Problemi di sicurezza DNS
Il protocollo DNS è fondamentale per l’utilizzo quotidiano di Internet ed è pertanto uno degli obiettivi preferiti dagli hacker. In questo post illustriamo i principali problemi di sicurezza legati al protocollo DNS e mostriamo come FlashStart aiuta aziende, famiglie e organizzazioni a combattere gli attacchi DNS.
1. Cos’è il protocollo DNS
DNS è l’acronimo per Domain Name System – Sistema del nome di dominio – ed è considerato l’elenco telefonico di Internet. Nasce dall’esigenza di collegare i nomi dei siti, di cui ci ricordiamo in modo relativamente facile, ai loro indirizzi IP, dunque gli indirizzi del Protocollo Internet di ogni singolo sito.
La necessità di questo collegamento si spiega con il fatto che, anche se ricordiamo il nome di un sito, il protocollo Internet riconosce solo indirizzi numerici. In questo panorama, il protocollo DNS si occupa proprio di trasformare il nome che ricordiamo in numero, in modo da permetterci di raggiungere il sito Internet desiderato.
Il protocollo DNS funziona molto velocemente in quanto si basa su mappature di domini preesistenti e costantemente aggiornate. In questo modo l’utente non nota nemmeno il processo di “traduzione” da lettere a numeri e, una volta digitato il nome del sito, il risolutore DNS lo cerca nella sua cash locale o, se non disponibile localmente, interroga direttamente un server DNS e poi reindirizza l’utente al sito. Il tutto avviene in frazioni di secondo.
>> FlashStart ti protegge da una vasta gamma di minacce e vieta l’accesso a siti malevoli → Richiedi ora un’offerta e Inizia subito la tua prova gratuita
2. Perché attaccare il protocollo DNS?
Il protocollo DNS è un servizio fondamentale per la fruizione di Internet da parte del pubblico su larga scala. Infatti, la maggior parte delle comunicazioni, degli scambi e delle informazioni necessitano che questo protocollo funzioni per poter essere portate a termine. Se il servizio di risoluzione non è disponibile o non funziona in modo corretto l’interruzione di servizio può riguardare i siti e le applicazioni più diverse, con reazioni a catena molto estese.
Secondo il Global DNS Threat Report del 2021 realizzato da IDC (International Data Corporation), nel 2021 l’87% delle organizzazioni analizzate è stata oggetto di attacchi DNS che sono costati alle organizzazioni vittime in media 950.000 dollari. Gli attacchi risultati in costi maggiori sono stati quelli verso le organizzazioni aventi base in nord America, mentre a livello geografico le maggiori crescite in termini di danni si sono registrate in Malesia, India, Spagna e Francia.
Il rapporto evidenzia inoltre come durante gli anni della pandemia i cloud aziendali siano diventati sempre più spesso il target degli attacchi in quanto gli hacker hanno approfittato della maggiore propensione ad utilizzare infrastrutture e servizi che permettessero il lavoro da remoto. Il 47% delle aziende riporta di aver sofferto di interruzioni di accesso al cloud e ai servizi ad esso collegati a causa di problemi di sicurezza DNS.
Infine, il rapporto sottolinea un marcato aumento nel furto di dati tramite attacchi al protocollo DNS. In particolare, il 26% delle organizzazioni ha riferito di aver subito furti di questo tipo nel 2021, dato che l’anno precedente si assestava al 16%.
>> FlashStart è l’alleato ideale per affrontare i problemi di sicurezza DNS → Richiedi ora un’offerta e Inizia subito la tua prova gratuita
3. Tipi di attacchi DNS
Gli attacchi DNS possono avere varia natura. Di seguito proponiamo una panoramica sui più comuni tipi di attacco legati ai problemi di sicurezza DNS.
3.1 Tunnelling del DNS
Il DNS Tunnelling è una tecnica di attacco DNS che permette al cyber criminale di creare un collegamento con il computer della vittima, un vero e proprio tunnel tra il computer dell’hacker e quello target, che poi viene utilizzato per esfiltrare dati e informazioni.
L’hacker infetta il computer della vittima designata con del malware che però è difficile da rilevare in quanto non blocca le richieste DNS. L’utente quindi continua a inviare richieste al risolutore DNS per ottenere gli indirizzi IP ma il risolutore inoltra le richieste al server del criminale, da dove poi parte il tunnelling: si crea un corridoio “sicuro” con il computer della vittima e vi si accede per scopi malevoli.
3.2 Amplificazione del DNS
L’amplificazione del DNS è un tipo di attacco DNS che fa parte della categoria degli attacchi DDoS – Distributed Denial of Service. In questi attacchi il cyber criminale prende di mira un risolutore pubblico di DNS per sommergere la vittima di traffico DNS.
Quando la vittima richiede l’indirizzo IP di un sito anche l’hacker fa lo stesso ma la sua richiesta genera pacchetti di dati di una grandezza tale da sovraccaricare il server fino al punto che esso non è più in grado di rispondere alle richieste legittime degli utenti.
>> FlashStart ti protegge contro malware e problemi di sicurezza DNS → Richiedi ora un’offerta e Inizia subito la tua prova gratuita
3.3 Attacchi UDP flood
Anche gli attacchi UDP flood sono attacchi di tipo DoS che mirano a sovraccaricare il server target. In questo caso, l’attacco sfrutta lo User Datagram Protocol (UDP) – un protocollo caratterizzato dal fatto di rendere la trasmissione dei dati il più breve possibile grazie alla rinuncia ad alcuni controlli.
