WHOIS
Oltre al database distribuito, che è alla base del servizio DNS, su Internet esistono altri repository accessibili pubblicamente che possono essere utilizzati per recuperare informazioni sulle entità coinvolte nell’erogazione di un determinato servizio e/o sui referenti tecnici chiamati a gestire l’assegnazione degli indirizzi IP a server e utenti legittimi.
Queste banche dati sono mantenute e rese accessibili da organizzazioni sovranazionali, provviste di specifiche competenze territoriali, come il RIPE (per l’Europa) o ARIN (per l’America del Nord).
Il protocollo progettato per effettuare ricerche in tale database è il protocollo WHOIS. In origine tutte le registrazioni riguardanti Internet pubblica venivano effettuate da una singola organizzazione (DARPA) e pertanto era previsto un unico server da interrogare tramite query WHOIS.
Oggi le informazioni sono memorizzate per aree geografiche e segmentate per area di competenza in un numero consistente di server WHOIS.
Ciascun server pubblico contiene pertanto un sottoinsieme delle registrazioni e delle altre informazioni che interessano gli utenti.
A differenza del servizio DNS, il protocollo WHOIS non definisce alcun metodo per permettere una risoluzione delle query trasparente all’utente finale (nessuna risoluzione interattiva).
Se l’informazione richiesta non è disponibile è compito del richiedente contattare un altro server WHOIS per provare di nuovo la risoluzione richiesta. La porta riservata al servizio è la 43/tcp anche se oggi molti utilizzano un’interfaccia web per accedere agli stessi database.
La versione corrente del protocollo è descritta nella RFC 3912, ove è indicato espressamente che il protocollo non definisce meccanismi per il controllo accessi (non è richiesta alcuna autenticazione del richiedente), e per assicurare data integrity e data privacy alle informazioni scambiate tra client e server.
Vulnerabilità WHOIS
A parte la mancanza di riservatezza e la possibilità che un attaccante in condizione man-in-the-middle possa modificare le risposte effettuate da un client al database WHOIS, il principale rischio associato al servizio è legato al fatto che esso espone informazioni potenzialmente sensibili ad attaccanti esterni.
Con adeguata esperienza e un pò di pazienza è possibile recuperare informazioni molto interessanti sui soggetti che hanno registrato gli oggetti nel database.
Indirizzi fisici (città, via, numero civico) e numeri telefonici sono associati regolarmente a ogni oggetto di tipo Person.
Talvolta le informazioni registrate non sono accurate e si riferiscono a contatti che non sono più in azienda. Il concetto di obsolescenza delle informazioni non è ben definito, così come un resoconto delle modifiche effettuate (storico).
Per evitare spamming di richieste, i server WHOIS impongono normalmente un limite di richieste per unità di tempo. Ma tale meccanismo non è incluso nel protocollo, si tratta di una procedura proprietaria che qualcuno adotta per preservare il servizio per gli utenti legittimi.
Un altro aspetto pericoloso sono le false registrazioni.
In quanto alcuni soggetti incaricati delle registrazioni utilizzano ancora metodi un pò primitivi per autenticarsi presso il server WHOIS dell’organizzazione competente per l’area (per esempio l’uso di una casella postale prestabilita come meccanismo per validare l’identità della sorgente).
Un’altra limitazione è che il protocollo non è stato previsto per una platea internazionale.
WHOIS nasce quando la rete Internet era una tecnologia esclusivamente appannaggio degli USA e pertanto prevede utilizzo solo di caratteri ASCII US.
Infine la mancanza di una lista ufficiale di WHOIS server rende più semplice per un attaccante sostituirsi a un server legittimo.
La sostituzione di un server legittimo è resa ancor più semplice dal fatto che non sono previsti meccanismi espliciti per stabilire l’identità del server contattato.
Nonostante le vulnerabilità riconosciutegli, il protocollo WHOIS non è al momento oggetto di particolari revisioni mirate a innalzare il livello di sicurezza.
Pertanto è necessario prevederne l’utilizzo solo per accedere in maniera anonima e/o rendere disponibili informazioni non sensibili da parte delle organizzazioni connesse a Internet pubblica.
La mancanza di controlli impliciti sull’integrità delle informazioni registrate nel database dei server WHOIS, rende consigliabile inserire nella propria policy di sicurezza l’indicazione di eseguire controlli periodici volti a determinare la veridicità degli oggetti riferiti all’azienda e/o la necessità di rimuovere particolari informazioni che espongono la rete Corporate a forme di Social Engineering.