FAQs - poisoning

Le domande sulla sicurezza tratte dalla rivista semestrale GARR News


Sono sempre più comuni i casi di modifica delle risposte DNS. Cosa si può fare per proteggere la sicurezza e la net neutrality?
Tratto dalla rubrica Risponde Cecchini - GARR News 4 - Giugno 2011

Il Domain Name System (DNS) è il meccanismo che traduce gli indirizzi internet dalla forma “umana” (ad es., www.facebook.com) a quella utilizzabile dalle apparecchiature di rete (ad es., 66.220.153.19).

Il DNS è invisibile per gli utenti finali, ma è uno degli elementi essenziali per il funzionamento di Internet. Come quasi tutti i protocolli “storici”, il DNS è stato progettato senza particolare attenzione ai problemi di sicurezza.

La conseguenza è che risulta abbastanza facile realizzare attacchi al traffico Internet che provochino il suo reindirizzamento all’insaputa dell’utente (DNS poisoning). Ad esempio: penso di collegarmi alla mia banca mentre in realtà mi ritrovo in un sito costruito a sua imitazione, con lo scopo di carpire i miei dati. Attenzione: non sto parlando di phishing, quando cioè sono invogliato a cliccare su di un indirizzo fasullo.
Nel caso di DNS poisoning ho proprio digitato quello corretto: è il meccanismo di traduzione che è stato imbrogliato.

Un’altra possibilità, anche questa sempre più frequentemente sfruttata, è la realizzazione di filtri per impedire l’accesso a determinati siti. L’esempio più classico è il Great Firewall of China (http://goo.gl/4LBFH), che i più curiosi possono sperimentare in azione chiedendo, ad esempio, la traduzione dell’indirizzo di Facebook inserendo il comando: “dig @dns1.chinatelecom.com.cn. www.facebook.com.” in una finestra di terminale unix dal quale si otterrà tutta una serie di risposte false. E non pensate che la cosa non vi riguardi perché anche l’Italia, purtroppo, non è esente da queste tecniche.

Per chi volesse saperne di più rimando a due eccellenti articoli (http://goo.gl/UDDX1 e http://goo.gl/qGnaE).

DNSSEC è uno dei protocolli che sono stati suggeriti per rendere più sicuro e affidabile il DNS ed evitare quanto descritto prima. DNSSEC autentica con metodi crittografici il colloquio tra i vari name server, in modo che, per i domini abilitati, le risposte giungano sempre dai server “giusti”.

Naturalmente le cose non sono così facili come sembrano: affinché il meccanismo funzioni bene, vista la natura, distribuita sì, ma anche gerarchica, del DNS, è necessario che tutti i server della gerarchia utilizzino questo nuovo protocollo. Recentemente, due passi molto importanti sono stati fatti con l’abilitazione del Root Level e di .com.

Con quest’ultimo sono circa 25 i Top Level Domain abilitati, tra cui .edu, .org e .net, siamo però ancora ben lontani dall’adozione universale. Molto rimane ancora da fare: ci sono grossi problemi organizzativi, tecnici e, ovviamente, politici.

Anche da noi, sia pur lentamente, le cose si stanno muovendo e mi auguro che ci siano presto buone nuove.

Questo sito utilizza i cookie per migliorare servizi ed esperienza dei lettori. Se decidi di continuare la navigazione consideriamo che accetti il loro uso. Per maggiori informazioni sull'uso dei cookies e su come eliminarli leggi l'informativa estesa