1 dicembre 2009, il DNS svolta sulla via della sicurezza
Data: Domenica, 22 novembre 2009 ore 10:00:00 CET
Argomento: Rassegna stampa

Una data importante, quella del 1 dicembre 2009: è la data in cui Verisign, l’azienda che ha in gestione i Top Level Domain.com e .net, annuncerà le proprie strategie per l’avvio el’implementazione incrementale della sicurezza basata su DNSSEC nelsistema di Domain Name System (DNS), ossia quella tecnica grazie alla quale nessuno deve ricordare indirizzi IP ma solo indirizzi mnemonici.

L’obiettivo è di arrivare, nel primo trimestre del 2011, ad aver fatto propagare l’innovazione ad entrambi i Top Level Domain. Dunque, per gradire, ICANN ha già annunciato che dal 1 dicembre prossimo avvierà il processo di creazione della chiave primaria top-level per la verifica dei nomi a dominio.

Questi due elementi, secondo il direttore della divisione Product Management di Verisign, Joe Waldron, sono fondamentali per dare la prima spinta propulsiva e concreta all’intero processo. “Penso che ci troviamo in un punto di flessione“, dice il dirigente a Technology Review. “Da adesso a un massimo compreso tra 12 e 18 mesi, si vedrà un significativo ammontare di adozioni della novità tra Internet Registry, manutentori e Service Provider, nonché tra i titolari di nomi a dominio”.

Per chi non conosce il meccanismo, ad oggi il sistema DNS si comporta esattamente come un elenco telefonico: si invia la URL completa in formato mnemonico (es. nbtimes.it) e il sistema restituisce l’indirizzo IP a cui corrisponde. Tale funzione sino a oggi si è svolta in modo molto semplice, per di più utilizzando il protocollo UDP (che è un protocollo connectionless, dunque molto esposto a contraffazioni di varia natura).

Con l’introduzione di DNSSEC, la cui adozione è auspicabile si diffonda il prima possibile, questo elenco telefonico si dota di un meccanismo di verifica, grazie al quale diviene molto più difficile – praticamente impossibile – falsificare una risposta, un atto che consiste, attraverso operazioni non convenzionali, nel fornire a chi richiede la risoluzione di un determinato nome un indirizzo IP diverso da quello ufficialmente dichiarato come abbinato a tale indirizzo mnemonico. Va da sé che si tratta di una tecnica molto gradita da chi intende distribuire malware, virus o altri malanni informatici ingannando il richiedente che, convinto di recarsi su un sito affidabile come ad esempio una banca, si ritrova invece su un sito che gli inietta ogni male possibile attraverso il browser.

Con l’introduzione del nuovo sistema, invece, tali falsificazioni saranno molto difficili: ogni entità che svolge funzionalità DNS potrà farlo – ed essere riconosciuta come tale – solo se dispone di un’apposita chiave, ciascuna autenticata dall’entità a sé superiore. Dunque, Verisign produrrà le chiavi-base per i due TLD che gestisce, ciascun TLD dovrà poi riconoscere e validare le chiavi di ogni DNS sotto di sé. Allo stesso modo, anche gli eventuali sotto-domini delegati dovranno essere serviti da DNS dotati di chiavi, anch’esse validate dal DNS di livello gerarchicamente superiore.

Si potrebbe dire laconicamente «era ora»: di implementare un meccanismo di sicurezza che rendesse più affidabile l’intero Domain Name System si parla – purtroppo – da tempo memorabile, al punto che la maggior parte dei media hanno smesso di raccontarne le evoluzioni, lasciando l’argomento ai soli siti specializzatissimi.

Stavolta, forse, ci siamo.                         (da nbtimes.it)

La Redazione


Questo Articolo proviene da AetnaNet
http://www.aetnanet.org

L'URL per questa storia è:
http://www.aetnanet.org/scuola-news-18879.html