Tipicamente ci preoccupiamo molto (e anche giustamente) dei ransomware e delle impronte virali che potrebbero essere presenti all’interno del nostro sistema Windows, ma dimentichiamo spesso i rischi concreti a cui ci esponiamo utilizzando determinati servizi come possono essere quelli di DNS dinamici.
Si è fatto un gran parlare delle problematiche attuali e passate con i vari cloud in merito alle insicurezze di alcuni servizi, visto che esiste la possibilità di raggirare le richieste IP tramite porte non standard e lasciare allo scoperto l’indirizzo reale del server, ma poi al momento di far puntare su Internet il proprio PC o la webcam o il dispositivo IoT preferito, ci mettiamo in mano ad aziende che probabilmente non garantiscono una tutela adeguata di servizio per la platea europea.
Nello specifico, i fornitori di servizi di DNS dinamici possono essere dislocati dovunque nel mondo e sarebbe quindi buona norma fare affidamento non solo su chi fornisce un servizio serio, qualunque esso sia, ma anche che abbia sede legale sul perimetro del territorio europeo. Viceversa, le possibilità di scontrarci con problemi di privacy non allineati al GDPR sono alte.
Cerchiamo dunque di capire quali tipologie di questi provider dovremmo preferire e gli eventuali “buchi di sicurezza” che si possono trovare usando questi servizi.
Indice degli argomenti
DNS dinamici: attenti al client software
Al momento della valutazione per l’adozione di un servizio di DNS dinamici dovremmo iniziare dal client software che viene installato sul nostro personal computer o sulla nostra installazione di telecamere a circuito chiuso.
Non dimentichiamo che un client DNS dinamico è a tutti gli effetti un software, un programma che viene installato all’interno della nostra macchina, con diritti più o meno amministrativi e che potrebbe installare delle backdoor per il “reverse connect” potenzialmente ostile.
Quindi, nella valutazione di un client per l’accesso ai servizi di DNS dinamici sarebbe preferibile puntare su uno open source in modo da poter visionare o far visionare il suo codice sorgente da una platea di programmatori ed “esperti intenditori”, così da scongiurare che al suo interno sia nascosto un qualche software dannoso.
Sono dunque sempre e comunque da preferire client software nativi già distribuiti su sistemi Unix/Linux. Per esempio, se il fornitore permette la possibilità di usare programmi nativi come “nsupdate” (distribuito su Debian, per esempio) e fornire l’autenticazione tramite metodi come TSIG standard, sarebbe già un grandissimo passo avanti.
Necessarie valutazioni del fornitore del servizio
Così come il client software per l’accesso ai DNS dinamici deve essere “trasparente” all’utente, così anche i dati che richiedono i fornitori di servizi di questo tipo devono essere allineati alle vigenti normative.
Se un provider di servizio di DNS dinamici risiede in qualche territorio non regolato, è bene considerare i rischi cui si va in contro, se non ci viene garantito che i dati forniti vengano trattati come noi ci aspettiamo.
Serve anche fare una cernita delle recensioni su quel provider per capire se il servizio è affidabile e che abbia sofferto la minor quantità di fermi possibili.
Bisogna valutare, inoltre, se il provider permette una profonda configurazione delle “Zone”, una configurazione specifica di ogni tipo di Record come A, AAAA, MX, CAA e via dicendo, e se permette anche la configurazione manuale degli indirizzi di puntamento.
DNS dinamici: i tipi di contratto
Anche se può sembrare banale e fuori dal perimetro della cyber security, facciamo sempre attenzione alle clausole che applicano i fornitori di servizi di DNS dinamici sulle tipologie di account.
Verifichiamo, innanzitutto, se ha una scadenza d’uso temporale altrimenti, concluso il “periodo di prova free”, potremmo ricevere la brutta sorpresa di un “upgrade a pagamento” con la pena della cancellazione di tutti i nostri sforzi di configurazione.
Inoltre, si tenga sempre a mente che, a meno che non si acquistino, non si è mai proprietari dei sottodomini che vengono concessi per l’utilizzo dei DNS dinamici e, con ogni probabilità, nelle clausole di contratto sarà scritto che il provider può senza preavviso cancellare l’account del cliente.
Talvolta, quindi, le soluzioni a pagamento offrono qualche garanzia in più.
Le metodologie di aggiornamento dei DNS dinamici
Quando viene configurato il client software installato sul nostro PC, è utile valutare anche il metodo utilizzato per autenticare e aggiornare il nostro indirizzo presso il fornitore del servizio.
