Non mettere in sicurezza il DNS è come non prestare attenzione a chi entra ed esce in azienda: si rischia di bloccare tutti gli accessi. Eppure meno del 5% dei punto it e il 10% del punto com nazionali sono sicuri.
Indice degli argomenti
In Italia solo pochi siti hanno il DNS sicuro
Il Domain Name Server, spieghiamolo seppur velocemente per chi è meno esperto di networking, è quel servizio che automaticamente permette a tutti noi di trovare i servizi disponibili su Internet — dal web alla posta elettronica agli aggiornamenti software.
Il protocollo base per la sicurezza di Internet è vulnerabile: così si possono rubare i dati in rete
Funziona come un grande elenco telefonico che, anziché accoppiare nomi di persone e numeri di telefono, associa nomi di dominio come www.cybersecurity360.it e indirizzi dei server in uso. Qualsiasi azienda si sia fatta assegnare un dominio dunque sta certamente facendo uso di un server DNS, il cosiddetto server autorevole, per informare tutta Internet di dove ha piazzato il sito web, le caselle di posta ed eventuali altri servizi.
La variante sicura, il DNSSEC
Moltissimi, in pratica, hanno scelto di rivolgersi a un singolo fornitore per web, caselle di posta elettronica e DNS e sborsano in cambio un canone annuale a fornitori come Aruba, OVH o Register.it. Sito e caselle email sono sotto gli occhi di tutti in azienda mentre il DNS decisamente no.
Normale pertanto non farci troppo caso, anche se esso è un architrave della presenza Internet, e se smette di funzionare l’intera presenza aziendale svanisce da Internet: non arrivano le mail, il sito non si vede, eccetera.
In questo breve articolo vorremo parlare della variante sicura del DNS, chiamata DNSSEC, di cui sono purtroppo prive la maggior parte delle aziende del nostro Paese. Il che rende gravemente vulnerabile la loro presenza sull’Internet perlomeno all’estero.
Come sfruttano le vulnerabilità
Il pericolo è noto da quasi dieci anni, e per la precisione da quando le rivelazioni di Edward Snowden hanno fatto luce su alcuni metodi usati dai servizi segreti americani. L’esperto di sicurezza Bruce Schneier, ben noto ai lettori più attenti di questo sito, scrive nel suo libro Data and Goliath: «Lavoravo coi giornalisti del Guardian sui documenti originali di Snowden, e il programma top secret che più disperatamente la NSA ci chiedeva di non divulgare è QUANTUM. Si tratta del programma che la NSA usa per iniettare pacchetti su Internet. In sostanza, questa tecnologia permette alla NSA di penetrare qualsiasi computer».
Il potere di QUANTUM
Funziona, o perlomeno funzionava nel 2013, così. Voi siete una azienda italiana che sta mandando un documento riservato a un cliente o fornitore cinese. La prima cosa che il vostro PC fa è cercare l’indirizzo dell’interlocutore, usando il sistema DNS. Ma un server NSA piazzato dagli americani in Italia risponde prima del vero DNS cinese e vi restituisce l’indirizzo di un server statunitense.
Così il vostro PC inconsapevolmente manda il documento riservato agli spioni americani, restando convinto di essere in contatto col server cinese. Dopo un decimo di secondo il sistema QUANTUM ha fatto una copia del file; a questo punto contatta il vero destinatario cinese e glielo manda di modo che nessuno si renda conto dell’intercettazione.
Come spiava la NSA
Quelli della NSA esaminano con calma il vostro documento alla ricerca di informazioni interessanti e, spiega Snowden, alla fin fine lo passano ai vostri concorrenti a stelle e strisce. E tanti cari saluti al segreto industriale che molto tempo, soldi e fatica era costato all’impresa italiana.
Naturalmente la penetrazione può avvenire anche al contrario: un cliente o fornitore straniero vuole contattare il vostro sito, o mandarvi una mail, ma un DNS malizioso si mette di mezzo rimpiazzando il vostro e fornendo indirizzi IP diversi da quelli che corrispondono ai vostri server web e email su Internet. E la frittata è fatta.
Oggi la tattica usata non è più un segreto per nessuno e di conseguenza un attacco basato su DNS non è più appannaggio dei soli servizi segreti. Anzi, tra chi fa spionaggio industriale si sono diffuse molte varianti che fanno perno su un DNS insicuro. Si chiamano DNS hijacking, domain shadowing, DNS cache poisoning, Man-in-the-Middle, e DNS spoofing.
