DNS, acronimo di "Domain Name System", può essere definito come l'indice per Internet. Consente agli utenti di accedere alle informazioni convertendo un nome di dominio (ad esempio, kaspersky.com) nell'indirizzo IP corrispondente necessario a un browser per caricare le risorse Internet (ad esempio, gli articoli come questo). Il sistema DNS viene utilizzato per tracciare, catalogare e regolare i siti Web di tutto il mondo.
Per comprendere meglio che cos'è il DNS, è necessario esaminarne il funzionamento, ma prima ancora dobbiamo definire i termini utilizzati in questo argomento:
Un indirizzo IP (Internet Protocol) è il numero assegnato a ogni computer e server univoco. Questi ID vengono utilizzati dai computer per individuare gli altri computer e comunicare con essi.
Un dominio (o nome di dominio) è un nome che consente alle persone di ricordare, identificare e connettersi a siti Web specifici e ai relativi server. Un dominio come "www.kaspersky.com", ad esempio, è un modo semplice per riconoscere l'ID del server di destinazione effettivo, ovvero un indirizzo IP.
Server DNS (o server dei nomi DNS) è il termine con cui si indicano i quattro tipi di server che costituiscono il processo di "ricerca DNS", ovvero il server di risoluzione dei nomi, i server dei nomi radice, i server dei nomi di dominio di primo livello (TLD, Top-Level Domain) e i server dei nomi autorevoli. Per maggiore chiarezza, esaminiamo in dettaglio le specifiche di ognuno di questi server:
Dopo aver stabilito che cos'è il DNS e aver delineato le caratteristiche generali del DNS e dei suoi server, è il momento di esaminare esattamente come funziona.
Quando si cerca un sito Web tramite un nome di dominio nel browser, si dà inizio a un processo di ricerca mirata. L'intera procedura di ricerca comprende 6 fasi:
Il processo di ricerca DNS è la struttura vitale utilizzata da tutta la rete Internet. Purtroppo i criminali possono usare le vulnerabilità del DNS a proprio vantaggio ed è quindi indispensabile conoscere le possibili truffe che sfruttano il reindirizzamento, ovvero lo "spoofing" e il "poisoning". Per evitare di incorrere in queste minacce, ecco che cosa sono e come funzionano lo spoofing e il poisoning DNS.
Lo spoofing e il poisoning DNS (Domain Name System) sono tipi di attacchi informatici che sfruttano le vulnerabilità dei server DNS per deviare il traffico dai server legittimi inoltrandolo a server falsi. Se vieni indirizzato a una pagina fraudolenta, potrebbe non essere semplice risolvere il problema, nonostante tu sia l'unico a poterlo fare. Per proteggerti, devi sapere esattamente come funziona.
Lo spoofing DNS e, per estensione, il poisoning della cache DNS, sono tra le minacce informatiche più ingannevoli. Senza sapere come funziona la connessione Internet ai siti Web, si potrebbe venire indotti a pensare che sia il sito a essere stato violato. In alcuni casi, può trattarsi semplicemente del tuo dispositivo. Ancora peggio, le suite di sicurezza informatica possono bloccare solo alcune delle minacce legate allo spoofing DNS.
Per quanto riguarda il DNS, le minacce più evidenti sono due:
Ecco alcuni dei metodi più comuni per gli attacchi di spoofing DNS:
Attacco man-in-the-middle: l'autore dell'attacco si inserisce tra il browser Web e il server DNS. Viene utilizzato uno strumento per il poisoning simultaneo della cache sul dispositivo locale e del server sul server DNS. Il risultato è un reindirizzamento a un sito dannoso ospitato sul server locale dell'autore dell'attacco.
Hijack del server DNS: il criminale riconfigura direttamente il server per indirizzare al sito Web dannoso tutti gli utenti che effettuano una richiesta. Una volta inserita una voce DNS fraudolenta nel server DNS, qualsiasi richiesta IP per il dominio contraffatto porterà al sito falso.
Poisoning della cache DNS tramite spam: il codice di un attacco dannoso alla cache del server DNS si trova, in genere, nelle URL inviate tramite e-mail spam. Queste e-mail tentano di convincere gli utenti a fare clic sull'URL fornita, che, a sua volta, infetta i loro computer. Anche le immagini e i banner pubblicitari presenti in messaggi e-mail e siti Web non attendibili possono indirizzare gli utenti verso questo codice. Una volta infettato, il computer reindirizzerà l'utente a siti Web che sono stati contraffatti per apparire identici a quelli veri. È a questo punto che le minacce reali vengono introdotte nei dispositivi.
Ecco alcuni rischi comuni del poisoning e dello spoofing DNS:
Lo spoofing DNS comporta diversi rischi, ognuno dei quali mette a repentaglio i dispositivi e i dati personali.
Il furto dei dati può essere particolarmente redditizio per gli autori di attacchi di spoofing DNS. I siti Web di istituti bancari e di famosi rivenditori online vengono facilmente colpiti, pertanto eventuali password, carte di credito o informazioni personali possono risultare compromesse. I reindirizzamenti portano a siti Web di phishing progettati per raccogliere informazioni.
L'infezione da malware è un'altra minaccia comune legata allo spoofing DNS. Se si viene reindirizzati durante un attacco di spoofing, la destinazione potrebbe essere un sito infestato da download dannosi. I download indotti sono un modo semplice per automatizzare l'infezione del sistema. In definitiva, se non si utilizzano funzionalità di sicurezza Internet, si è esposti a rischi come spyware, keylogger o worm.
Il blocco degli aggiornamenti di sicurezza può derivare da uno spoofing DNS. Se tra i siti contraffatti ci sono quelli dei fornitori di sicurezza Internet, gli aggiornamenti di sicurezza legittimi non vengono eseguiti. Di conseguenza, il computer può essere esposto a ulteriori minacce come virus o Trojan.
La censura è un rischio che di fatto è comune in alcune parti del mondo. La Cina, ad esempio, utilizza modifiche al DNS per assicurarsi che tutti i siti Web visualizzati all'interno del Paese siano approvati. Questo blocco a livello nazionale, soprannominato "Great Firewall", è un esempio di quanto lo spoofing DNS possa essere efficace.
In particolare, è difficile eliminare il poisoning della cache DNS. La pulizia di un server infetto non elimina il problema da un dispositivo desktop o mobile che pertanto tornerà a visitare il sito contraffatto. Senza contare che i desktop puliti che si connettono a un server infetto vengono nuovamente compromessi.
Quando si cerca di prevenire lo spoofing DNS, le protezioni a livello di utente sono limitate. I proprietari di siti Web e i fornitori di server hanno maggiori possibilità di proteggere se stessi e i propri utenti. Per garantire la sicurezza di tutti, entrambe le parti devono cercare di evitare gli attacchi di spoofing.
Ecco come i proprietari di siti Web e i fornitori di servizi DNS possono evitare questi attacchi:
Ecco come gli utenti degli endpoint possono evitare queste minacce:
I proprietari dei siti Web e i fornitori di server DNS hanno la piena responsabilità della difesa degli utenti. Per evitare le minacce, è possibile implementare diversi strumenti e protocolli di protezione, ad esempio alcune delle seguenti risorse:
Gli utenti sono particolarmente vulnerabili a questi tipi di minacce. Per evitare di cadere vittima di un attacco di poisoning DNS, seguire questi semplici suggerimenti:
Non renderti vulnerabile allo spoofing DNS e agli attacchi malware. Inizia a proteggerti oggi stesso con i prodotti Kaspersky per la sicurezza per uso domestico.
Articoli e collegamenti correlati:
Prodotti correlati: