DNS, acronimo di "Domain Name System", può essere definito come l'indice per Internet. Consente agli utenti di accedere alle informazioni convertendo un nome di dominio (ad esempio, kaspersky.com) nell'indirizzo IP corrispondente necessario a un browser per caricare le risorse Internet (ad esempio, gli articoli come questo). Il sistema DNS viene utilizzato per tracciare, catalogare e regolare i siti Web di tutto il mondo.
Per comprendere meglio che cos'è il DNS, è necessario esaminarne il funzionamento, ma prima ancora dobbiamo definire i termini utilizzati in questo argomento:
Un indirizzo IP (Internet Protocol) è il numero assegnato a ogni computer e server univoco. Questi ID vengono utilizzati dai computer per individuare gli altri computer e comunicare con essi.
Un dominio (o nome di dominio) è un nome che consente alle persone di ricordare, identificare e connettersi a siti Web specifici e ai relativi server. Un dominio come "www.kaspersky.com", ad esempio, è un modo semplice per riconoscere l'ID del server di destinazione effettivo, ovvero un indirizzo IP.
Server DNS (o server dei nomi DNS) è il termine con cui si indicano i quattro tipi di server che costituiscono il processo di "ricerca DNS", ovvero il server di risoluzione dei nomi, i server dei nomi radice, i server dei nomi di dominio di primo livello (TLD, Top-Level Domain) e i server dei nomi autorevoli. Per maggiore chiarezza, esaminiamo in dettaglio le specifiche di ognuno di questi server:
- Il server di risoluzione dei nomi (o resolver ricorsivo) è il componente di conversione del processo di ricerca DNS. È progettato per ricevere le query dal client (tramite un browser Web o un'app) e per comunicare queste query a una serie di server Web (elencati qui sotto) al fine di trovare l'indirizzo IP di destinazione di un nome di dominio. Può rispondere con i dati memorizzati in precedenza nella cache o inviare la query a un server dei nomi radice. Il servizio di risoluzione dei nomi comunica ininterrottamente con i server indicati qui sotto durante un processo di ricerca.
- Dal server dei nomi radice (server radice) hanno inizio tutte le ricerche DNS. Se si pensa al DNS come a una gerarchia, la "zona radice" si troverà in cima. Un server radice è un server dei nomi DNS che opera nella zona radice. Spesso viene utilizzato come punto di riferimento in un processo di ricerca.
- Il server dei nomi di dominio di primo livello (TLD) si trova un livello sotto la zona radice. La fase successiva della ricerca include informazioni per tutti i nomi di dominio contenenti una "estensione di dominio" comune, ad esempio .com, .net e così via.
- Il server dei nomi autorevole costituisce l'ultima fase della ricerca e contiene informazioni specifiche del nome di dominio cercato. Può fornire al server di risoluzione dei nomi l'indirizzo IP corretto.
Dopo aver stabilito che cos'è il DNS e aver delineato le caratteristiche generali del DNS e dei suoi server, è il momento di esaminare esattamente come funziona.
Come funziona il DNS
Quando si cerca un sito Web tramite un nome di dominio nel browser, si dà inizio a un processo di ricerca mirata. L'intera procedura di ricerca comprende 6 fasi:
- Il browser e il sistema operativo tentano di richiamare l'indirizzo IP associato al nome di dominio. Se è stato visitato in precedenza, l'indirizzo IP può essere richiamato dallo spazio di archiviazione interno o dalla cache della memoria del computer.
- Se nessuno dei due componenti sa dove si trova l'indirizzo IP di destinazione, il processo continua.
- Il sistema operativo esegue una query sul server di risoluzione dei nomi per ottenere l'indirizzo IP. Questa query avvia la ricerca attraverso la catena di server del sistema dei nomi di dominio per trovare l'IP corrispondente al dominio.
- La query arriva prima al server dei nomi radice, che la indirizza al server TLD (tramite il resolver).
- Il server TLD inoltra la richiesta, ovvero la indirizza, al server dei nomi autorevole (sempre tramite il resolver).
- Infine il resolver, comunicando con il server dei nomi autorevole, trova e recapita l'indirizzo IP al sistema operativo che lo inoltra nuovamente al browser Web, restituendo all'utente il sito Web o la pagina richiesta.
Il processo di ricerca DNS è la struttura vitale utilizzata da tutta la rete Internet. Purtroppo i criminali possono usare le vulnerabilità del DNS a proprio vantaggio ed è quindi indispensabile conoscere le possibili truffe che sfruttano il reindirizzamento, ovvero lo "spoofing" e il "poisoning". Per evitare di incorrere in queste minacce, ecco che cosa sono e come funzionano lo spoofing e il poisoning DNS.
