Il Domain Name System (DNS) è la “rubrica di Internet”, il protocollo essenziale che mantiene in funzione la Rete mappando i nomi di dominio e abbinandoli ai relativi indirizzi IP: ogni giorno vengono elaborate più di 2,2 trilioni di richieste DNS al fine di indirizzare gli utenti al sito web che desiderano raggiungere. Purtroppo, però, il protocollo DNS non è stato sviluppato secondo il paradigma della security by design e questo, unito alla sua “centralità” lo rende un target attraente per i cyber attacchi.
Questo anche perché i server DNS interni condividono i nomi dei loro server di dominio e gli indirizzi IP con chiunque ne faccia richiesta. Attraverso query DNS è possibile anche ricevere piccole quantità di dati da sistemi esterni.
I criminal hacker conoscono da tempo questa opportunità e utilizzano tecniche come il DNS tunneling per eseguire malware o per estrarre i dati dall’hardware delle vittime. Questa minaccia è cresciuta in gravità e complessità con l’inizio della pandemia da COVID-19.
Indice degli argomenti
DNS security e rischi cyber
Mentre gli attacchi DDoS (Distributed Denial of Service) e altri attacchi brute force attirano spesso l’attenzione dei media, le organizzazioni private e pubbliche dovrebbero fare attenzione a non trascurare la sicurezza a livello DNS.
L’esempio più eclatante è rappresentato dalla vulnerabilità SIGRed nel DNS Windows, rimasta presente per ben diciassette anni prima di essere scoperta e risolta nel luglio 2020.
La minaccia del DNS tunneling: di cosa si tratta
Il DNS tunneling esiste da vent’anni oramai e rimane ancora oggi la minaccia più concreta per le organizzazioni. Gli aggressori nascondono i dati all’interno delle query DNS e, inviandole, possono anche trasferire o attivare malware in un server compromesso.
Poiché le query al DNS sono generalmente autorizzate a passare attraverso firewall e altre misure di sicurezza che altrimenti bloccherebbero il traffico pericoloso, questa è una “corsia preferenziale” per i criminal hacker, una strada che permette di aggirare le difese e ottenere l’accesso ai sistemi interni.
I criminal hacker utilizzano il DNS tunneling per attaccare le organizzazioni in diversi modi, ma l’approccio più comune vede protagonisti i server command and control. Una volta che un dispositivo interno è stato compromesso attraverso phishing o con il rilascio di un malware, l’aggressore manterrà il contatto con tale dispositivo per eseguire i comandi. Il protocollo DNS offre così agli hacker un percorso diretto per attivare malware dannosi come i trojan con accesso remoto (RAT).
È anche possibile che i threat actors utilizzino questi “tunnel” per l’esfiltrazione dei dati. Gli hacker possono dirottare e sottrarre i dati sensibili di un’organizzazione codificandoli in migliaia di risposte DNS, attraverso un modus operandi molto difficile da rilevare.
Altre minacce legate al DNS e possibili contromisure
Questo tipo di vulnerabilità non è però l’unica fonte di preoccupazione relativa alla sicurezza del DNS. Modificando le query DNS quando un utente tenta di accedere a un sito bancario o all’account e-mail, si potrebbe rendere efficace un attacco di phishing.
Fortunatamente, la presenza pressoché ubiqua dell’HTTPS e dei relativi protocolli fa sì che in questi casi il browser di solito trasmetta all’utente un segnale di errore piuttosto che visualizzare il sito web pericoloso.
DNS security: elementi di sicurezza
Alla luce degli elementi finora elencati, gli esperti di cyber security hanno da tempo riconosciuto le carenze del DNS e hanno sviluppato una serie di elementi di sicurezza aggiuntivi. Queste estensioni (chiamate DNSSEC) sono in circolazione già da un po’ di tempo e hanno l’obiettivo di autenticare le risposte per evitare che un utente venga indirizzato a un sito web errato.
Più recentemente, le richieste DNS vengono sempre più spesso inviate tramite TLS o HTTPS, che gestisce sia l’autenticazione che la crittografia. L’ODOH (Oblivious DNS-over-HTTPS), annunciato recentemente, fa un ulteriore passo in avanti e rende anonimo l’indirizzo IP che ha fatto la query, rendendo il DNS veramente “privato”.
Anche se questi elementi aggiuntivi non sono del tutto a prova di controversie, (le organizzazioni che filtrano il traffico DNS dannoso dovranno farlo presso un resolver locale piuttosto che affidarsi all’invio di DNS in chiaro), trasformano il DNS in un protocollo completamente criptato e autenticato, con l’aggiunta opzionale dell’anonimato (seppur parziale).
La soluzione è ancora lontana
Quanto detto finora, seppur molto rassicurante, non chiude del tutto la questione. Il problema rimane: infatti, quando viene fatta una query al DNS, la risposta proviene in ultima analisi da quello che viene definito un autoritative nameserver, ovvero un server autorizzato a dare risposte DNS.
Utilizzando l’interfaccia di un registrar di domini (l’entità in cui si possono registrare i domini), il proprietario del dominio può impostare quali risposte dare alle query, ad esempio su quale indirizzo IP è ospitato il sito web del dominio o quali sono i suoi mail server.
Il rischio per la sicurezza sta proprio qui. Cosa succede se un aggressore, un hacker o un’organizzazione criminale ha ottenuto l’accesso all’interfaccia del registrar?
Nel 2017, un’importante società di sicurezza olandese ha rivelato di essere stata vittima di un attacco simile. L’accesso all’account del registrar è stato probabilmente ottenuto attraverso una password rubata, in assenza di autenticazione a due fattori.
Anche se esistono diversi modi per proteggere gli account della società di registrazione, (l’utilizzo di un’autenticazione a due fattori è la risposta più ovvia) la protezione contro gli attacchi da parte di insider è per sua natura complessa. Le organizzazioni, per le quali questo tipo di attacchi rappresentano un rischio serio, potrebbero prendere in considerazione la possibilità di gestire i propri name server in modo da poter controllare al 100% la sicurezza del DNS.
Il DNS è uno dei pilastri di internet. Le recenti aggiunte lo hanno reso più sicuro rispetto al passato ma, purtroppo, rimane ancora l’anello debole, un aspetto spesso trascurato che potrebbe portare a violazioni dei vostri sistemi informatici.
Qualsiasi organizzazione che si preoccupa di cyber security dovrebbe prendere seriamente la questione e pianificare le giuste contromisure. Non abbassiamo la guardia!
