Home News DNS e sicurezza: Internet muoverà i passi verso DNSSEC?
DNS e sicurezza: Internet muoverà i passi verso DNSSEC? PDF Stampa E-mail
Giovedì 19 Marzo 2015 11:00

DNS e sicurezza: Internet muoverà i passi verso DNSSEC?

Un dibattito accesso riguarda il futuro di Internet e, nello specifico, la sua sicurezza. Ci si interroga se è il caso di sostituire l’attuale sistema DNS con una struttura ad esso simile, ma sicura, chiamata DNSSEC. La versione sicura dei DNS presenta vantaggi e svantaggi di non poco conto e non ci capisce ancora bene verso quale direzione si debba muovere la grande Rete.

Per chi non lo conoscesse, il protocollo DNSSEC è un sistema DNS sicuro, sviluppato nel 1994 e mai preso in seria considerazione fino al 2008, anno in cui il ricercatore Dan Kaminsky scoprì un pericoloso bug al sistema di risoluzione dei nomi a dominio con cui era possibile imitare qualsiasi server Web o email e sostituirsi a esso senza difficoltà.

Questa falla ha reso improvvisamente popolare il protocollo DNSSEC, che fu subito adoperato per proteggere la root di Internet. A quasi dieci dalla conquista della ribalta, il protocollo DNS sicuro torna a far parlare di sé, perché alcuni esperti iniziano a domandarsi se sia il caso di estendere questo sistema a tutta la rete Internet.

Le accuse mosse al protocollo DNSSEC

Fino a ora, il passaggio non è avvenuto perché l’implementazione DNSSEC richiederebbe elevati sforzi tecnici ed economici e anche perché c’è chi sostiene che comunque il protocollo DNSSEC risulta debole, insicuro, incompleto, inutile, costoso e a rischio di controllo da parte dei governi.

A collegare tutti questi attributi negativi al protocollo DNSSEC è Thomas Ptacek, fondatore di Matasano Security, secondo cui l’introduzione di DNSSEC rende la vita leggermente più complicata agli hacker, ma non per questo blocca il problema della sicurezza, in quanto l’uso dei certificati digitali è di per sé, secondo Ptacek, fondamentalmente insicuro.

Inoltre, secondo Ptacek, DNSSEC utilizzerebbe metodi di crittografia obsoleti e dovrebbe essere sostituito con sistemi più affidabili come il key pinning, che abbandona la dipendenza dalle autorità centrali certificatrici CA per consegnare la sicurezza nelle mani dei singolo operatori di dominio.

A tutto questo, si aggiungerebbero le problematiche con i governi svelate dalle dichiarazioni di Snowden. Il protocollo DNSSEC, infatti, basandosi sul sistema di controllo dei certificati DANE (DNS-based Authentication of Named Entities) potrebbe portare le persone a cedere involontariamente i propri dati ai governi, offrendo così un ulteriore strumento di sorveglianza e intercettazione.

Infine, DNSSEC sarebbe imperfetto, come dimostra una pagina Web in cui sono raccolte le interruzioni nel funzionamento del protocollo.

Il sostegno per DNSSEC

A rispondere a queste accuse è Anne-Marie Eklund-Lowinder, responsabile della sicurezza per il top-level domain .SE che invece sostiene fermamente DNSSEC, indicando il protocollo come un’aggiunta di sicurezza dal potenziale davvero interessante.

Secondo Eklund-Lowinder, il fatto che il DNSSEC renda le cose più complicate ai malintenzionati è già cosa buona e il problema del controllo dei governi è dettato dalla sola paranoia legata al momento storico che sta vivendo Internet.

Su un unico punto, Eklund-Lowinder si trova in accordo con Ptacek e riguarda il problema della troppa autorità data alle CA, più volte colpite da attacchi e più volte omertose nel cedere le corrette informazioni ai propri clienti e al mondo esterno.

Insomma, per ora DNSSEC resta argomento di discussione e bisognerà stare a guardare in futuro verso quale direzione Internet muoverà i propri passi.

 

Tutorial

Vuoi approfondire degli argomenti specifici? Segui i miei tutorial, per dubbi o domande contattami.

Vai ai tutorial

Flickr

Guarda le mie foto su Flickr. Hai bisogno di foto particolari? Vuoi imparare a fotografare? Contattami
flickr_logo

Servizi Online

Vuoi predisporre il tuo sito web personalizzato? Hai bisogno di aiuto o consulenza?

Acquista i servizi online

Contattami

Per approfondimenti o informazioni su corsi di formazione o lavori contattami.

Richiedi uno scambio link con il mio sito.