Il dominio che accede alla tua rete potrebbe non essere quello che sembra. Il fronting del dominio consente a un utente malintenzionato di intrufolarsi da quella che sembra essere una fonte legittima.
Dicono che tutto è lecito in guerra. I criminali informatici stanno facendo di tutto per vincere la guerra informatica implementando ogni mezzo possibile per attaccare vittime ignare per i loro dati. Distribuiscono i più grandi inganni per mascherare la loro identità e coglierti di sorpresa con tecniche come attacchi di dominio.
Quel dominio apparentemente legittimo che accede alla tua rete potrebbe non essere legittimo dopo tutto. Per quanto ne sai, un attaccante potrebbe affrontarlo per metterti in un angolo stretto. Questo è ciò che è noto come attacco di fronting del dominio. C'è qualcosa che puoi fare al riguardo?
Che cos'è un attacco di fronting di dominio?
Nell'ambito della regolamentazione di Internet, alcuni paesi impediscono ai cittadini di accedere a specifici contenuti online e siti Web bloccando il traffico degli utenti all'interno del proprio territorio. Impossibile accedere legittimamente a questi siti Web nella lista nera, alcune persone cercano mezzi di accesso non autorizzati.
Il fronting del dominio è un processo in cui un utente maschera il proprio dominio per accedere a un sito Web a cui è vietato l'accesso nella propria posizione. Un attacco di fronting di dominio, d'altra parte, è un processo di fronting di un dominio legittimo con le tecniche di fronting di dominio, per attaccare una rete.
In origine, il fronting del dominio non era un mezzo di attacco informatico. Gli utenti non malintenzionati potrebbero utilizzarlo per aggirare la censura nei confronti di determinati domini nella loro posizione. Ad esempio, nella Cina continentale, dove YouTube è vietato, un utente potrebbe utilizzare il fronting del dominio per accedere a YouTube per scopi di intrattenimento innocui senza compromettere l'account di nessuno. Ma visto che era un modo conveniente per superare i controlli di sicurezza, i criminali informatici lo hanno dirottato per i loro guadagni egoistici, da qui il fattore di attacco.
Come funziona un attacco Domain Fronting?
Per sconfiggere la censura sul campo, un attore di dominio assume l'identità di un legittimo utente di Internet, di solito uno che proviene da una posizione geografica diversa. La rete di distribuzione dei contenuti (CDN), un repository di server proxy in tutto il mondo, svolge un ruolo importante in un attacco fronting di dominio.
Quando si desidera accedere a un sito Web, si attivano le seguenti richieste:
- DNS: Il tuo dispositivo di connessione a Internet ha un indirizzo IP. Questo indirizzo è unico ed esclusivo per il tuo dispositivo. Quando provi ad accedere a un sito web, tu avviare una richiesta DNS (Domain Name System). che converte il tuo nome di dominio in un indirizzo IP.
- http: La richiesta HTTP (Hypertext Transfer Protocol) collega la tua richiesta di accesso agli ipertesti all'interno del World Wide Web (WWW).
- TLS: La richiesta Transport Layer Security (TLS) converte i tuoi comandi HTTP in HTTPS tramite crittografia e protegge l'input tra i tuoi browser Web e i server.
Fondamentalmente, un DNS converte il tuo nome di dominio in un indirizzo IP e l'indirizzo IP viene eseguito su una connessione HTTP o HTTPS. La conversione del tuo nome di dominio in un indirizzo IP non modifica il tuo dominio; rimane lo stesso. Ma nel fronting del dominio, mentre il tuo dominio rimane lo stesso in DNS e TLS, cambia in HTTPS. I record DNS mostrano il dominio legittimo ma l'HTTPS reindirizza a uno proibito.
Ad esempio, vivi in un paese in cui example.com è bloccato ma desideri comunque accedervi. Il tuo obiettivo è accedere a example.com utilizzando un sito Web legittimo come makeuseof.com. Le richieste al tuo DNS e TLS punteranno a makeuseof.com ma la tua connessione HTTPS punterà a example.com.
Il fronting del dominio sfrutta il sicurezza avanzata di HTTPS avere successo. Poiché HTTPS è crittografato, può aggirare i protocolli di sicurezza senza essere rilevato.
I criminali informatici sfruttano lo scenario di cui sopra per lanciare attacchi di dominio. Invece di fronteggiare un dominio legittimo per accedere a siti Web a cui sono limitati a causa della censura, si affacciano su un dominio legittimo per rubare dati ed eseguire attività dannose associate.
Come prevenire gli attacchi di fronting del dominio
Nel lanciare attacchi di dominio, i criminali informatici non fronteggiano solo domini legittimi, ma anche quelli di alto livello. E questo perché tali domini hanno la reputazione di essere autentici. Naturalmente non avresti motivo di sospettare quando individui un dominio legittimo sulla tua rete.
Puoi prevenire gli attacchi front-front nei seguenti modi.
Installa un server proxy
UN il server proxy è un intermediario o intermediario tra te (il tuo dispositivo) e Internet. È un sistema di sicurezza che impedisce agli utenti di accedere direttamente a Internet, soprattutto perché il traffico degli utenti può essere dannoso. In altre parole, filtra il traffico per verificare la presenza di vettori di minacce prima di consentirlo in un'applicazione web.
Per impedire il fronting del dominio, configura il tuo server proxy per intercettare tutte le comunicazioni TLS e assicurati che l'intestazione dell'host HTTP sia la stessa di quella reindirizzata da HTTPS. In base alle tue impostazioni, il sistema negherà l'accesso se rileva una mancata corrispondenza.
Evita le voci DNS penzolanti
Tutte le voci nel tuo DNS dovrebbero dirigere l'ingresso del traffico verso i canali designati. Quando inserisci una voce che il DNS non può elaborare a causa dell'assenza della risorsa, hai un record DNS penzolante.
Un record DNS è sospeso quando è configurato in modo errato o obsoleto e non è utile per i comandi DNS. Questo crea spazio per attacchi di dominio poiché gli attori delle minacce utilizzano le voci per le loro attività dannose.
Per impedire agli attacchi di fronting del dominio di far penzolare le voci DNS, è necessario mantenere sempre puliti i record DNS. Effettuare regolari servizi igienico-sanitari per verificare la presenza di voci vecchie e obsolete ed eliminarle. È possibile utilizzare uno strumento di monitoraggio DNS per automatizzare il processo. Genera un elenco di tutte le tue risorse attive nei record DNS e individua quelle non attive.
Adotta la firma del codice
La firma del codice è la firma del software con firme digitali come l'infrastruttura a chiave pubblica (PKI) per mostrare agli utenti che il software è intatto senza alcuna alterazione. L'obiettivo principale della firma del codice è garantire agli utenti che l'applicazione che stanno scaricando sia autentica.
La firma del codice ti consente di firmare il tuo dominio e altre risorse nei tuoi record DNS per mostrare la loro integrità e stabilire una catena di fiducia tra di loro. Il sistema non convaliderà né elaborerà alcuna risorsa o comando su cui non sia impressa la firma autorizzata.
Implementa Zero Security Trust per prevenire gli attacchi Domain-Fronting
Gli attacchi fronting del dominio evidenziano i pericoli associati al traffico del dominio. Se gli hacker possono fronteggiare piattaforme di autorità legittime per penetrare nel tuo sistema, ciò dimostra che non puoi fidarti di nessuna piattaforma.
L'implementazione della sicurezza zero-trust è la strada da percorrere. Assicurati che ogni traffico verso la tua rete sia sottoposto a controlli di sicurezza standard per verificarne l'integrità.