Il fondamentale Domain Name System, essenzialmente l’elenco telefonico per Internet, era qualcosa che nessuno che utilizzava la rete notava molto, ma ultimamente è diventato più un bersaglio e il costo degli attacchi contro di esso è enorme e in crescita.
Gli eventi recenti hanno portato ancora una volta alla ribalta le questioni che coinvolgono il DNS, come viene chiamato in breve. Un nuovo tipo di attacco denial-of-service chiamato Water Torture è il più recente, ma all’inizio di quest’anno ha visto altri attacchi basati su DNS sulla rete di Telsa a gennaio e un nuovo toolkit malware chiamato Decoy Dog che ha preso di mira le reti aziendali.
Uno dei motivi ha a che fare con l’espansione di Internet. Ci sono più bersagli, più larghezza di banda e più strumenti automatizzati per lanciare attacchi, rendendo più facile per i cattivi lanciare una rete più ampia con più potere distruttivo.
Il protocollo DNS è essenziale per quasi tutti i servizi Internet e viene utilizzato per tradurre i nomi di dominio alfabetici, come SiliconANGLE.com, e una serie di indirizzi di protocollo Internet numerici, come like35.91.118.127, avanti e indietro in modo che abbiano un significato sia per gli esseri umani che per le macchine e il software.
Ricordi gli elenchi telefonici stampati? Se conosci il nome alfabetico, puoi cercare i numeri. Il DNS esiste da decenni, da quando Paul Mockapetris, ora capo scienziato di ThreatSTOP Inc., ha scritto numerosi standard di protocollo Internet negli anni ’80.
Allora, le reti IP avevano ruoli molto diversi per persone e macchine, il che rendeva il DNS l’intermediario. Ha funzionato per un periodo in cui un dispositivo è stato mappato su un indirizzo IP. Quella volta c’erano anche computer per lo più in locale, quindi tenere traccia delle cose era molto più semplice. In genere, il custode di ogni DNS aziendale era una singola persona, che non aveva molte richieste o modifiche da apportare.
Quei giorni sono finiti ora, soprattutto perché Internet è “passato a un modello di rete client/server, in cui i client avviano le connessioni e i server rispondono e i client non richiedono un indirizzo assegnato in modo permanente”, come ha scritto Geoff Huston in un post del 2020 su l’evoluzione del DNS. Huston è il capo scienziato dei dati per l’agenzia Internet australiana Asia Pacific Network Information Center e ha scritto molto sui problemi del DNS.
Questo cambiamento, soprattutto perché supercloud, container e molteplici raccolte di applicazioni creano e distruggono istanze virtuali milioni di volte al giorno, mette a dura prova l’infrastruttura DNS. Senza un DNS completamente funzionante, i carichi di lavoro e i flussi di lavoro possono facilmente finire nei guai: i pacchetti scompaiono o cadono , catene di fornitura di software dannoso che prendono il controllo e server Web bloccati, che richiedono il riavvio o, peggio, la ricostruzione prima che possano tornare alla produzione.
Tutto ciò significa che le organizzazioni dipendono più che mai dal DNS per connettere i vari bit e pezzi di elaborazione su Internet, il che rende molto evidente quando il DNS si trova nei guai e per molte aziende questo a volte accade. Il DNS è diventato il grande scenario di gioco dell’hacking in cui l’infrastruttura di rete può essere compromessa con pochi pacchetti e vengono regolarmente rilevati exploit. E con milioni di domini dannosi creati ogni mese, come riportato di recente da Akamai Technologies Inc., c’è molto potenziale traffico di rete delle vittime che potrebbe essere diretto dal DNS di un utente malintenzionato.
Il costo di un attacco DNS è enorme. In uno studio dello scorso anno di IDC (riassunto nel grafico adiacente), l’88% delle organizzazioni ha subito uno o più attacchi DNS alla propria attività, con una media di sette all’anno. Ogni attacco riuscito costa all’azienda, in media, 942.000 dollari.
E “nessun DNS significa che non viene condotta alcuna attività”, conclude il rapporto. L’interruzione della rete di sette ore di Facebook verificatasi nell’ottobre 2021 è costata alla società almeno 60 milioni di dollari di entrate pubblicitarie perse e, di conseguenza, il prezzo delle sue azioni è sceso del 5%.
Scenari di attacco DNS
Forse uno degli exploit più complessi e composti è stato visto nel 2021. Chiamato NameWreck, ha coinvoltouna serie di nove vulnerabilità che interessano quattro diversi stack di protocollo TCP/IP, inclusi i difetti scoperti in due problemi critici di esecuzione di codice remoto in Nucleus NET e FreeBSD e un difetto di negazione del servizio in NetX. Questi difetti consentirebbero agli aggressori di assumere il controllo di milioni di dispositivi diversi che eseguono questi sistemi operativi.
