Quad9: più privacy & sicurezza nel DNS

Grazie al Domain Name System (DNS), mentre na­vi­ghia­mo su Internet non siamo costretti a conoscere a memoria i vari indirizzi IP, ma ci basta sem­pli­ce­men­te inserire un indirizzo web nella barra degli indirizzi del browser. Il DNS è quindi re­spon­sa­bi­le della co­sid­det­ta ri­so­lu­zio­ne del nome: nel caso di un name server, l’URL viene infatti tradotto nell’indirizzo IP corretto.

So­li­ta­men­te si effettua l’accesso al servizio DNS del proprio operatore di rete, ma è altresì possibile puntare anche a un altro server DNS. Negli ultimi anni con­ti­nua­no a fare la loro comparsa sempre più operatori di server pubblici uti­liz­za­bi­li da chiunque. Tra questi, quello più famoso è si­cu­ra­men­te DNS Resolver di Google. Tuttavia, chi af­fi­dan­do­si al colosso di Internet teme per la sicurezza dei propri dati può anche ricorrere a un servizio più ridotto come Quad9. Infatti, anziché un’azienda com­mer­cia­le, nel caso di Quad9 la società ero­ga­tri­ce è un ente no profit.

Dietro all’or­ga­niz­za­zio­ne Quad9, che eroga l’omonimo servizio DNS figurano, tra gli altri, IBM, Packet Clearing House (PCH) e Global Cyber Alliance (GCA). Al di là di tale progetto, tutte le suddette or­ga­niz­za­zio­ni risultano comunque impegnate al fine di garantire la sicurezza e la tutela della sfera privata degli utenti su Internet. L’idea comune alla base del progetto è la seguente: offrire un Resolver DNS svin­co­la­to dagli interessi com­mer­cia­li e che risulti di­spo­ni­bi­le per qualsiasi utente.

Oltre all’accesso gratuito, gli ideatori di Quad9 at­tri­bui­sco­no grande im­por­tan­za alla sicurezza e alla tutela della sfera privata. Il team di sviluppo di DNS-Resolver ha infatti deciso di non acquisire in alcun modo i dati degli utenti. Ma è in par­ti­co­la­re il punto relativo alla sicurezza a rendere Quad9 un vero an­te­si­gna­no. Il servizio è infatti in grado di sup­por­ta­re sia DNS over TLS (DOT) che DNS over HTTPS (DOH). Negli ultimi anni è apparso sempre più evidente come i DNS classici pre­sen­ti­no notevoli falle in termini di sicurezza a causa della mancante cifratura, con con­se­guen­ti attacchi sempre più frequenti da parte di DNS Hijacking. Le nuove tecniche svi­lup­pa­te offrono tuttavia una pro­te­zio­ne effettiva sia contro i crimini in­for­ma­ti­ci che contro la censura applicata da alcuni governi.

Inoltre, Quad9 ricorre anche a DNSSEC, un pro­to­col­lo in grado di garantire la cor­ret­tez­za dei risultati forniti. In aggiunta, Quad9 utilizza anche alcuni filtri: le blacklist, liste fornite da diverse società impegnate a favore della sicurezza in­for­ma­ti­ca, che con­ten­go­no infatti tutti i siti web clas­si­fi­ca­ti come dannosi. Al fine di evitare di diventare a loro volta organi di censura (teo­ri­ca­men­te, qualsiasi sito web non “ap­prez­za­to” potrebbe infatti finire all’interno delle blacklist), le varie or­ga­niz­za­zio­ni ve­ri­fi­ca­no re­ci­pro­ca­men­te il ri­spet­ti­vo operato: questo consente almeno di scon­giu­ra­re che gli interessi dei singoli pre­val­ga­no sull’interesse pubblico. E anche le eventuali richieste di censura avanzate dalle autorità giu­di­zia­rie locali possono essere sod­di­sfat­te solo a seguito di una sentenza valida emessa da un tribunale; in tal caso, tale censura risulterà comunque limitata a livello locale.

Lo stesso nome “Quad9” fa già ri­fe­ri­men­to al relativo indirizzo IP: quattro volte nove, ovvero 9.9.9.9. Tra l’altro, tale nome potrebbe essere visto come una sorta di “risposta” al servizio di Google rag­giun­gi­bi­le all’8.8.8.8. Il servizio DNS Quad9 può essere tuttavia raggiunto anche da altri indirizzi (sia IPv4 che IPv6):

Il servizio Quad9 offre quindi sia accessi sicuri che accessi non sicuri; ov­via­men­te l’operatore consiglia di ricorrere alle con­nes­sio­ni sicure. In tal caso, gli utenti hanno a di­spo­si­zio­ne sia DNSSEC che alcuni filtri legati alle blacklist. Tuttavia, qualora si desideri vivere un’espe­rien­za di na­vi­ga­zio­ne al 100% senza filtri, è anche possibile accedere agli indirizzi IP non sicuri, mettendo tuttavia in conto il pericolo di esporsi a possibili rischi. Quad9 mette infatti a di­spo­si­zio­ne due indirizzi IP da inserire nel sistema operativo: qualora uno dei canali di co­mu­ni­ca­zio­ne dovesse risultare tem­po­ra­nea­men­te non di­spo­ni­bi­le, sarà quindi possibile passare di­ret­ta­men­te all’altro indirizzo.

Inoltre, Quad9 riserva anche una sottorete EDNS Client che, come offerta, si rivolge tuttavia in primis ai Content Delivery Network (CDN). Tali reti sono uti­liz­za­te con l’obiettivo di rendere di­spo­ni­bi­li file mul­ti­me­dia­li all’interno dei siti web, senza tuttavia so­vrac­ca­ri­ca­re l’effettivo server. Fornendo l’op­por­tu­ni­tà di load balancing, l’EDNS è quindi in grado di ri­spon­de­re più ve­lo­ce­men­te alle query delle reti CDN. Inoltre, gli svi­lup­pa­to­ri di Quad9 portano anche avanti col­la­bo­ra­zio­ni con gli operatori IoT al fine di creare degli accessi DNS sicuri anche per tali di­spo­si­ti­vi.

Qualora si desideri ricorrere a una delle due con­nes­sio­ni cifrate, sarà ne­ces­sa­rio uti­liz­za­re alcune porte pre­sta­bi­li­te: nel caso di DoT si utilizza infatti la porta 853, mentre nel caso di DoH lo standard HTTP legato alla porta 443.

Quad9 non offre esclu­si­va­men­te un server DNS: nel caso in cui ri­cor­ria­te a tale servizio, tramite Anycast verrete infatti collegati a uno degli oltre cento server di­stri­bui­ti in varie parti del mondo. Anycast consente infatti a server diversi di avere lo stesso indirizzo, anche se ogni volta risulterà coinvolto soltanto il computer con il percorso più breve.

Quali sono i vantaggi legati al passaggio al DNS Quad9?

• È di­spo­ni­bi­le gra­tui­ta­men­te
• I dati degli utenti non vengono re­gi­stra­ti
• Le con­nes­sio­ni risultano sicure
• Non è sot­to­po­sto ad alcun tipo di censura statale
• DNS over TLS e DNS over HTTPS
• DNSSEC
• Filtri blacklist
• Oltre 100 server
• È gestito da enti no profit