Il Domain Name System, ab­bre­via­to in DNS, traduce i domini Internet in indirizzi IP. Questo sistema di­stri­bui­to a livello globale emette quindi indirizzi IP per i singoli nomi di dominio e funge da “rubrica” di Internet. L’indirizzo IP è simile a un indirizzo postale a cui può essere inviata la posta. Di seguito due esempi di query DNS:

Nome di dominio in­ter­ro­ga­to Indirizzo IP ottenuto in risposta
‘example.com’ ‘93.184.216.34’
‘ionos.it’ ‘217.160.86.80’

Per per­met­te­re il fun­zio­na­men­to della ri­so­lu­zio­ne del nome, su ogni di­spo­si­ti­vo deve essere inserito l’indirizzo IP di un server DNS. Il di­spo­si­ti­vo indirizza le sue query DNS a questo server. I dati che ne risultano rivelano molto sul com­por­ta­men­to di na­vi­ga­zio­ne degli utenti. Se si desidera pro­teg­ge­re la propria privacy, è possibile inviare le query DNS in uscita solo a server af­fi­da­bi­li. Ma cosa succede se qualcosa va storto?

DNS gratuito
Riduci i tempi di ca­ri­ca­men­to del tuo sito web
  • Ri­so­lu­zio­ne rapida del dominio per un sito web sempre di­spo­ni­bi­le
  • Maggiore pro­te­zio­ne contro guasti e tempi di inat­ti­vi­tà
  • Nessun tra­sfe­ri­men­to di dominio richiesto

Cos’è una perdita DNS?

A dif­fe­ren­za del DNS hijacking e del DNS spoofing, le perdite DNS mettono in pericolo solo gli utenti che cercano di mantenere privato il proprio com­por­ta­men­to durante la na­vi­ga­zio­ne. In par­ti­co­la­re, sono coinvolti con­cre­ta­men­te gli utenti che si collegano a Internet tramite una rete privata virtuale (VPN) o un proxy. Entrambe le tec­no­lo­gie servono a ma­sche­ra­re l’identità personale quando si usa Internet.

Il desiderio di mantenere segreti i propri dati di na­vi­ga­zio­ne non indica attività illegali. Il diritto alla privacy e all’au­to­de­ter­mi­na­zio­ne in­for­ma­ti­va sono diritti umani fon­da­men­ta­li. Per questo, a sostegno di questi diritti, esistono servizi com­mer­cia­li di VPN che offrono pro­te­zio­ne in rete a pagamento. L’uso di proxy è oggi meno diffuso; pertanto, li­mi­te­re­mo la nostra analisi alle perdite DNS che si ve­ri­fi­ca­no quando si utilizza una VPN.

I servizi VPN mirano a in­stra­da­re tutto il traffico di rete in uscita at­tra­ver­so la VPN. In de­ter­mi­na­te cir­co­stan­ze, tuttavia, può accadere che il di­spo­si­ti­vo dell’utente si colleghi di­ret­ta­men­te ai partner di co­mu­ni­ca­zio­ne su Internet. Una perdita DNS si verifica quando una query DNS che dovrebbe essere inviata at­tra­ver­so la VPN raggiunge un server DNS senza pro­te­zio­ne. Spesso si tratta del server DNS del provider Internet (ISP). Gli ISP sono noti per rac­co­glie­re, ana­liz­za­re e vendere i dati di cui entrano in possesso.

Quali in­for­ma­zio­ni sono state trafugate?

Cosa succede se si verifica un DNS leak e quali in­for­ma­zio­ni sono quindi trapelate? Prima di tutto, bisogna di­stin­gue­re tre casi:

  1. In­for­ma­zio­ni che vanno all’ISP dell’utente
  2. In­for­ma­zio­ni che vengono in­ter­cet­ta­te durante il percorso verso il server DNS
  3. In­for­ma­zio­ni divulgate da un fornitore di servizi

Una query DNS in entrata verso il server DNS dell’ISP contiene l’indirizzo IP non oscurato dell’utente finale e il nome di dominio da risolvere. Questa è dotata di una marca temporale nei log del server dell’ISP e dà in­for­ma­zio­ni su quando l’utente ha avuto accesso o ha tentato di accedere a de­ter­mi­na­ti domini. Si tratta quindi di un grave problema di pro­te­zio­ne dei dati. Da un lato, i dati DNS sono spesso con­fe­zio­na­ti in profili e venduti; dall’altro, le agenzie go­ver­na­ti­ve possono accedere ai dati. Nel peggiore dei casi, questo può essere fatale per dis­si­den­ti e attivisti.

