Il progetto open-source mira a rendere il DNS sicuro più facile

Un gruppo di sviluppatori ha rilasciato software open source che fornisce agli amministratori una mano per rendere il sistema di indirizzamento di Internet meno vulnerabile agli hacker.

Il software, chiamato OpenDNSSEC, automatizza molte attività associato all'implementazione di DNSSEC (Domain Name System Security Extensions), che è un set di protocolli che consente ai record DNS (Domain Name System) di portare una firma digitale, ha dichiarato John A. Dickinson, un consulente DNS che lavora al progetto.

I record DNS consentono ai siti Web di essere tradotti da un nome in un indirizzo IP (Internet Protocol), che può essere interrogato da un computer. Ma il sistema DNS ha diversi difetti che risalgono al suo design originale che sono sempre più presi di mira dagli hacker.

[Ulteriori letture: Come rimuovere malware dal tuo PC Windows]

Manomettendo un server DNS, è possibile per un utente per digitare il nome corretto del sito Web ma essere indirizzato a un sito fraudolento, un tipo di attacco chiamato avvelenamento della cache. Questa è una delle molte preoccupazioni che sta guidando un movimento per gli ISP e altre entità che utilizzano server DNS per utilizzare DNSSEC.

Con DNSSEC, i record DNS sono firmati crittograficamente e tali firme vengono verificate per garantire che le informazioni siano accurate. L'adozione di DNSSEC, tuttavia, è stata frenata dalla complessità dell'implementazione e dalla mancanza di strumenti più semplici, ha affermato Dickinson.

Per firmare i record DNS, DNSSEC utilizza la crittografia a chiave pubblica, dove le firme vengono create utilizzando una chiave pubblica e privata e implementato a livello di zona. Parte del problema è la gestione di quelle chiavi, dal momento che devono essere aggiornate periodicamente per mantenere un elevato livello di sicurezza, ha detto Dickinson. Un errore nella gestione di quelle chiavi potrebbe causare grossi problemi, che è una delle sfide per gli amministratori.

OpenDNSSEC consente agli amministratori di creare policy e quindi automatizzare la gestione delle chiavi e la firma dei record, ha detto Dickinson. Il processo ora richiede più interventi manuali, che aumentano la possibilità di errori.

OpenDNSSEC "si occupa di assicurarsi che la zona sia correttamente e correttamente firmata in accordo con la politica su base permanente", ha detto Dickinson. "Tutto ciò è completamente automatizzato in modo che l'amministratore possa concentrarsi sul DNS e lasciare che la sicurezza funzioni in background."

Il software dispone anche di una funzione di archiviazione chiave che consente agli amministratori di tenere le chiavi in ​​un modulo software hardware o di sicurezza, un ulteriore livello di protezione che garantisce che le chiavi non finiscano nelle mani sbagliate, ha detto Dickinson.

Il software OpenDNSSEC è disponibile per il download, sebbene sia offerto come anteprima tecnologica e non dovrebbe essere ancora utilizzato in produzione, ha detto Dickinson. Gli sviluppatori raccoglieranno feedback sullo strumento e pubblicheranno versioni migliorate nel prossimo futuro.

All'inizio dell'anno, la maggior parte dei domini di primo livello, come quelli che terminavano in ".com", non erano firmati crittograficamente, e nemmeno quelli erano nella zona radice DNS, l'elenco principale di dove i computer possono andare a cercare un indirizzo in un determinato dominio. VeriSign, che è il registro per ".com", ha detto in febbraio che implementerà DNSSEC tra i domini di primo livello, incluso.com entro il 2011.

Anche altre organizzazioni si stanno muovendo verso l'uso di DNSSEC. Il governo degli Stati Uniti si è impegnato a utilizzare DNSSEC per il suo dominio ".gov". Altri gestori di ccTLD (domini di primo livello in codice paese) in Svezia (.se), Brasile (.br), Porto Rico (.pr) e Bulgaria (.bg) utilizzano anche DNSSEC.

Gli esperti di sicurezza sostengono che DNSSEC dovrebbe essere usato prima piuttosto che in seguito a causa delle vulnerabilità esistenti nel DNS. Uno di quelli più seri è stato rivelato dal ricercatore di sicurezza Dan Kaminsky nel luglio 2008. Ha dimostrato che i server DNS potrebbero essere rapidamente riempiti con informazioni inaccurate, che potrebbero essere utilizzate per una varietà di attacchi ai sistemi di posta elettronica, ai sistemi di aggiornamento del software e alla password sistemi di recupero su siti Web.

Sebbene siano state implementate patch temporanee, non si tratta di una soluzione a lungo termine in quanto richiede più tempo per eseguire un attacco, secondo un white paper pubblicato all'inizio di quest'anno da SurfNet, un'organizzazione olandese di ricerca e istruzione. SurfNet è tra i sostenitori di OpenDNSSEC, che include anche il registro ".uk" Nominet, NLnet Labs e SIDN, il registro ".nl".

Salvo DNSSEC, "il difetto di base nel Domain Name System - che lì non è un modo per garantire che le risposte alle domande siano autentiche - rimane ", ha detto il documento.