano per comunicare tra loro. Ebbene, gli hacker hanno imparato a nascondere dei codici malevoli o infetti nei record TXT del DNS, che sono normalmente usati per memorizzare testo arbitrario (per esempio, per verificare la proprietà di un dominio).
Il DNS è fondamentale per chiunque navighi sul web, anche per chi si limita a usare browser standard e a fare ricerche apparentemente innocue. Gli informatici trattano il DNS come il traduttore automatico del linguaggio web, una funzione che serve appunto a convertire nomi facili da leggere e da scrivere in codici numerici (gli indirizzi IP, che i computer usano per comunicare). L’utente digita e legge www.player.it, e il DNS lo traduce in 104.21.27.198 e 172.67.202.235, ovvero nei due indirizzi IP del dominio.
Gli hacker ora sanno tradurre il malware in formato esadecimale, ovvero in una rappresentazione testuale dei dati binari. Tale malware viene poi spezzettato in centinaia di frammenti, subito dopo inserito in un record TXT di un sottodominio diverso.
Gli hacker ora sfruttano i DSN per attacchi più sofisticati
Altri hacker possono quindi ricostruire il file malevolo interrogando i record DNS, senza dover scaricare nulla da siti sospetti. Ciò ha senso per gli hacker perché il traffico DNS è spesso ignorato dai sistemi di sicurezza, che si concentrano su email e web.
E con l’uso crescente di DNS cifrato (DoH e DoT) è complicato monitorare bene queste richieste. Di recente, per esempio, è stato trovato un malware chiamato Joke Screenmate, che simula comportamenti distruttivi sul computer. Il malware dà istruzioni per manipolare chatbot AI per far cancellare tutti i dati, bloccare i firewall o per limitare la potenza di calcolo dei programmi.
Siamo dunque di fronte a una nuova frontiera del cyber-crime? Secondo gli esperti di sicurezza serve applicarsi con più zelo sul monitoraggio del traffico DNS. Ma difendersi dalle nuove minacce che sfruttano il DNS per nascondere malware richiede un approccio proattivo e multilivello. Bisogna partire dal fatto che i DNS tradizionali non offrono protezione.
Conviene quindi usare DNS anti-malware, che bloccano automaticamente domini noti per ospitare malware, phishing o botnet e attacchi di tunneling DNS e cache poisoning. Anche chi non è un mago del computer può però navigare in sicurezza. Come? Cambiando il DNS, usando un antivirus affidabile e navigando con attenzione.