Durante un attacco UDP il cyber criminale invia pacchetti UDP con indirizzi IP di mittente falsi a porte casuali sul sistema della vittima. Il pacchetto UDP poi controlla se sulla porta scelta ci sono applicazioni in ascolto ma, essendo che l’invio è casuale, di solito non è così. Deve allora inviare un pacchetto ICMP – Internet Control Message Protocol – all’indirizzo del mittente per informarlo del problema ma, dato che l’indirizzo del mittente è stato falsificato, questi pacchetti finiscono ad una terza parte, non coinvolta.
Sommergendo la vittima di pacchetti UDP, l’hacker sovraccarica il sito web o servizio target fino a farlo collassare sotto il peso di tutti i dati in entrata.
>> Sei un produttore di appliance? E possibile integrare nativamente FlashStart → Richiedi ora un’offerta e Inizia subito la tua prova gratuita
4. FlashStart previene i problemi di sicurezza DNS
Data la pervasività e gli effetti degli attacchi descritti sopra è importante prevenirli affrontando i problemi di sicurezza DNS alla fonte: agendo quindi direttamente a livello di DNS. FlashStart propone un filtro web basato sul DNS che intercetta e blocca tutte le richieste sospette garantendo la sicurezza della tua rete, delle tue informazioni e dei tuoi sistemi informatici.
4.1 FlashStart: sicurezza a livello di DNS
Il sistema di filtraggio di FlashStart agisce a livello di DNS: quando un utente digita il nome del sito che vuole raggiungere, il filtro web di FlashStart verifica la richiesta dell’utente e, in base all’esito di questa verifica, sceglie se permettere o meno la risoluzione del dominio richiesto. Si parla dunque di DNS threat intelligence, un’analisi di sicurezza volta ad evidenziare minacce web basata sul DNS.
La DNS threat intelligence di FlashStart si basa su liste precostituite disponibili nel cloud FlashStart, un repository che contiene milioni di siti categorizzati in base al loro contenuto e divisi in pericolosi, inadeguati e che creano distrazione. Se il sito a cui vuole accedere l’utente si trova tra quelli pericolosi, legati a malware, tentativi di phishing e altri tipi di attacchi cyber, il filtro web blocca la risoluzione del dominio.
4.2 FlashStart: intelligenza artificiale al servizio della sicurezza informatica
Per analizzare correttamente i siti web e introdurli all’interno delle liste nel cloud FlashStart scannerizza costantemente l’Internet utilizzando l’intelligenza artificiale , un complesso meccanismo di algoritmi matematici basati su reti neurali che imitano il ragionamento umano e prendono decisioni riguardo la pericolosità o meno del materiale analizzato.
Grazie all’intelligenza artificiale, FlashStart riesce ad analizzare e catalogare correttamente fino a 200mila nuovi siti ogni giorno in 24 lingue diverse, garantendo un aggiornamento continuo. Meccanismi di machine learning permettono poi al sistema di apprendere dalle sue esperienze precedenti e quindi velocizzare le analisi con risultati sempre più precisi.
Il cloud, inoltre, fa sì che gli aggiornamenti siano sempre disponibili all’istante per l’utente finale e quindi, una volta evidenziata una minaccia, tutti gli utenti FlashStart sono in automatico protetti da essa senza bisogno di scaricare alcun tipo di aggiornamento o procedere a lunghi riavvii del sistema.
>> FlashStart è totalmente in Cloud, costantemente aggiornato e facile da attivare → Richiedi ora un’offerta e Inizia subito la tua prova gratuita
4.3 FlashStart: la soluzione ai problemi di sicurezza DNS
Il sistema di filtraggio di FlashStart può essere installato a livello di router, garantendo la protezione di tutti i dispositivi connessi alla rete, oppure a livello del singolo dispositivo tramite l’applicazione ClientShield , proteggendo tutti i lavoratori dell’organizzazione, anche quelli connessi da remoto.
Una volta installato, FlashStart lavora in autonomia bloccando il traffico sospetto in entrata e uscita, sia esso sottoforma dei pacchetti UDP descritti sopra, di link a contenuti malevoli provenienti da terze parti, o di siti cercati dall’utente.
4.4 FlashStart: non solo malware
Ma FlashStart non blocca solo il malware e i contenuti malevoli. Il sistema può anche essere settato dall’amministratore di rete in modo da bloccare l’accesso a:
» Contenuti inappropriati: si tratta di contenuti legati alla pornografia, al gioco d’azzardo online, alla violenza, alle droghe, ecc., ritenuti non adeguati all’ambiente da cui si accede ad Internet.
» Contenuti che creano distrazione: si tratta dei social network, delle piattaforme di contenuti streaming e audio, dei siti per lo shopping online e di tutti quei siti che possono causare un abbassamento dell’efficienza dei lavoratori.
>> FlashStart è leader nella sicurezza Internet in cloud e protegge contro malware e contenuti indesiderati → Richiedi ora un’offerta e Inizia subito la tua prova gratuita
Su qualunque Router e Firewall puoi attivare la protezione FlashStart® Cloud per mettere in sicurezza i device desktop e mobile e i dispositivi IoT sulle reti locali.