Definizione di spoofing e poisoning DNS
Lo spoofing e il poisoning DNS (Domain Name System) sono tipi di attacchi informatici che sfruttano le vulnerabilità dei server DNS per deviare il traffico dai server legittimi inoltrandolo a server falsi. Se vieni indirizzato a una pagina fraudolenta, potrebbe non essere semplice risolvere il problema, nonostante tu sia l'unico a poterlo fare. Per proteggerti, devi sapere esattamente come funziona.
Lo spoofing DNS e, per estensione, il poisoning della cache DNS, sono tra le minacce informatiche più ingannevoli. Senza sapere come funziona la connessione Internet ai siti Web, si potrebbe venire indotti a pensare che sia il sito a essere stato violato. In alcuni casi, può trattarsi semplicemente del tuo dispositivo. Ancora peggio, le suite di sicurezza informatica possono bloccare solo alcune delle minacce legate allo spoofing DNS.
Funzionamento del poisoning e dello spoofing della cache DNS
Per quanto riguarda il DNS, le minacce più evidenti sono due:
- Lo spoofing DNS è una minaccia che imita le destinazioni dei server legittimi per reindirizzare il traffico di un dominio. L'obiettivo di diversi metodi di attacco di spoofing DNS è infatti quello di far finire le vittime ignare su siti Web dannosi.
- Il poisoning della cache DNS è un metodo di spoofing DNS a livello di utente, in cui il sistema registra l'indirizzo IP fraudolento nella cache della memoria locale. In questo modo il DNS richiama il sito dannoso appositamente per l'utente, anche se il problema viene risolto o non è mai esistito a livello di server.
Metodi di attacco di spoofing DNS o di poisoning della cache
Ecco alcuni dei metodi più comuni per gli attacchi di spoofing DNS:
Attacco man-in-the-middle: l'autore dell'attacco si inserisce tra il browser Web e il server DNS. Viene utilizzato uno strumento per il poisoning simultaneo della cache sul dispositivo locale e del server sul server DNS. Il risultato è un reindirizzamento a un sito dannoso ospitato sul server locale dell'autore dell'attacco.
Hijack del server DNS: il criminale riconfigura direttamente il server per indirizzare al sito Web dannoso tutti gli utenti che effettuano una richiesta. Una volta inserita una voce DNS fraudolenta nel server DNS, qualsiasi richiesta IP per il dominio contraffatto porterà al sito falso.
Poisoning della cache DNS tramite spam: il codice di un attacco dannoso alla cache del server DNS si trova, in genere, nelle URL inviate tramite e-mail spam. Queste e-mail tentano di convincere gli utenti a fare clic sull'URL fornita, che, a sua volta, infetta i loro computer. Anche le immagini e i banner pubblicitari presenti in messaggi e-mail e siti Web non attendibili possono indirizzare gli utenti verso questo codice. Una volta infettato, il computer reindirizzerà l'utente a siti Web che sono stati contraffatti per apparire identici a quelli veri. È a questo punto che le minacce reali vengono introdotte nei dispositivi.
Rischi del poisoning e dello spoofing DNS
Ecco alcuni rischi comuni del poisoning e dello spoofing DNS:
- Furto di dati
- Infezione da malware
- Aggiornamenti della sicurezza interrotti
- Censura
Lo spoofing DNS comporta diversi rischi, ognuno dei quali mette a repentaglio i dispositivi e i dati personali.
Il furto dei dati può essere particolarmente redditizio per gli autori di attacchi di spoofing DNS. I siti Web di istituti bancari e di famosi rivenditori online vengono facilmente colpiti, pertanto eventuali password, carte di credito o informazioni personali possono risultare compromesse. I reindirizzamenti portano a siti Web di phishing progettati per raccogliere informazioni.
L'infezione da malware è un'altra minaccia comune legata allo spoofing DNS. Se si viene reindirizzati durante un attacco di spoofing, la destinazione potrebbe essere un sito infestato da download dannosi. I download indotti sono un modo semplice per automatizzare l'infezione del sistema. In definitiva, se non si utilizzano funzionalità di sicurezza Internet, si è esposti a rischi come spyware, keylogger o worm.
Il blocco degli aggiornamenti di sicurezza può derivare da uno spoofing DNS. Se tra i siti contraffatti ci sono quelli dei fornitori di sicurezza Internet, gli aggiornamenti di sicurezza legittimi non vengono eseguiti. Di conseguenza, il computer può essere esposto a ulteriori minacce come virus o Trojan.
La censura è un rischio che di fatto è comune in alcune parti del mondo. La Cina, ad esempio, utilizza modifiche al DNS per assicurarsi che tutti i siti Web visualizzati all'interno del Paese siano approvati. Questo blocco a livello nazionale, soprannominato "Great Firewall", è un esempio di quanto lo spoofing DNS possa essere efficace.
In particolare, è difficile eliminare il poisoning della cache DNS. La pulizia di un server infetto non elimina il problema da un dispositivo desktop o mobile che pertanto tornerà a visitare il sito contraffatto. Senza contare che i desktop puliti che si connettono a un server infetto vengono nuovamente compromessi.