Le query DNS uti­liz­za­no lo User Datagram Protocol (UDP) come pro­to­col­lo di con­nes­sio­ne. I pacchetti UDP sono visibili lungo il percorso verso il server DNS per ogni soggetto che è in grado di mo­ni­to­ra­re la linea. Per mantenere segreto il com­por­ta­men­to di na­vi­ga­zio­ne dell’utente, le richieste DNS devono essere inoltrate at­tra­ver­so la VPN. Dalle ri­ve­la­zio­ni di Snowden è noto che i servizi segreti con­trol­la­no, dirigono, valutano e ar­chi­via­no il traffico Internet su vasta scala. I pacchetti DNS iden­ti­fi­ca­bi­li per­so­nal­men­te ri­sul­tan­ti da una perdita DNS rap­pre­sen­ta­no quindi una grave minaccia per la sicurezza e la privacy degli utenti di Internet.

Oltre ai pericoli già men­zio­na­ti in relazione alle perdite DNS, esiste un ulteriore rischio. Una perdita DNS può essere sfruttata da terzi. Potrebbe trattarsi di un fornitore di servizi, ad esempio il gestore di un sito web. Con un trucco, il provider può de­ter­mi­na­re che un utente sta accedendo al servizio tramite una VPN. In de­ter­mi­na­te cir­co­stan­ze, il fornitore di servizi può essere informato sull’ISP dell’utente, che a sua volta rivela la posizione geo­gra­fi­ca ap­pros­si­ma­ti­va dell’utente. Lo stesso trucco viene uti­liz­za­to anche durante i test per perdite DNS, in questo caso a beneficio dell’utente.

Come funziona un test per le perdite DNS?

Ci sono molti servizi che cercano di rilevare le perdite DNS. So­li­ta­men­te, questi test per le perdite DNS sono im­ple­men­ta­ti in un normale sito web a cui l’utente accede dal browser. Per ve­ri­fi­ca­re la presenza di una perdita DNS, il test attiva una serie di tentativi di con­nes­sio­ne speciali. L’obiettivo è quello di rin­trac­cia­re da dove pro­ven­go­no le query DNS ri­sul­tan­ti. Ma come funziona esat­ta­men­te?

Per capire come funziona un test per le perdite DNS, è ne­ces­sa­rio com­pren­de­re come è strut­tu­ra­to il DNS. Il DNS è un sistema ge­rar­chi­co composto da name server. Si distingue tra name server au­to­re­vo­li e non au­to­re­vo­li. Un name server au­to­re­vo­le serve come fonte dei dati DNS di una zona DNS. Con­cet­tual­men­te, si può pensare a una zona DNS come a un dominio com­pren­si­vo di altri sot­to­do­mi­ni ag­giun­ti­vi.

Oltre ai name server au­to­re­vo­li, esistono name server che me­mo­riz­za­no parti dei dati DNS in una cache. In questo modo è possibile ri­spon­de­re ra­pi­da­men­te alle richieste già fatte senza dover chiedere ogni volta al name server au­to­re­vo­le. Il server DNS dell’ISP è un name server non au­to­re­vo­le per la maggior parte dei domini. Vediamo cosa succede quando il server DNS dell’ISP riceve una richiesta per i nomi di dominio:

  1. Un client vuole re­cu­pe­ra­re una risorsa ospitata da un nome di dominio.
  2. Il client effettua una richiesta di nome di dominio al server DNS dell’ISP.
  3. Se il server DNS conosce l’indirizzo IP associato al nome di dominio, lo comunica al client.
  4. In caso contrario, il server DNS dell’ISP interroga il server DNS au­to­re­vo­le della zona DNS alla quale ap­par­tie­ne il nome di dominio.
  5. Il server DNS au­to­re­vo­le re­sti­tui­sce l’indirizzo IP del nome di dominio.
  6. Il server DNS dell’ISP inoltra l’indirizzo IP al client e memorizza la richiesta nella sua cache.
  7. Il client può ora ef­fet­tua­re la richiesta per la risorsa de­si­de­ra­ta al server collegato al nome di dominio.

Un test per perdite DNS si basa su questo principio fon­da­men­ta­le. Lo il­lu­stria­mo di seguito uti­liz­zan­do il sito web DNS leak test come esempio:

  1. Un utente naviga nel browser e visita il sito web dn­sleak­te­st.com. Il sito web del test per i DNS leak genera query a risorse fittizie in un sot­to­do­mi­nio unico, generato in modo casuale. Di seguito un esempio del nome di un dominio di questo tipo: c6fe4e11-d84d-4a32-86ef-ee60d9c543fa.test.dn­sleak­te­st.com
  2. Per accedere a una delle risorse, il browser del vi­si­ta­to­re del sito ha bisogno dell’indirizzo IP ap­par­te­nen­te al nome di dominio. Trat­tan­do­si di un nome di dominio generato in modo casuale, nessun server DNS diverso da quello au­to­re­vo­le può conoscere l’indirizzo IP.
  3. Il server DNS che riceve la richiesta chiede quindi al server DNS au­to­re­vo­le per la zona DNS test.dn­sleak­te­st.com. Il server DNS au­to­re­vo­le per questo nome di dominio è sotto il controllo del gestore del sito dn­sleak­te­st.com.
  4. Il server DNS au­to­re­vo­le fa cor­ri­spon­de­re la parte unica generata in modo casuale del nome di dominio con i record di un database interno. Questo permette a dn­sleak­te­st.com di tenere traccia di quale richiesta DNS in entrata ap­par­tie­ne a un de­ter­mi­na­to vi­si­ta­to­re del sito web.
  5. Sotto forma di indirizzo IP, il server DNS au­to­re­vo­le dispone delle in­for­ma­zio­ni da cui proviene la richiesta dell’indirizzo IP del nome di dominio generato in modo casuale. Se la fonte della query è il server DNS di un ISP, allora si è ve­ri­fi­ca­ta una perdita DNS.