La difesa: DNSSEC
Negli ultimi anni più del 90% delle aziende ha portato il suo sito web da HTTP ad HTPPS, mettendolo in sicurezza. L’uso di HTTPS, che solo sette anni fa era una aggiunta onerosa e infrequente, offre la garanzia che solo un server certificato da una autorità nota possa usare il nome di dominio registrato. Inoltre, il traffico web viene cifrato contro le possibili intrusioni.
Purtroppo, ben pochi hanno avuto la medesima cura per il loro DNS.
Sono meno del cinque percento le aziende italiane che hanno provveduto ad accendere DNSSEC, un sistema che sta al DNS come HTTPS sta ad HTTP. In sostanza è un’autenticazione cifrata dei DNS.
Come funziona
Riprendiamo l’esempio di poco fa, che immaginava che alcuni ficcanaso si interessino agli affari vostri e abbiano creato un DNS “spione” che contiene il nome del vostro www e del vostro server di posta ma punta a server controllati dai vostri concorrenti per dirottare le vostre informazioni riservate. Un vostro cliente, fornitore o agente all’estero prova a mandarvi una mail o contattare un’area riservata sul vostro sito web. Il suo PC va a cercare il vostro DNS autorevole, ma stavolta scopre che quel DNS è dotato di DNSSEC.
Il DNS “spione” proverà comunque a rispondere per primo, ma lo fa in modo non credibile perché gli manca il certificato. La risposta viene ignorata dal PC che attende la risposta autorevole del vero DNS sicuro, quello sotto al vostro controllo, prima di far partire la trasmissione dati.
Se è facile quanto aggiungere https al web, si chiederà qualcuno, perché questa precauzione non è già diffusissima? È colpa soprattutto del fatto che il supporto per il DNSSEC a livello italiano è stato aggiunto soltanto da un paio d’anni a questa parte: siamo stati l’ultima nazione dell’Unione Europea a farlo, ben quattro anni dopo la penultima.
Verificare la protezione
Prima di continuare il discorso, sarà bene spiegare come si fa (facilmente) per verificare se un nome di dominio ad oggi è già stato protetto con DNSSEC. Andate su questo sito. Digitate il nome di dominio (senza www davanti, per capirci) che vi interessa nello spazio fornito e date un invio. Appare la risposta. Se… va male, potete provare anche con il dominio dell’autore di questo articolo, e cioè accomazzi.net, per vedere la risposta che si ha per un DNSSEC correttamente impostato. Un altro esempio di dominio che è stato ben protetto, per ovvi motivi, è il gov.it.
Per un report più tecnico potete usare dnssec-analyzer.verisignlabs.com un servizio fornito da Verisign, il più grande Registry del web — il sito è però in inglese. Quando DNSSEC manca, Verisign indica anche i passaggi che saranno necessari per mettere in sicurezza il DNS, con la collaborazione della azienda a cui pagate il canone annuale per il mantenimento del nome di dominio (cosiddetto registrar). Attenzione però: non tutti i registrar italiani si sono equipaggiati negli scorsi due anni. Tra i più grandi operanti sul nostro territorio va segnalato in negativo Aruba, che ad oggi non permette ancora di attivare DNSSEC.
Kindns, così l’Icann blinda i nomi di dominio Internet: i dettagli
Chi deve preoccuparsi
Se ne avete il tempo e fate qualche prova, vedrete facilmente che molti nomi anche importanti non si sono curati di accendere il DNS sul loro dominio: tra questi, Microsoft e Facebook. In alcuni casi si tratta di un peccato scusabile.
Se nella posta elettronica e sul sito web non gira niente di particolarmente segreto, per esempio, allora impedire che un avversario possa sostituire i server aziendali con server propri non è vitale semplicemente perché nessuno avrà convenienza a provarci.
Inoltre, se l’azienda ha tutti i servizi coperti da una CDN mondiale come Akamai, è probabile che ci sia sempre un DNS molto vicino a ciascun utilizzatore di Internet e viene meno la finestra temporale che gli avversari hanno a disposizione per risponde in modo fraudolento alla richiesta degli utenti di Internet.
Si tratta, quindi, di una vulnerabilità di cui dovrebbero preoccuparsi soprattutto le medie imprese che commerciano con l’estero.