Probabilmente avrete sentito parlare di una falla di sicurezza dei DNS che \u00e8 stata scoperta all’inizio dell’anno e tenuta segreta fino a pochi giorni fa (in teoria non sarebbe dovuta scappare fino all’inizio di agosto, ma si sa come vanno queste cose), dopo che tutte le maggiori entit\u00e0 interessate hanno rilasciato degli aggiornamenti.<\/p>\n
Prima un preambolo introduttivo, chi conosce gi\u00e0 come funzionano i DNS pu\u00f2 saltare i due capoversi che seguono.<\/p>\n
Ogni macchina su Internet \u00e8 identificata da un indirizzo numerico (per ora nella forma a.b.c.d dove le lettere rappresentano dei numeri da 0 a 255 decimale), ma sono difficili da ricordare; \u00e8 stato quindi creato un sistema che associa delle sequenze pi\u00f9 facili da ricordare ad un indirizzo numerico: \u00e8 pi\u00f9 facile ricordare www.fantascienza.com piuttosto che 83.103.96.96. Il sistema per passare dal nome usato dagli umani all’indirizzo numerico utilizzato dalle macchine \u00e8 detto risoluzione del nome<\/em>. Il sistema attraverso cui si risolvono i nomi \u00e8 il DNS.<\/p>\n Quando voglio risolvere www.fantascienza.com, il mio computer genera un numero di sicurezza<\/em> a caso tra 0 e 65.535 e lo scrive in una richiesta che invia al server DNS di riferimento (quello definito nelle impostazioni del TCP\/IP del computer). Il server DNS, elabora la richiesta e risponde allegando quel numero nella risposta per fare in modo che io abbia la (relativa) sicurezza che mi ha risposto il server legittimo e non un malintenzionato. Prima del 1995 i numeri erano scelti in sequenza e, quindi, facilmente indovinabili; ora tutti i computer li scelgono a caso, ma la bont\u00e0 della casualit\u00e0 della scelta dipende dalla piattaforma che la esegue e, quindi, potrebbe essere facilmente indovinabile.<\/p>\n Ma cosa potrebbe fare un malintenzionato? Essenzialmente due cose: (1) rispondere che l’IP di www.fantascienza.com \u00e8 66.6.0.66 e farmi andare su un server trappola oppure (2) rispondermi che la fonte che ha autorit\u00e0 per risolvere i nomi di fantascienza.com non \u00e8 quella vera (register.it) bens\u00ec un server trappola che, a questo punto, \u00e8 in grado di falsificare tutti gli indirizzi di fantascienza.com.<\/p>\n A peggiorare le cose c’\u00e8 una caratteristica del DNS tale per cui ogni informazione acquisita ha una scadenza prima della quale non bisognerebbe richiedere in rete la medesima informazione. Nell’esempio di cui sopra, quando chiedo a register.it l’indirizzo di www.fantascienza.com, mi viene risposto che quell’informazione vale per i prossimi 900 secondi. Un attaccante pu\u00f2 quindi falsificare le informazioni per il tempo che lui stesso imposta: anche dopo la conclusione dell’attacco, le informazioni rimarranno nella memoria del computer finch\u00e9 non si riavvia il sistema o non scade la validit\u00e0 dell’informazione.<\/p>\n Il problema di sicurezza di cui si parla ultimamente si basa su tutte le vulnerabilit\u00e0 descritte sopra utilizzate contemporaneamente (la novit\u00e0 sta proprio nell’uso contemporaneo delle vulnerabilit\u00e0): se i server erano protetti contro gli attacchi portati singolarmente, fino a pochi giorni fa non lo erano per un attacco che tento di descrivere con parole semplici:<\/p>\n La soluzione a questo problema? Due: aggiornare le proprie piattaforme con le ultime patch disponibili e fare una doppia verifica sul DNS che si sta utilizzando per vedere se \u00e8 quello effettivamente consigliato dal proprio provider. La cosa migliore sarebbe avere un DNS server proprio per non dipendere da terzi, ma bisogna anche essere in grado di mantenerlo in salute, cosa non semplice.<\/p>\n\n