Quali sono i test di­spo­ni­bi­li per le perdite DNS?

In linea di principio, è possibile im­ple­men­ta­re un test per le perdite DNS come servizio web in modo re­la­ti­va­men­te facile. Per un ap­pro­fon­di­men­to al riguardo vi con­si­glia­mo di leggere questo articolo. Se volete ve­ri­fi­ca­re se siete vittime di una perdita DNS, potete uti­liz­za­re uno dei test per perdite DNS già esistenti. Abbiamo raccolto per voi un elenco di queste offerte a titolo esem­pli­fi­ca­ti­vo:

Come si possono evitare le perdite DNS?

La migliore strategia per prevenire le perdite DNS si basa sul concetto di sicurezza IT “Defense in depth” (in italiano: “Difesa in pro­fon­di­tà”), che prevede la co­stru­zio­ne di diversi livelli di pro­te­zio­ne contro una minaccia. Questo permette alla pro­te­zio­ne di rimanere intatta, anche se viene rimosso un singolo livello. Per evitare perdite DNS, si consiglia di seguire i seguenti passaggi, nell’ordine proposto:

  1. Impostare i server DNS non sotto il controllo dell’ISP sul di­spo­si­ti­vo locale e sul router di casa. Si tratta di una misura di pro­te­zio­ne di base che previene anche altri rischi, come il di­rot­ta­men­to del DNS (DNS hijacking).In questo caso, si rac­co­man­da l’uso di Quad9 o Clou­d­fla­res 1.1.1.1. Dopo aver cambiato i server DNS, ri­cor­da­te­vi di svuotare la cache DNS.
  2. Uti­liz­za­re un software che cripta le con­nes­sio­ni DNS, ad esempio tramite DNS over HTTPS (DoH) o DNS over TLS (DoT). Ciò protegge da in­ter­cet­ta­zio­ni e ma­ni­po­la­zio­ni dei pacchetti DNS in­di­riz­za­ti verso il server DNS e quindi impedisce anche attacchi di DNS spoofing.L’uso della crit­to­gra­fia DNS dipende dal software uti­liz­za­to. Tra i browser più comuni, Firefox è all’avan­guar­dia nel passaggio a con­nes­sio­ni DNS criptate. Tuttavia, le im­po­sta­zio­ni del browser devono essere prima regolate, come descritto nel nostro articolo sul pro­to­col­lo DoH.
  3. Uti­liz­za­re un client VPN che inoltra le richieste DNS at­tra­ver­so la VPN e mette a di­spo­si­zio­ne i propri server DNS. Questo protegge da tutti i pericoli derivanti da perdite DNS.C’è una varietà quasi il­li­mi­ta­ta di fornitori di VPN. Alcuni for­ni­sco­no i loro servizi gra­tui­ta­men­te, altri come servizi com­mer­cia­li. In generale, si consiglia di essere prudenti nell’utilizzo dei servizi VPN gratuiti, in quanto, so­li­ta­men­te, non ci si può aspettare lo stesso livello di pro­te­zio­ne offerto da un servizio a pagamento.

I punti citati offrono un livello di pro­te­zio­ne di base contro le perdite DNS e do­vreb­be­ro essere suf­fi­cien­ti per la maggior parte degli utenti di Internet. I membri di gruppi par­ti­co­lar­men­te vul­ne­ra­bi­li, come gli attivisti per i diritti umani, do­vreb­be­ro prendere ulteriori pre­cau­zio­ni:

  • Risulta utile usare il browser Tor, che è noto per prevenire ef­fi­ca­ce­men­te le perdite DNS quando si accede ai siti web.
  • Per garantire che tutte le con­nes­sio­ni di rete in uscita vengano in­stra­da­te at­tra­ver­so la rete Tor e quindi sper­so­na­liz­za­te, è possibile avviare Tails di Linux da una chiavetta USB. Questo approccio è con­si­de­ra­to come il più sicuro in termini di ma­sche­ra­men­to della propria identità quando si naviga in Internet.
Vai al menu prin­ci­pa­le