Che cos'è l'avvelenamento da cache DNS?
L'avvelenamento della cache DNS, noto anche come spoofing del DNS, è un tipo di attacco che sfrutta le vulnerabilità nel DNS (Domain Name System) per deviare il traffico Internet dai server legittimi e verso quelli falsi.
Uno dei motivi per cui l'avvelenamento da DNS è così pericoloso è perché può diffondersi dal server DNS al server DNS. Nel 2010, un evento di avvelenamento del DNS ha portato il Great Firewall della Cina a fuggire temporaneamente dai confini nazionali della Cina, censurando Internet negli Stati Uniti fino a che il problema non fosse stato risolto.
Come funziona il DNS
Ogni volta che il tuo computer contatta un nome di dominio come "google.com", deve prima contattare il suo server DNS. Il server DNS risponde con uno o più indirizzi IP in cui il tuo computer può raggiungere google.com. Il tuo computer quindi si connetterà direttamente a quell'indirizzo IP numerico. DNS converte gli indirizzi leggibili come "google.com" in indirizzi IP leggibili da computer come "173.194.67.102".
- Ulteriori informazioni: HTG spiega: Cos'è il DNS?
Cache DNS
Internet non ha solo un singolo server DNS, in quanto sarebbe estremamente inefficiente. Il provider di servizi Internet gestisce i propri server DNS, che memorizzano le informazioni da altri server DNS. Il router di casa funziona come un server DNS, che memorizza nella cache le informazioni dai server DNS dell'ISP. Il tuo computer ha una cache DNS locale, quindi può fare rapidamente riferimento alle ricerche DNS già eseguite piuttosto che eseguire una ricerca DNS più e più volte.
Avvelenamento da cache DNS
Una cache DNS può diventare avvelenata se contiene una voce errata. Ad esempio, se un utente malintenzionato ottiene il controllo di un server DNS e modifica alcune delle informazioni su di esso, ad esempio, potrebbe dire che google.com punta effettivamente a un indirizzo IP di proprietà dell'utente malintenzionato: il server DNS potrebbe dire agli utenti di guardare per Google.com all'indirizzo sbagliato. L'indirizzo dell'attaccante potrebbe contenere una sorta di sito Web dannoso di phishing
Anche l'avvelenamento da DNS come questo può diffondersi. Ad esempio, se vari provider di servizi Internet ottengono le informazioni DNS dal server compromesso, la voce DNS avvelenata si diffonderà ai provider di servizi Internet e verrà memorizzata nella cache. Si diffonderà quindi sui router domestici e sulle cache DNS sui computer mentre cercano la voce DNS, ricevono la risposta errata e la memorizzano.
Il grande firewall della Cina si diffonde negli Stati Uniti
Questo non è solo un problema teorico: è successo nel mondo reale su larga scala. Uno dei modi in cui funziona il grande firewall cinese è attraverso il blocco a livello DNS. Ad esempio, un sito Web bloccato in Cina, come twitter.com, potrebbe avere i record DNS puntati su un indirizzo errato sui server DNS in Cina. Ciò comporterebbe l'inaccessibilità di Twitter con mezzi normali. Pensa a questo come la Cina avvelena intenzionalmente le proprie cache dei server DNS.
Nel 2010, un fornitore di servizi Internet al di fuori della Cina ha erroneamente configurato i propri server DNS per recuperare informazioni dai server DNS in Cina. Ha recuperato i record DNS errati dalla Cina e li ha memorizzati nella cache sui propri server DNS. Altri provider di servizi Internet recuperarono le informazioni DNS da quel fornitore di servizi Internet e lo usarono sui loro server DNS. Le voci DNS avvelenate hanno continuato a diffondersi fino a quando alcune persone negli Stati Uniti non hanno potuto accedere a Twitter, Facebook e YouTube sui loro fornitori di servizi Internet americani. Il Grande Firewall della Cina era "trapelato" al di fuori dei suoi confini nazionali, impedendo alle persone provenienti da altre parti del mondo di accedere a questi siti web. Questo essenzialmente funzionava come un attacco di avvelenamento DNS su larga scala. (Fonte.)
La soluzione
Il vero motivo per cui l'avvelenamento della cache DNS è un problema di questo tipo è perché non esiste un vero modo per determinare se le risposte DNS che ricevi siano effettivamente legittime o se siano state manipolate.
La soluzione a lungo termine per l'avvelenamento della cache DNS è DNSSEC. DNSSEC consentirà alle organizzazioni di firmare i propri record DNS utilizzando la crittografia a chiave pubblica, garantendo che il computer sappia se un record DNS deve essere considerato attendibile o se è stato avvelenato e reindirizzato a una posizione non corretta.
- Ulteriori informazioni: Come DNSSEC contribuirà a proteggere Internet e come SOPA lo abbia reso quasi illegale
Immagine di credito: Andrew Kuznetsov su Flickr, Jemimus su Flickr, NASA