Se il fornitore, ad esempio, richiede che la password non sia crittografata, che non sia neppure un token e che per giunta viaggi “in chiaro” su una connessione che magari non è neppure SSL o TLS, qualche domanda sulla sicurezza del servizio sarebbe utile farcela.
Le API per l’aggiornamento dei DNS dinamici
Alcuni fornitori di servizio di DNS dinamici utilizzano API come metodo di aggiornamento. Dopo una cernita e ricerca online si può verificare che per lo più vengono usate le API standard, ma qualora ci troviamo davanti a un fornitore che usa dei sistemi API poco sicuri o, come scritto prima, utilizzate su canali non criptati, allora anche qui dobbiamo prestare estrema attenzione al quering richiesto.
Ad oggi i provider di questi tipi di servizi si “osservano” a vicenda e fanno a gara per mostrare parametri di elevata sicurezza, quindi per lo più troveremmo API standard, abbastanza sicure, ma prestiamo sempre e comunque la massima attenzione in questa valutazione tecnica del servizio di DNS dinamici.
Talvolta capita che un intero impianto di videosorveglianza funzionante con DNS dinamico, da un giorno all’altro non aggiorni più il proprio indirizzo: ciò potrebbe essere causato da un aggiornamento da parte del provider che non supporta più quel tipo di impianto in quanto le API non sono più compatibili con il nostro modello hardware attuale.
Gli attacchi di tipo man-in-the-middle
Lo scenario di rischio più grave quando abbiamo due o più dispositivi collegati nella stessa rete è rappresentato sicuramente dagli attacchi di tipo man-in-the-middle.
Neanche l’utilizzo dei servizi di DNS dinamici ci mette al riparo da questo tipo di pericolo. Oggi un cyber criminale può avvalersi di questo metodo per compromettere sia una comunicazione FTP, che un servizio di DNS dinamici.
Quali vantaggi può avere un cyber criminale a posizionarsi tra due dispositivi collegati mediante DNS dinamici? Sicuramente, avrebbe la possibilità di mappare i clienti che usano i servizi del provider di DNS dinamici e dove sono situati. Quindi, sarebbe in grado di mappare le comunicazioni che ci sono da quel cliente verso altri punti come per esempio apparati IoT.
Non dimentichiamo, infatti, che un DNS dinamico può servire a raggiungere un server SSH ma più frequentemente viene utilizzato per puntare webcam in rete, per gestire servizi di telesorveglianza o ancora per attivare sistemi di accezione di lampioni, governare cartelloni pubblicitari siti in posti poco accessibili, accendere caldaie a distanza e altro ancora.
Configurare un servizio di DNS dinamici direttamente sul nostro router può essere semplice e talvolta un anche molto comodo, ma un router poco aggiornato sotto le mani di malintenzionati può “farsi scappare” la nostra password del DNS dinamico, con tutte le problematiche che questo evento potrebbe comportare.
Quale sicurezza garantisce il provider?
Bene, a questo punto abbiamo effettuato una cernita eccellente tra i tanti servizi di DNS dinamici, indubbiamente la nostra bravura ci ha consentito di chiudere il cerchio e quindi pensiamo di essere finalmente al sicuro.
Ma c’è ancora qualche domanda da porsi: il provider di servizio di DNS dinamici a cui abbiamo deciso di rivolgerci è stato già in qualche modo compromesso? Le sue installazioni e apparecchiature sono libere da ogni compromissione? Siamo matematicamente certi che non abbia la serpe in grembo?
Non dimentichiamo che un provider di DNS dinamici possiede al suo interno i propri server DNS su cui replicare i dati di rete dei propri clienti, quindi pensare ad un eventuale compromissione di questi server potrebbe aprire uno scenario davvero complesso e molto preoccupante.
Ecco, quindi, che si rivela importantissimo fare affidamento ad un provider di DNS dinamici che ricada sotto giurisdizione territoriale coperta dal GDPR, viceversa le brutte sorprese potrebbero non mancare. Come monito, basti ricordare il caso di alcuni server proxy che alcuni anni fa sono stati compromessi consegnando nelle mani dei cyber criminali una montagna di tracciature e di account con tanto di password di accesso, venduti poi nel mercato nero: in seguito a questo evento, gli utenti sono stati sommersi da vere e proprie montagne di spam e phishing.
Garantire la buona salute dei dispositivi di produzione è nostra responsabilità, nella speranza che quanto letto finora possa contribuire a fare accendere una spia sul cruscotto che ci ricordi che con la cyber security non è mai abbastanza.
