7 Commenti

La curiosa storia di DNSSEC

Solo per i tuoi occhi

di

thumbnail

10

giu

2015

Per l’Italia, informaticamente parlando, diventare una repubblica delle banane sarebbe un consistente passo in avanti.

Il suo nome è Snowden, Edward Snowden. Per chi avesse passato gli ultimi due anni in una caverna: un eroe che ha perso amici, famiglia e lavoro per denunciare al mondo intero gli abusi di una agenzia americana fuori da ogni controllo che spia non solo i nemici degli USA ma anche i propri cittadini e gli alleati, ascolta ogni telefonata di intere nazioni, legge ogni singola chat in Skype, spende ogni anno un budget segreto di 52 miliardi di dollari (superiore al prodotto interno lordo del 60% delle nazioni sovrane del pianeta) in un parossismo che non s’era mai sognato neppure nei suoi peggiori incubi, quando andava a letto dopo essersi riempito la pancia di caponata.

La National Security Agency ha sviluppato e gestisce un intero arsenale di ciberarmi. Scrive l’esperto di sicurezza Bruce Schneier, nel suo recentissimo libro Data and Goliath:

Lavoravo coi giornalisti del Guardian sui documenti originali di Snowden, e il programma top secret che più disperatamente la NSA ci chiedeva di non divulgare è QUANTUM. Si tratta del software che la NSA usa per iniettare pacchetti su Internet. In sostanza, questa tecnologia permette alla NSA di penetrare qualsiasi computer.

Funziona così. Siete una azienda italiana che sta mandando un documento riservato a un cliente o fornitore cinese. La prima cosa che il vostro PC fa è cercare l’indirizzo dell’interlocutore, usando il sistema DNS. Ma un server NSA piazzato dagli americani in Italia risponde prima del vero DNS cinese e vi restituisce l’indirizzo di un server statunitense. Così il vostro PC inconsapevolmente manda il documento riservato agli spioni americani, restando convinto di essere in contatto col server cinese. Dopo un decimo di secondo il sistema QUANTUM ha fatto una copia del file; a questo punto contatta il vero destinatario cinese e glielo manda di modo che nessuno si renda conto dell’intercettazione. Quelli della NSA esaminano con calma il vostro documento alla ricerca di informazioni gustose e alla fin fine lo passano ai vostri concorrenti a stelle e strisce. E tanti cari saluti al segreto industriale che molto tempo, soldi e fatica era costato all’impresa italiana.

Ci sono due soli possibili rimedi. Primo, cifrare tutte le comunicazioni tra server di modo che la copia che arriva agli americani sia per loro del tutto illeggibile. Ma è difficile: richiede consapevolezza e collaborazione tra mittente e destinatario. Seconda strada: accendere DNSSEC, un sistema che sta al DNS come HTTPS sta ad HTTP. In sostanza è una autenticazione cifrata dei DNS; quando il server NSA prova a rispondere prima del server cinese lo fa in modo non credibile, viene ignorato e il mittente italiano attende la risposta autorevole del destinatario cinese prima di far partire il contatto e la trasmissione dati.

Gran bella idea, già in uso circa nell’otto per cento dei nomi dominio al mondo. C’è un unico prerequisito: l’opzione va accesa a livello globale. In soldoni? Per proteggere some-name-co.uk una azienda inglese deve accertarsi che il governo di Sua maestà britannica attraverso l’ente deputato abbia attivato DNSSEC su co.uk. Per proteggere il-vostro-nome.it è necessario che l’Italia faccia lo stesso.

Ma sono passati due anni dalle rivelazioni di Snowden, quindi ci sono arrivati tutti da un pezzo. Tutti. Quasi tutti. Per la precisione: nell’Unione Europea tutte le nazioni tranne una. Indovinate quale?

Mappa delle nazioni che hanno attivato DNSSEC, tra cui tutta l'Europa sia Est che Ovest, tranne l'Italia

Un giorno l’Internet in Italia sarà sviluppata quanto quella in Cile o in Bulgaria.

La cartina qui sopra è aggiornata al giorno in cui ho scritto questo articolo. Per la versione più recente possibile visitate gli archivi della Internet Society. Comunque, ricapitolando: siamo la penultima nazione dell’Unione Europea, dopo Malta, per velocità di Internet ad imprese e cittadini, e la più insicura. Pare che, nonostante le rassicurazioni fornite da tale Mameli, l’Italia non si sia desta.




Luca Accomazzi (@misterakko) ha messo le mani su un calcolatore (Apple) nel 1980 e da allora non le ha quasi mai staccate anche se, avendo una moglie e una figlia, viene da sospettare che qualche pur breve pausa l’abbia trovata. Su Internet dal 1992, si dedica a tempo pieno a scrivere siti – circa trecento da fine 1997 – fermandosi solo per scrivere libri per Apogeo (spesso in sodalizio con Lucio Bragagnolo). L’azienda che ha fondato, Accomazzi.net, è specializzata in commercio elettronico e newsletter.

In Rete: www.accomazzi.net

Letto 3.999 volte | Tag: , , , , , , , , , , , ,

7 commenti

  1. Domenico

    Mah, sono molto perplesso:tu credi che davvero il DNSSEC risolva il problema? Non è un po’ strano che lo stiano adottando proprio le nazioni più spione del mondo (us, uk, au, nz)? Secondo me ti stai sbagliando, oppure no.

  2. Luca Accomazzi

    Non esiste nulla che “risolva il problema” nella sicurezza – informatica e non solo. Tu puoi spendere una cifra da capogiro e fare una copia di Fort Knox per tenerci le tue cose, ma se gli USA vogliono entrare in casa tua ti mandano una divisione di marines ed entrano lo stesso.
    Però se l’unica soluzione per loro è mandare una intera divisione di marines almeno ci pensano due volte perché gli costa un tot

  3. Pierluigi

    Il link associato alla parola DNSSEC non risulta raggiungibile, è un errore?

  4. Lucio Bragagnolo

    Appena provato, è funzionante. Riprovi e grazie comunque per la segnalazione!

  5. Pierluigi

    A me porta al sito , di cui Safari non trova il server kb.isc.org. Sbaglio qualcosa?

  6. Lucio Bragagnolo

    Non saprei dire, forse c’è un problema locale. Rimetto qui il link copiato e incollato dall’articolo. Funziona.

    La schermata di destinazione

  7. Pierluigi

    In effetti qualcosa non va perché ho provato a visitare la loro home page ma il problema persiste. Ho riprovato con 4-5 browser diversi ancora con lo stesso risultato. Ho quindi collegato un pc con GNU/Linux ma ancora uguale. Penserei al router, anche se è molto strano. Lunedì lo chiederò in Misterakko.

Lascia il tuo commento