Prevenzione del poisoning e dello spoofing della cache DNS
Quando si cerca di prevenire lo spoofing DNS, le protezioni a livello di utente sono limitate. I proprietari di siti Web e i fornitori di server hanno maggiori possibilità di proteggere se stessi e i propri utenti. Per garantire la sicurezza di tutti, entrambe le parti devono cercare di evitare gli attacchi di spoofing.
Ecco come i proprietari di siti Web e i fornitori di servizi DNS possono evitare questi attacchi:
- Strumenti di rilevamento dello spoofing DNS
- Estensioni di sicurezza DNS
- Criptaggio end-to-end
Ecco come gli utenti degli endpoint possono evitare queste minacce:
- Non fare mai clic su un collegamento non riconosciuto
- Eseguire regolarmente la scansione del computer per ricercare l'eventuale presenza di malware
- Svuotare la cache DNS per risolvere il poisoning
- Utilizzare una VPN (Virtual Private Network)
Suggerimenti per la prevenzione per i proprietari dei siti Web e i fornitori di server DNS
I proprietari dei siti Web e i fornitori di server DNS hanno la piena responsabilità della difesa degli utenti. Per evitare le minacce, è possibile implementare diversi strumenti e protocolli di protezione, ad esempio alcune delle seguenti risorse:
- Strumenti di rilevamento dello spoofing DNS: questi strumenti di rilevamento, che equivalgono ai prodotti per la sicurezza usati dagli utenti degli endpoint, analizzano in modo proattivo tutti i dati ricevuti prima di inviarli.
- Domain Name System Security Extensions (DNSSEC): il sistema DNSSEC, che è fondamentalmente un'etichetta DNS di verifica, consente di confermare l'autenticità di una ricerca DNS e di proteggerla dallo spoofing.
- Criptaggio end-to-end: i dati criptati, inviati per le richieste e le risposte DNS, tengono lontani i criminali che non saranno in grado di duplicare il certificato univoco di sicurezza del sito Web legittimo.
Suggerimenti per la prevenzione per gli utenti
Gli utenti sono particolarmente vulnerabili a questi tipi di minacce. Per evitare di cadere vittima di un attacco di poisoning DNS, seguire questi semplici suggerimenti:
- Non fare mai clic su un collegamento non riconosciuto, inclusi i collegamenti in e-mail, SMS o social media. Evitare il più possibile gli strumenti che abbreviano le URL perché possono mascherare ulteriormente le destinazioni dei collegamenti. Per essere davvero al sicuro, è sempre preferibile inserire manualmente un'URL nella barra degli indirizzi, ma solo dopo aver verificato che sia ufficiale e legittima.
- Eseguire regolarmente la scansione del computer per ricercare l'eventuale presenza di malware. Anche se non è possibile rilevare il poisoning della cache DNS, il software di sicurezza consentirà di individuare e rimuovere eventuali infezioni. Dal momento che i siti contraffatti possono veicolare ogni tipo di programma dannoso, è consigliabile eseguire sempre una scansione per individuare virus, spyware e altri problemi nascosti. Tenere presente che può verificarsi anche il contrario, ovvero che sia un malware a veicolare lo spoofing. A tal fine, si consiglia di utilizzare sempre un programma locale e non una versione in hosting, in quanto l'attacco potrebbe falsificare i risultati basati sul Web.
- Se necessario, svuotare la cache DNS per risolvere il poisoning. Le conseguenze del poisoning della cache permangono a lungo nel sistema se non si eliminano i dati infetti. Per eseguire questo processo, è sufficiente aprire il programma "Esegui" di Windows e digitare il comando "ipconfig /flushdns". Anche in Mac, iOS e Android è possibile eseguire lo svuotamento della cache, in genere tramite l'opzione di "ripristino delle impostazioni di rete", l'attivazione della modalità aereo, il riavvio del dispositivo o un'URL specifica del browser Web nativo. Per informazioni, cercare il metodo relativo al dispositivo specifico.
- Utilizzare una VPN (Virtual Private Network). Questi servizi forniscono un tunnel criptato per tutto il traffico Web e consentono di utilizzare server DNS privati che usano esclusivamente richieste criptate end-to-end. Di conseguenza, i server sono molto più resilienti allo spoofing DNS e le richieste non possono essere interrotte.
Non renderti vulnerabile allo spoofing DNS e agli attacchi malware. Inizia a proteggerti oggi stesso con i prodotti Kaspersky per la sicurezza per uso domestico.
Articoli e collegamenti correlati:
- Cos'è lo spoofing?
- Che cos'è il pharming e come proteggersi?
- Che cos'è un indirizzo IP e a cosa serve?
- Tipi ed esempi di malware
Prodotti correlati: