Sono sempre più comuni i casi di modifica delle risposte DNS. Cosa si può fare per proteggere la sicurezza e la net neutrality?

Sono sempre più comuni i casi di modifica delle risposte DNS. Cosa si può fare per proteggere la sicurezza e la net neutrality?

| Roberto Cecchini | risponde cecchini
Articolo letto 4814 volte

Il Domain Name System (DNS) è il meccanismo che traduce gli indirizzi internet dalla forma “umana” (ad es., www.facebook.com) a quella utilizzabile dalle apparecchiature di rete (ad es., 66.220.153.19).

Il DNS è invisibile per gli utenti finali, ma è uno degli elementi essenziali per il funzionamento di Internet.

Come quasi tutti i protocolli “storici”, il DNS è stato progettato senza particolare attenzione ai problemi di sicurezza. La conseguenza è che risulta abbastanza facile realizzare attacchi al traffico Internet che provochino il suo reindirizzamento all’insaputa dell’utente (DNS poisoning). Ad esempio: penso di collegarmi alla mia banca mentre in realtà mi ritrovo in un sito costruito a sua imitazione, con lo scopo di carpire i miei dati. Attenzione: non sto parlando di phishing, quando cioè sono invogliato a cliccare su di un indirizzo fasullo. Nel caso di DNS poisoning ho proprio digitato quello corretto: è il meccanismo di traduzione che è stato imbrogliato.

Un’altra possibilità, anche questa sempre più frequentemente sfruttata, è la realizzazione di filtri per impedire l’accesso a determinati siti. L’esempio più classico è il Great Firewall of China (http://goo.gl/4LBFH), che i più curiosi possono sperimentare in azione chiedendo, ad esempio, la traduzione dell’indirizzo di Facebook inserendo il comando: “dig @dns1.chinatelecom.com.cn. www.facebook.com.” in una finestra di terminale unix dal quale si otterrà tutta una serie di risposte false. E non pensate che la cosa non vi riguardi perché anche l’Italia, purtroppo, non è esente da queste tecniche. Per chi volesse saperne di più rimando a due eccellenti articoli (http://goo.gl/UDDX1 e http://goo.gl/qGnaE).

DNSSEC è uno dei protocolli che sono stati suggeriti per rendere più sicuro e affidabile il DNS ed evitare quanto descritto prima. DNSSEC autentica con metodi crittografici il colloquio tra i vari name server, in modo che, per i domini abilitati, le risposte giungano sempre dai server “giusti”. Naturalmente le cose non sono così facili come sembrano: affinché il meccanismo funzioni bene, vista la natura, distribuita sì, ma anche gerarchica, del DNS, è necessario che tutti i server della gerarchia utilizzino questo nuovo protocollo.

Recentemente, due passi molto importanti sono stati fatti con l’abilitazione del Root Level e di .com. Con quest’ultimo sono circa 25 i Top Level Domain abilitati, tra cui .edu, .org e .net, siamo però ancora ben lontani dall’adozione universale. Molto rimane ancora da fare: ci sono grossi problemi organizzativi, tecnici e, ovviamente, politici. Anche da noi, sia pur lentamente, le cose si stanno muovendo e mi auguro che ci siano presto buone nuove.

GARR NEWS N° 4 - Giugno 2011

Altri articoli nella rubrica


Archivio GARR NEWS