Sono ormai passati due anni dalla comparsa delle prime notizie sul famigerato Kaminsky bug, cioè il rischio di cache poisoning, che poteva potenzialmente coinvolgere tutti gli utenti di Internet, con il pericolo di vedersi reindirizzati su siti web differenti rispetto quelli richiesti con uno specifico indirizzo. Questo aspetto ha messo in luce una certa debolezza nel modo in cui venne progettato il Web, che si poteva addirittura rivelare in grado di mettere in ginocchio tutto il sistema.

Fortunatamente grazie al lavoro preventivo delle principali aziende del settore IT e di alcuni studiosi, primo tra tutti proprio Dan Kaminsky, il pericolo è stato scongiurato. Ormai è una notizia assodata il fatto che la soluzione al problema è stata completata negli scorsi giorni, visto che in tutti e tredici i root server del Domain Name System (DNS) è stato implementato il cosiddetto DNSSEC. Questo protocollo ha costituito fin da subito la soluzione ottimale al problema, sicuramente per le sue qualità tecniche, ma anche perché in quel preciso momento rappresentava un espediente già confezionato e pronto per essere impiegato.

Il DNSSEC permette la certificazione dei record DNS scambiati tra i server, che convertono gli indirizzi Internet in indirizzi IP numerici comprensibili dalle macchine. Da anni si lavora su queste specifiche; infatti già nel 2007 venne annunciata la sua adozione da parte dei gestori del dominio svedese .se, seguiti a breve da quelli del dominio .org.

Alcuni ritengono che la sua implementazione rappresenti una vera svolta per la gestione del DNS, tanto che i commentatori già parlano di DNS 2.0, vista la presunta svolta fondamentale in tema di sicurezza del Web. Però, considerata la natura gerarchica del DNS stesso, per essere realmente efficace, è opportuno che questo protocollo sia applicato a tutti i livelli del sistema dei server che si interessano della traduzione degli indirizzi IP. Quindi, visto che questo non è ancora avvenuto, sicuramente ci vorrà ancora un po’ di tempo prima che si possa parlare di vera e propria svolta nella sicurezza del Web.

Tra l’altro, come alcuni osservatori fanno notare, il suo impiego potrebbe ridurre l’utilizzo dei certificati SSL, che comunque hanno dimostrato, e mantengono tuttora, una notevole rilevanza dal punto di vista della tutela degli utenti in Rete. Senza voler togliere nulla alla soluzione applicata, è opportuno sottolineare che il DNSSEC non costituisce la panacea di tutti i mali, cioè la soluzione a tutti i pericoli oggi esistenti su Internet. Questo per evidenziare che la notizia non deve creare un falso senso di totale sicurezza: sicuramente è un passo fondamentale, svolto nella giusta direzione, ma non il punto di arrivo di un percorso.

• Pubblicazioni correlate:
• 01-09-2010 DNS 2.0, alcune considerazioni (2/2)