Il “domain fronting” è una tecnica che consente di mascherare il traffico Internet utilizzando nomi di dominio diversi sulla stessa connessione HTTPS. Questo metodo, diventato popolare nei primi anni 2010, è stato ampiamente utilizzato nello sviluppo di app mobili e ha sia applicazioni legittime che potenziali abusi. Esaminiamo più da vicino come funziona il DF e le sue implicazioni per la sicurezza online.
Come funziona il Domain Fronting?
Il DF sfrutta le reti di Content Delivery Network (CDN) per nascondere la vera destinazione del traffico Internet. In una connessione “normale”, il sistema DNS (Domain Name System) trova l’indirizzo IP per il nome di dominio richiesto. Nel domain fronting, invece, si fa una richiesta HTTPS che sembra provenire da un dominio diverso, imitando le richieste DNS e TLS del dominio secondario. Questo rende possibile, ad esempio, connettersi discretamente a un dominio target diverso all’interno di una connessione TLS a un sito consentito.
Utilizzo e abusi del Domain Fronting
Originariamente è stato adottato da servizi online come Tor, Telegram e Signal per eludere la censura su Internet in paesi oppressivi. Tuttavia, ha anche un lato oscuro: gli attori malevoli possono sfruttare questa tecnica per utilizzare domini legittimi o di alta reputazione, che di solito sono inclusi nelle liste di permessi dei difensori. Questo ha portato a un aumento della popolarità del domain fronting nelle operazioni di malware, dove viene utilizzato per impostare un canale di comando e controllo (C2) su un dominio apparentemente legittimo per eludere le tecniche difensive.
Difesa contro il Domain Fronting
La migliore difesa contro il domain fronting in un’organizzazione aziendale è un servizio SWG (Secure Web Gateway) basato su cloud con capacità illimitate di intercettazione TLS. Uno SWG è una tecnologia di sicurezza di rete che filtra il traffico tra gli utenti e Internet, applicando politiche di utilizzo accettabile e di sicurezza. Con uno SWG o strumenti simili, è possibile rilevare discrepanze tra l’indicazione del nome del server TLS (SNI) e l’intestazione host HTTPS, ricevendo così un avviso in caso di rischio.