5645 Letture

Nuovi sforzi sono necessari per proteggere i server DNS

A distanza di sette mesi dalla scoperta di un bug nella progettazione del protocollo DNS, scoperto da Dan Kaminsky, l'industria avrebbe compiuto notevoli progressi nella gestione della problematica stando a quanto dichiarato dal ricercatore.
Purtuttavia, sempre secondo Kaminsky, sarebbe opportuno che sia i vendor che gli utenti iniziassero a considerare l'adozione delle più solide misure di sicurezza offerte dalla tecnologia DNSSEC (DNS Security Extensions).

DNSSEC si prefigge come obiettivo quello di rendere la Rete più sicura grazie all'impiego di meccanismi di autenticazione e protezione dei dati DNS, ad esempio, dagli attacchi di tipo "cache poisoning". Le aziende si sono sempre mostrate recalcitranti nell'adozione di DNSSEC a causa della sua complessità che comporta interventi anche sul funzionamento del protocollo DNS stesso.

Secondo Kamisky la sfida consiste nel rendere l'implementazione di DNSSEC non più difficile dell'utilizzo casuale delle porte durante le transazioni DNS. Il ricercatore aveva infatti dimostrato come fosse possibile porre in essere attacchi "cache poisoning" in grado di modificare ("avvelenare") la cache dei server DNS associando ad esempio l'indirizzo di un sito web "benigno" con un IP facente capo ad una macchina gestita dall'aggressore.
Il "cache poisoning" consiste quindi nell'ingannare un server DNS inducendolo a ritenere di ricevere delle informazioni autentiche quando in realtà si tratta di dati generati ad arte per modificarne il comportamento.

La scoperta della vulnerabilità ha indotto decine di produttori a rilasciare patch destinate ai rispettivi prodotti. Con uno sforzo pressoché simultaneo, senza precedenti, ad esempio, Microsoft, Cisco, Sun, Internet Systems Constortium, hanno rilasciato aggiornamenti in grado di introdurre un più elevato grado di casualità durante le transazioni DNS.


Una guida illustrata (in inglese) che mostra i concetti di base della vulnerabilità scoperta l'estate scorsa da Kaminsky, è disponibile a questo indirizzo.
Altri dettagli sull'argomento sono consultabili facendo riferimento a questo materiale.

Nuovi sforzi sono necessari per proteggere i server DNS - IlSoftware.it