Potenziale domain hijacking per .mobi: implicazioni per la sicurezza globale
Un recente incidente di sicurezza ha evidenziato gravi lacune nella gestione dei domini e nei sistemi di sicurezza associati ai certificati SSL/TLS. Un gruppo di ricercatori dei watchTowr Labs ha acquisito un dominio appartenente alla Top-Level Domain .mobi, una vecchia estensione di dominio che, nonostante teoricamente dismessa, continua a essere interrogata da numerosi sistemi critici in tutto il mondo.
I ricercatori, come parte di un esperimento di sicurezza, hanno scoperto che circa 135.000 sistemi, compresi quelli di governi, università e grandi organizzazioni, continuavano a effettuare interrogazioni verso il dominio, credendolo ancora operativo. Queste interrogazioni includevano richieste di validazione di certificati SSL/TLS, che sono fondamentali per garantire la sicurezza delle comunicazioni online.
La scoperta più allarmante è stata la compromissione potenziale di vari certificati SSL/TLS associati al dominio.
I certificati SSL/TLS svolgono un ruolo cruciale nella sicurezza delle comunicazioni online, garantendo la crittografia dei dati trasmessi tra client e server. Tuttavia, la loro efficacia dipende dalla fiducia riposta nelle autorità di certificazione e dalla corretta gestione dei domini associati.
Quando un dominio è coinvolto nella verifica dei certificati, le sue vulnerabilità possono permettere ad attaccanti di intercettare o manipolare il traffico criptato tra server e client. Questo potrebbe esporre dati sensibili come credenziali, informazioni finanziarie e altre comunicazioni riservate. Quando un dominio di questo tipo, che viene utilizzato per la verifica di certificati SSL/TLS diventa vulnerabile, gli attaccanti possono sfruttare la situazione in vari modi:
- Intercettazione del traffico criptato: Se un attaccante ottiene il controllo di un dominio che è parte del processo di verifica dei certificati, può emettere certificati validi a tutti gli effetti. Ciò gli consentirebbe di impersonare siti web legittimi, intercettare le comunicazioni tra il server e il client, e leggere i dati crittografati come password o informazioni finanziarie.
- Manomissione delle comunicazioni: Gli aggressori potrebbero non solo intercettare, ma anche manipolare il traffico criptato. Ad esempio, potrebbero iniettare malware nei file scaricati o modificare i dati in transito, senza che l’utente o il server si accorgano dell’attacco.
- Compromissione della fiducia dei certificati: Se i certificati SSL/TLS emessi tramite il dominio compromesso non sono più validi o sicuri, i browser e altri servizi potrebbero iniziare a segnalare errori di sicurezza per i siti web che li utilizzano. Ciò mina la fiducia nell’infrastruttura digitale, poiché certificati falsi potrebbero apparire come legittimi agli utenti e ai sistemi automatici.
Così facendo i ricercatori hanno dimostrato che, nonostante un dominio possa essere tecnicamente abbandonato, i sistemi che continuano a fare riferimento a esso possono essere a rischio. Questo tipo di attacco, noto come “domain hijacking“, mette in evidenza la necessità di una gestione proattiva e continua dei domini in uso, specialmente quando coinvolgono processi di sicurezza critici come la gestione dei certificati SSL/TLS.