DNS, prima linea di difesa contro i malware

• DNS
• Antimalware

I malware si diffondono in primis attraverso i siti web che li ospitano. Un riferimento al componente dannoso può essere inserito nelle pagine web che sono state oggetto di un attacco andato a segno oppure in un qualunque messaggio di posta elettronica (phishing).

Ogni volta che si visita un sito, la richiesta passa prima per un sistema chiamato DNS (Domain Name System) che si occupa di verificare la corrispondenza tra un indirizzo mnemonico (come google.it o www.ilsoftware.it) e l’indirizzo IP sul quale è in ascolto il web server.

In Windows, aprendo il prompt dei comandi (premere la combinazione di tasti Windows+R quindi digitare cmd e scrivendo il comando seguente, si potrà verificare a quale IP pubblico corrisponde l’indirizzo mnemonico www.google.it:

nslookup www.google.it

In corrispondenza delle prime due righe dell’output di nslookup, si dovrebbe leggere nome e indirizzo del DNS che ha risolto il nome a dominio e appena sotto la corrispondenza tra www.google.it e l’indirizzo IP del sistema sul quale è in esecuzione il server web.
Nel caso in cui nelle prime due righe si leggesse Unknown e un indirizzo IP privato del tipo 192.168.1.1 o 192.168.0.1, significa che l’IP del DNS chiamato a risolvere i nomi a dominio è fornito dal modem router installato nella propria rete.

Si può anche verificarlo digitando:

ipconfig /ALL  findstr "Server DNS"

Il servizio F-Secure Router Checker (cliccare sul pulsante Controlla il router) consente di “stimare” il server DNS che si sta usando a livello router e controllare che non sia stato ad esempio modificato da qualche malware (DNS hijacking, ne abbiamo parlato qui: DNS router, come verificare le impostazioni).

Per approfondire, suggeriamo la lettura dell’articolo DNS Google, ecco come funzionano e perché sono utili.

DNS per proteggere la navigazione online: Quad9

Ed è proprio F-Secure che in collaborazione con la Global Cyber Alliance ha appena presentato Quad9, un servizio DNS pubblico che si occupa di bloccare la navigazione verso siti web malevoli o compromessi.

Il DNS Quad9 è la prima linea di difesa contro i malware: indipendentemente che l’utente, mediante il suo browser, provi a visitare direttamente un sito pericoloso o che riferimenti a server capaci di trasferire contenuti malevoli siano presenti nelle pagine web, Quad9 blocca la navigazione.

Ogni giorno i tecnici dei laboratori di F-Secure scoprono circa 30.000 URL malevoli usati in attacchi phishing, campagne ransomware e altri tipi di attacchi informatici.
Questo speciale servizio DNS, gratuito sia per gli utenti che per le aziende, si avvale di una ricchissima blacklist di indirizzi malevoli tenuta costantemente aggiornata sia da F-Secure che da altre società partner del mondo della sicurezza informatica.

Quando un dispositivo o un’applicazione cercano di connettersi con un dominio presente nella blacklist, Quad9 impedisce la risoluzione del nome di dominio evitando preventivamente qualunque rischio.
Quad9 mostra anche un messaggio spiegando l’accaduto nell’area della pagina web ove avrebbe dovuto essere caricato il sito malevolo richiesto.

Il DNS Quad9 è compatibile anche con le specifiche DNSSEC: nel caso dei domini che si appoggiano a DNSSEC, Quad9 è in grado di garantire – mediante l’uso di un algoritmo crittografico – che la risposta fornita sia conforme a quella indicata dal gestore del sito web (consente di proteggersi da attacchi di tipo domain spoofing o da altre aggressioni che mirano a fornire al client dati falsificati).

Ma qual è l’indirizzo IP del server DNS di Quad9? Eccolo:
9.9.9.9

Nomen omen. Il servizio Quad9 è stato battezzato così proprio per ricordare che il DNS risponde all’IP pubblico formato da quattro 9 in sequenza.
Sono comunque disponibili anche gli indirizzi IPv6 (vedere questa pagina).

Il DNS Quad9 9.9.9.9 può essere usando con qualunque dispositivo e sistema operativo.
È quindi possibile impostarlo a livello di router, accedendo al suo pannello di amministrazione (può essere aperto digitando, di solito, http://192.168.1.1 o http://191.168.0.1 nella barra degli indirizzi del browser) oppure per il singolo device o workstation.

In Windows basta premere, ad esempio, la combinazione di tasti Windows+R quindi ncpa.cpl.
Cliccando con il tasto destro sul nome dell’interfaccia di rete, su Proprietà, su Protocollo Internet versione 4, sul pulsante Proprietà, si dovrà semplicemente digitare 9.9.9.9 nel campo Utilizza i seguenti indirizzi server DNS.

In alternativa, suggeriamo l’utilizzo di OpenDNS che, tra l’altro, permette anche il filtraggio di contenuti specifici e il monitoraggio delle sessioni di navigazione avviate sui client collegati alla rete locale: OpenDNS, come proteggersi durante la navigazione.