Il post sul blog di Huston del 2020 copre diversi fattori che sono cambiati con il DNS e uno dei più importanti è fidarsi di ciò che dice quando esegue le sue ricerche di indirizzi. Cataloga i modi in cui il DNS viene utilizzato per mentire su queste ricerche per vari motivi e alcune di queste bugie assumono la forma di diversi tipi di attacchi basati su DNS. Ognuno ha una serie di circostanze leggermente diverse:
- Attacchi denial-of-service o DDoS distribuiti, in cui gli hacker mirano al traffico di rete per intasare i server Web e bloccarli. Esistono diversi tipi di attacchi DDoS, tra cui l’amplificazione del traffico, gli attacchi ai sottodomini e i DNS flood. Sono tutti modi intelligenti per riempire i server di traffico spazzatura e bloccarne l’elaborazione per impedire agli utenti legittimi di ottenere contenuti. SiliconANGLE ha coperto numerosi attacchi DDoS che continuano ad affliggere le aziende e gli utenti di Internet.
- Attacchi di ricorsione DNS, un’altra forma di attacco DDoS che inonda l’infrastruttura DNS di un’organizzazione e può causare tempi di inattività.
- Domain Hijacking o DNS reflection, quando gli aggressori possono reindirizzare le query dai server di un’organizzazione alle destinazioni che controllano, spesso per poi inserire malware negli endpoint. Una delle tecniche di dirottamento più perniciose consiste nell’utilizzare metodi di “typosquatting” per duplicare nomi di dominio popolari con caratteri non latini che presentano una stretta somiglianza. Huston afferma che questa modalità di attacco è direttamente il risultato del tentativo di includere questi altri set di caratteri come il cinese e l’arabo. “Non è stata una scelta così buona”, osserva seccamente.
- Avvelenamento della cache o spoofing DNS, in cui il malware viene iniettato nelle cache DNS o direttamente tramite il tunneling DNS, in modo che gli hacker possano reindirizzare il traffico delle query DNS. Questo è un vecchio exploit, scritto nel 2008 da Paul Vixie, un altro dei primi creatori di DNS che ora è direttore di SIE Europe UG.
- Attacchi NXDomain, che inviano query DNS spazzatura a nomi di dominio inesistenti, bloccando i server.
Nuovi metodi di sicurezza DNS
Per evitare che questi attacchi si verifichino, i tecnici di rete hanno implementato una varietà di metodi di sicurezza basati su DNS. Purtroppo, tutti hanno i loro problemi e non hanno incontrato nulla che si avvicini all’accettazione universale. Il rapporto di IDC afferma che quasi tutte le aziende dispongono di una qualche forma di sicurezza DNS, ma quasi la metà di loro non la utilizza e un quarto degli intervistati non raccoglie o analizza i propri registri di traffico DNS. Quindi quali sono le opzioni?
Le estensioni di sicurezza DNS o DNSSEC, proposte per la prima volta nel 2010, hanno aggiunto firme crittografiche per aiutare a verificare che le risposte DNS provenissero dai server previsti. Sebbene l’autenticazione fosse utile, non proteggeva la privacy della conversazione DNS. E per rendere le cose ancora più preoccupanti, nel 2016 gli aggressori hanno scoperto come sfruttare DNSSEC per amplificare il traffico DDoS.
DNS su HTTPS, o DoH, e DNS su TLS inviano queste richieste sul livello di trasporto UDP, sempre utilizzando la crittografia. Ciò impedisce la manomissione man-in-the-middle che potrebbe essere eseguita con conversazioni DNS non protette. La versione TLS salta i protocolli a livello di applicazione, il che aiuta a nascondere ulteriormente questo traffico e offre di conseguenza un leggero aumento delle prestazioni.
Il protocollo DoH è arrivato circa un decennio fa, in gran parte in risposta alle rivelazioni di Edward Snowden. “Erano un modo per prevenire interferenze o intercettazioni da parte di fornitori di servizi Internet e agenzie di sicurezza governative”, ha detto Vixie a SiliconANGLE. “Ma ha avuto anche la conseguenza involontaria di scambiare la privacy di alcuni utenti con la sicurezza degli utenti”, ha affermato. Ha previsto che il protocollo DoH avrà un ampio impatto “perché disintermedia i controlli parentali e le politiche DNS aziendali”.
DNSCrypt è stato progettato per prevenire gli attacchi di spoofing DNS e ha diverse implementazioni open source.
Ciò che tutti questi nuovi metodi hanno in comune è che non risolvono completamente il problema. Rivelano solo in modo più preciso quale parte dell’infrastruttura DNS di un’organizzazione è stata o potrebbe essere compromessa da un hacker, in modo che possano essere meglio preparati a risolvere eventuali problemi derivanti da una potenziale compromissione del DNS.
