La sicurezza informatica è una guerra continua, che probabilmente non vedrà mai un vero vincitore. Benché tutti vorrebbero che una protezione fosse risolutiva una volta per tutte, possono passare giorni, mesi o addirittura anni ma prima o poi qualcuno la scardinerà: nel caso migliore sarà un ricercatore a farlo, dando alle aziende informazioni e tempo per adottare contromisure; in quello peggiore sarà invece un malintenzionato, coi dolori che ne conseguiranno per tutti gli utenti. Purtroppo quest’ultimo è il caso di “DNSChanger”, un nuovo attacco di cui riporta AppleInsider.

Non si tratta di un comune malware per computer, in quanto l’obiettivo finale sono i router. Questi dispositivi sono ormai da diverso tempo sotto l’occhio attento della criminalità informatica, a causa della poca cura che spesso vi prestano tanto i produttori quanto gli utenti nel tenerli aggiornati, lasciando la porta aperta a pericolosi bug. Scoperto dall’azienda di settore ProofPoint, “DNSChanger” sfrutta un’interessante combinazione di tecniche. I primi ingredienti sono i banner pubblicitari: i circuiti ad essi associati vengono compromessi, affinché possano essere diffusi annunci con codice malevolo. Tale metodo è chiamato malvertising, crasi inglese tra malware e advertising. Il codice eseguito procede a controllare l’indirizzo IP della vittima, e se rientra tra quelli previsti per essere soggetti all’attacco si procede alla fase successiva.

Qui entrano in gioco gli altri due ingredienti: uno è il protocollo WebRTC. Questa tecnologia viene di norma utilizzata in rete dai browser che la supportano per vari scopi leciti, come messaggistica istantanea o trasferimento file. Il browser col supporto più completo a tale protocollo è anche il più diffuso al mondo, Chrome, risultando così il trampolino di lancio perfetto per “DNSChanger”. L’exploit effettua attraverso WebRTC ulteriori verifiche attraverso il programma di navigazione al fine di determinare il router in uso; una volta identificato, procede ad ottenervi accesso dapprima tentando le classiche combinazioni nome utente/password predefinite (es. admin/admin) e poi, se non riesce in quel modo, sfruttando bachi noti del firmware. Ottenuto il controllo, modifica gli indirizzi dei server DNS impostati, il tutto senza che l’utente se ne possa accorgere. Le conseguenze possono non palesarsi subito: a modifiche concluse, “DNSChanger” ha raggiunto il suo scopo e non prosegue nelle azioni. La violazione del router e il cambio dei DNS verranno però poi sfruttati da attacchi ancor più pericolosi, a partire da quelli che fanno finire gli ignari dispositivi infetti nelle famose botnet, spesso utilizzate per compiere azioni criminali su vasta scala contro specifici obiettivi. Il più recente esempio infausto è Mirai, distintosi nel poderoso attacco che ad ottobre mise in ginocchio per ore il provider Dyn (adesso di proprietà Oracle) e una buona parte di internet.

Purtroppo la protezione contro un exploit del genere è molto difficile: anche se Chrome è il principale obiettivo, quasi tutti i principali browser offrono un buon livello di supporto a WebRTC. Paradossalmente, sono coloro che usano Safari o Internet Explorer ad essere più al riparo, dato che il primo ancora non integra il protocollo sopra discusso nel motore WebKit e il secondo ormai è in modalità manutenzione avendo lasciato a Edge le redini di browser principale Microsoft. Pur non potendo in modo aperto raccomandarne l’utilizzo (le pubblicità ci servono per il sostentamento, in aggiunta alle donazioni volontarie), i cosiddetti content blocker come uBlock hanno un potere sufficientemente efficace a mitigare questo tipo di attacchi senza dover ricorrere al cambio di browser. Ma il rischio è sempre dietro l’angolo, e alla fine l’anello debole della catena rimane il router. Si parla di ben 166 firmware vulnerabili a “DNSChanger”, con uno che spesso è implementato su più modelli. L’attenzione è soprattutto sui Netgear, oggetto di recenti polemiche in merito a una falla importante sulla serie R, rinvenuta pure sulla speculare serie D che aggiunge al router un modem DSL. L’azienda ha pubblicato nuovi firmware Beta che risolvono il bug; nonostante non sia ancora identificato come rilascio stabile, personalmente non ho riscontrato alcun problema dopo averlo applicato al mio D6400. Per tutti gli altri dispositivi in potenziale pericoloso, occorrerà sperare in un rapido intervento da parte dei produttori per assicurare gli opportuni bugfix.