Tutti gli esperti sostengono la necessità di un approccio olistico alla cyber security, ma ci sono alcuni aspetti particolari che richiedono la giusta attenzione. La DNS security è certamente tra queste. Il protocollo Domain Name System (DNS), infatti, rappresenta uno dei fronti più “caldi” nel confronto tra esperti di sicurezza e pirati informatici. Controllare le comunicazioni DNS in maniera efficace, in altre parole, rappresenta un tassello importante nell’economia dell’intera strategia di cyber security.
La centralità della DNS security
Sotto un profilo tecnico, DNS rappresenta uno dei pilastri di Internet e di ogni rete moderna. Il sistema di Domain Name System, spesso descritto come una sorta di “elenco del telefono” del web, è un elemento indispensabile per l’avvio di qualsiasi comunicazione su Internet. È proprio attraverso l’ecosistema DNS che i dispositivi comunicano tra di loro e la richiesta ai server DNS è il primo, indispensabile, passo per avviare una comunicazione sul web e, in generale, sulle reti. È grazie al Domain Name System che è possibile tradurre un indirizzo Internet (per esempio www.lumit.it) nel corrispondente indirizzo IP (per esempio 43.32.21.123), permettendo così lo scambio dei dati tra i due dispositivi. Se questo schema viene di solito riferito alla navigazione sul web, cioè al collegamento di un computer al server che ospita un sito Internet, coinvolge in realtà anche altre attività proprie di malware e strumenti di hacking. Attraverso gli strumenti di DNS security, insomma, è possibile implementare un controllo che copre molte tipologie di attacchi in cui è prevista una comunicazione via Internet. Quale che sia il vettore di attacco utilizzato da un pirata informatico (email, messaggi o siti web), infatti, lo strumento adottato nella quasi totalità dei casi per veicolare codice malevolo è un link. Come ogni collegamento, la sua apertura richiede una richiesta inviata tramite DNS che consenta di risolvere il link ed effettuare il collegamento. Il protocollo DNS, però, fornisce anche una serie di preziose informazioni che permettono sia di prevenire gli attacchi, sia di investigare sulla loro natura e caratteristiche.
Quando i pirati sfruttano il protocollo DNS
L’uso di strumenti dedicati alla DNS security sono genericamente utili a livello di protezione della rete aziendale, ma esistono casi specifici in cui il protocollo in questione viene sfruttato dai pirati informatici per aggirare i tradizionali sistemi di protezione che analizzano il normale traffico Internet. Normalmente, questo stratagemma viene utilizzato in due ambiti strettamente collegati. Il primo è quello delle comunicazioni tra i trojan e i server command and control che i pirati informatici usano per inviare comandi ai sistemi compromessi. Il secondo è il processo di esfiltrazione dei dati, cioè la trasmissione delle informazioni rubate dal malware ai server sotto il controllo dei cyber criminali. I malware più complessi usano spesso il protocollo DNS per “nascondere” i comandi inviati ai computer infetti, contando sul fatto che i tradizionali sistemi di protezione trascurano spesso di analizzare il contenuto delle query inviate attraverso il protocollo stesso, considerato (a torto) come “inoffensivo”.
Il pericolo legato ai nuovi protocolli DNS
Negli ultimi mesi, si è assistito all’evoluzione e diffusione di nuovi protocolli DNS che utilizzano sistemi di crittografia per proteggere le comunicazioni dirette ai server DNS. L’elaborazione dei sistemi DoT (DNS over TLS) e DoH (DNS over HTTPS) nasce in realtà come risposta all’esigenza di tutelare la privacy di chi naviga su Internet e rappresenta la garanzia che le comunicazioni di un dispositivo non possano essere tracciate nemmeno da parte di chi gestisce i server DNS intermedi, rappresentati normalmente dai fornitori di connessione a Internet. L’adozione di un sistema di codifica tramite chiave crittografica, però, ha un suo rovescio della medaglia, cioè quello di rendere più difficile se non impossibile l’analisi del traffico a livello di DNS security. In questo nuovo contesto, è probabile che il protocollo DNS diventi ancora più appetibile per portare attacchi informatici, poiché è possibile nascondere le attività malevoli all’interno del canale di comunicazione cifrato tra DNS e PC Client. Il suo controllo richiederà, di conseguenza, l’adozione di strumenti specifici che siano in grado di mitigare il rischio legato a un canale di comunicazione che, per chi si occupa di sicurezza, può trasformarsi in un vero “buco nero” a livello di visibilità.