Esternalizzazione del DNS
Un miglioramento è che le organizzazioni esternalizzino il proprio DNS a quello che viene chiamato un resolver DNS aperto. Si tratta per la maggior parte di servizi gratuiti, sebbene alcuni di essi abbiano anche piani a pagamento.
Raggruppano diversi protocolli di sicurezza e hanno diversi metodi di analisi che possono impedire al traffico dannoso di entrare nella rete, ad esempio impostando il geofencing per vietare il traffico da luoghi o reti discutibili. Usano indirizzi IP accattivanti per renderli più facili da ricordare, come 1.1.1.1 di Cloudflare Inc., Google LLCs 8.8.8.8 e Quad9s 9.9.9.9. Alcuni di questi servizi offrono anche servizi di bilanciamento del carico e proxy dei contenuti insieme alla sicurezza DNS e alcuni dispongono di reti estese in tutto il mondo per ridurre le latenze di rete, che è un vantaggio collaterale del loro utilizzo.
I resolver aperti sono un buon primo passo per proteggere l’infrastruttura di rete, ma anche i piani a pagamento più completi di questi fornitori richiedono ancora strumenti e metodi aggiuntivi per proteggerla veramente.
Vixie ha spesso sostenuto che i responsabili della tecnologia dell’informazione potrebbero essere più proattivi nella difesa delle loro reti se monitorassero ciò che accade nella loro infrastruttura DNS. Un modo per farlo è fare un uso migliore dei provider DNS gestiti dal cloud, qualcosa trattato in questo articolo in CSOonline.
Tutte e tre le principali piattaforme cloud – Microsoft, Google e Amazon Web Services – hanno le loro versioni di servizi DNS gestiti, insieme a molti altri provider. Il post del CSO entra nei dettagli sul motivo per cui il cloud è migliore per la protezione DNS e dove non è all’altezza. Poiché questi provider controllano un volume di traffico di rete maggiore, possono individuare prima tendenze e potenziali exploit e bloccarli più rapidamente, almeno in teoria.
Il cambio di provider DNS non viene effettuato solo per motivi di sicurezza, ma anche per offrire reali miglioramenti delle prestazioni in termini di riduzione della latenza di rete e dei tempi di caricamento dei contenuti web. Ciò diventa più difficile da prevedere, soprattutto se un’organizzazione gestisce una rete globale di server o distribuisce contenuti a un pubblico globale. Fortunatamente, ci sono una serie di strumenti in grado di testare questi parametri da varie geolocalizzazione, rispetto a Geekflare in questa recensione.
Il DNS può anche aiutare in altre aree. Tutti sanno che la protezione DNS è efficace contro il malware”, ha dichiarato a SiliconANGLE l’inventore del DNS Mockapetris. “Ma è anche efficace nel proteggerti dall’essere responsabile delle multe del governo degli Stati Uniti per aver violato i controlli sulle esportazioni e le sanzioni commerciali, come quello che è successo a Microsoft la scorsa primavera quando è stata multata di 3,3 milioni di dollari. E anche loro si sono consegnati volontariamente! Ha sottolineato che Amazon dispone di firewall per applicazioni Web che possono aiutare a bloccare automaticamente il traffico DNS non conforme, poiché il governo apporta modifiche regolari al suo elenco di sanzioni.
Qual è il prossimo? Huston prevede un DNS a due livelli. Dice nel suo blog del 2020 che “il DNS come lo conosciamo potrebbe finire per diventare un piccolo insieme di attività di boutique di lusso di fascia alta che fanno una caratteristica del lusso delle procedure personalizzate per gestire i nomi persistenti”.
Ciò significherebbe che il resto del DNS sarebbe più un’utilità di base. “Può darsi”, osserva, “che il DNS non abbia più nulla a che fare con i nomi umani e abbia più a che fare con la sua proprietà di uno dei pochi protocolli e servizi universalmente supportati rimasti in Internet”.
Immagini: Infoblox, IDC
Il tuo voto di supporto è importante per noi e ci aiuta a mantenere il contenuto GRATUITO.
Un clic qui sotto supporta la nostra missione di fornire contenuti gratuiti, approfonditi e pertinenti.
Unisciti alla nostra community su YouTube
Unisciti alla community che comprende oltre 15.000 esperti #CubeAlumni, tra cui il CEO di Amazon.com Andy Jassy, il fondatore e CEO di Dell Technologies Michael Dell, il CEO di Intel Pat Gelsinger e molti altri luminari ed esperti.
GRAZIE
#Gli #aggressori #prendono #mira #Domain #System #lelenco #telefonico #Internet #Ecco #reagire #SiliconANGLE
Image Source : siliconangle.com