DNS security: il livello che tutti usano e quasi nessuno difende
DNS security è la difesa del servizio più usato e meno sorvegliato di Internet. Il Domain Name System è l’elenco telefonico della rete: traduce i nomi che digitiamo negli indirizzi numerici a cui i dispositivi si collegano, ed è il primo passo di quasi ogni connessione, lecita o malevola che sia. Proprio per questo è ovunque, è permesso attraversare i firewall senza troppe domande e quasi nessuno lo ispeziona davvero. È la combinazione perfetta per un attaccante: un canale universale, fidato e non controllato.
Il paradosso che governa il tema è semplice. Lo stesso DNS che rende possibile il funzionamento di tutto è anche uno dei vettori più sfruttati e meno presidiati. Per anni è stato trattato come un’utenza tecnica da far funzionare e poi dimenticare, non come una superficie d’attacco né, soprattutto, come il punto di controllo che potrebbe essere. La DNS security parte dal ribaltare questa abitudine: riconoscere che il livello attraversato da ogni richiesta è insieme il bersaglio più comodo e la leva difensiva più ampia a disposizione.
Un canale fidato è un canale abusabile
La ragione per cui il DNS è tanto attraente per chi attacca è la stessa per cui è utile a tutti: passa dappertutto. Il caso più insidioso è il DNS tunneling, la tecnica con cui si nascondono dati dentro le query: comandi per controllare un sistema compromesso, oppure informazioni rubate, vengono codificati nei nomi richiesti e fatti uscire attraverso un canale che i firewall lasciano transitare e che pochi monitorano. È così che il DNS diventa una via di esfiltrazione e un canale di comando e controllo, sfruttato da strumenti e malware documentati come Dnscat2, iodine o DNSMessenger.
Non è l’unico fronte. Con l’avvelenamento della cache, un attaccante corrompe i record memorizzati da un resolver e lo costringe a restituire l’indirizzo sbagliato per un dominio, dirottando gli utenti verso destinazioni fraudolente. Con il dirottamento del dominio, prende il controllo del nome stesso, spesso rubando le credenziali presso il registrar o sfruttandone una vulnerabilità, e da lì reindirizza il traffico legittimo dove vuole. Il filo comune è che nessuno di questi attacchi forza una porta: tutti abusano della fiducia che l’intera rete ripone, per impostazione predefinita, nelle risposte del DNS.
Protective DNS: trasformare il problema in un controllo
La svolta concettuale è capire che lo stesso punto di passaggio obbligato può diventare un presidio. Se ogni connessione comincia con una risoluzione di nome, allora intercettare quella risoluzione significa poter bloccare la minaccia prima ancora che la connessione avvenga. È l’idea del protective DNS: un resolver che confronta ogni richiesta con l’intelligence sui domini malevoli noti e rifiuta di risolvere quelli pericolosi, neutralizzando sul nascere campagne di ransomware, phishing, botnet e malware.
La guida di NSA e CISA sulla scelta di un protective DNS, nella sua versione 1.4 dell’aprile 2025, descrive bene il vantaggio pratico: l’adozione può essere semplicissima, perché spesso basta puntare il resolver dell’organizzazione verso il servizio protettivo. Ma avverte anche del punto debole, l’aggiramento. Un malware che usa un proprio resolver scavalca la protezione, e per questo le stesse linee guida raccomandano di bloccare il traffico DNS in uscita non autorizzato, sulle porte usate dal protocollo, e di impedire l’uso di server DNS cifrati non controllati. La logica è chiara: il protective DNS funziona solo se tutto il traffico di risoluzione passa davvero da lì, e questo richiede di chiuderne le vie di fuga con un’adeguata segmentazione e controllo della rete. Resta un limite strutturale, indicato dalla guida stessa: chi si collega direttamente a un indirizzo IP, senza chiedere alcun nome, non passa dal checkpoint e non viene filtrato. Il protective DNS copre ciò che si risolve, non ciò che salta del tutto la risoluzione.
DNS security non è una sola cosa: DNSSEC e DNS cifrato
Qui si annida una confusione diffusa, perché sotto l’etichetta della DNS security convivono tecnologie che risolvono problemi diversi e che molti scambiano l’una per l’altra. Il DNSSEC, le estensioni di sicurezza del DNS, aggiunge firme crittografiche alle risposte per garantirne l’autenticità e l’integrità: serve a sapere che la risposta ricevuta è genuina e non manomessa. Non nasconde nulla, protegge l’esattezza, non la riservatezza. La sua adozione resta peraltro disomogenea, frenata dalla complessità della catena di validazione e da apparati intermedi che vi interferiscono.
Il DNS cifrato, nelle sue forme su HTTPS e su TLS, risponde invece a una domanda opposta: impedire che qualcuno osservi quali nomi si stanno richiedendo. Protegge la riservatezza della query, e l’integrità del suo trasporto, ma non l’autenticità d’origine della risposta, che resta compito del solo DNSSEC. Sono due obiettivi distinti e complementari: senza DNSSEC anche una risposta cifrata potrebbe essere falsa se il resolver è malevolo, mentre con entrambi un attaccante dovrebbe insieme rompere la cifratura e falsificare firme valide. Confonderli, e pensare di aver messo in sicurezza il DNS solo perché lo si è cifrato, è uno degli errori più comuni.
Il rovescio della cifratura: il punto cieco
La diffusione del DNS cifrato porta con sé un’insidia che riguarda direttamente la difesa. La cifratura delle query, pensata per la privacy dell’utente, sottrae alla visibilità anche il difensore: un malware che usa il DNS su HTTPS verso un server esterno nasconde il proprio canale di comando e controllo dentro traffico cifrato indistinguibile dalla normale navigazione, e una delle fonti di rilevamento storicamente più ricche si spegne. La cifratura senza controllo, in altre parole, crea un punto cieco. La risposta non è rinunciare alla cifratura, ma governarla: imporre che la risoluzione passi dal resolver dell’organizzazione, bloccare i server cifrati non autorizzati e affiancare alle protezioni crittografiche la registrazione e l’analisi delle query. La forza del DNS come strumento di sicurezza sta esattamente qui, nell’essere anche una fonte di rilevamento per il centro operativo di sicurezza, purché non lo si renda illeggibile a sé stessi.
Uno strato, non un prodotto
Messo insieme, il quadro della DNS security non si riduce a una singola contromisura. È uno strato fatto di più elementi che si rafforzano a vicenda: il protective DNS che blocca i domini malevoli, il DNSSEC che garantisce l’autenticità delle risposte, il DNS cifrato governato che protegge la privacy senza creare punti ciechi, e il monitoraggio costante delle query come sorgente di rilevamento. Nessuno di questi pezzi, da solo, mette in sicurezza il livello; insieme lo trasformano da utenza dimenticata a controllo attivo.
La domanda di fondo, per un’organizzazione, è chi governa il proprio DNS. Lasciato a sé, è un canale che ogni dispositivo usa di continuo, che attraversa indisturbato le difese e che un attaccante può piegare a esfiltrazione, comando e controllo o dirottamento. Preso in carico, è il punto di passaggio più ampio su cui imporre una regola, e una delle poche occasioni in cui un singolo controllo tocca davvero ogni connessione. La DNS security è la scelta tra queste due condizioni, ed è una scelta che riguarda un livello che, fino a prova contraria, l’organizzazione sta già usando milioni di volte al giorno senza guardarlo.
Fonti
- NSA e CISA, Selecting a Protective DNS Service (v1.4, aprile 2025).
- NSA e CISA, guida congiunta su Protective DNS.
