[Linux-Biella] perle di sicurezza - fake DNS

[Leonardo Buffa]

ciao
a volte capita che qualche client winzoz si ritrovi nei DNS qualche 
strano indirizzo sparso per Internet

interrogando questo DNS notiamo che qualunque richiesta viene sempre 
risolta con il medesimo IP

ecco un esempio:

leos a T410i:~$ nslookup
 > server $FAKEDNS
Default server: $FAKEDNS
Address:  $FAKEDNS#53
 > www.google.it
Server:		 $FAKEDNS
Address:	 $FAKEDNS#53

Name:	www.google.it
Address: $ALTROSERVER
Name:	www.google.it
Address: xxx.yyy.247.38
 > www.nasa.gov
Server:		 $FAKEDNS
Address:	 $FAKEDNS#53

Name:	www.nasa.gov
Address: xxx.yyy.245.222
Name:	www.nasa.gov
Address:  $FAKEDNS
 > server.pippo.intra
Server:		 $FAKEDNS
Address:	 $FAKEDNS#53

Name:	server.pippo.intra
Address: xxx.yyy.245.222
Name:	server.pippo.intra
Address:  $FAKEDNS


cosa succede e perche'?

niente di piu' semplice: il server DNS costruito ad HOC risolve 
qualunque richiesta venga fatta con l'IP di qualche altro server (magari 
sempre lui) che pero' ovviamente non risponde con i servizi che ci 
aspettiamo, dando origine a "problemi di navigazione" o altre amenita'.

in realta' sul server risolto e' spesso presente un semplice sniffer che 
si va a succhiare tutte le credenziali che spesso vengono inviate 
automaticamente durante un accesso.

solitamente l'utente (e l'eventuale amministratore di rete se siamo in 
una azienda) se ne accorge dopo aver inviato numerose credenziali che 
sono state immagazzinate dallo "sniffer"



-- 
花は桜木、人は武士