Nuovi bug di Bind e antichi vizi sul DNS

Sono state scoperte nuove serie vulnerabilità sulle versioni 4 e 8 di Bind, il server DNS più usato in rete, e continuano ad esistere diffusi errori di configurazione e settaggio sulla maggior parte dei name server in rete.

Il DNS, Domain Name System, è probabilmente il protocollo Internet più trascurato e bistrattato fra quelli fondamentali per una felice e proficua esperienza in rete.
Serve per convertire in nomi di dominio (www.punto-informatico.it) facilmente ricordabili, gli indirizzi IP (62.152.117.47) degli host in rete.
Esiste un software, Bind, dell'Internet Software Consortium ( http://www.isc.org/products/BIND/ ) che viene usato sulla stragrande maggioranza dei server DNS in rete: dai possenti ROOT-SERVERS che stanno alla base dell'intera gerarchia del Domain Name System, al server DNS del nostro provider, che gestisce e definisce gli indirizzi IP dei suoi domini locali e  permette ai computer dei suoi abbonati di eseguire richieste (query) DNS e risolvere indirizzi (ottenere l'IP del dominio cercato).

Sebbene non esistano statistiche precise su quali server DNS sono più utilizzati in rete, perchè a differenza di un server Web, per esempio, un DNS non comunica al client la sua identità e versione, è risaputo che Bind viene utilizzato nella maggior parte dei casi, anche perchè le alternative languono:
Djbdns ( http://www.tinydns.org/ ) è apprezzato per la sua leggerezza e sicurezza, ma per alcuni risulta difficile da configurare e non dispone di tutte le feature di Bind (in realtà il suo problema è probabilmente di essere arrivato con vari anni di ritardo);
il server DNS di Windows probabilmente non viene usato nemmeno da Microsoft: di fatto, dopo un imbarazzante down di oltre un giorno di www.microsoft.com per problemi sulla rete che ospitava TUTTI i suoi server DNS pubblici, Redmond fa gestire il servizio DNS per i suoi domini in outsourcing (chiediamo scusa per aver tirato in ballo anche in questo caso il Gigante, questa volta proprio non c'entra niente, ma il caso sui suoi DNS fu emblematico e piuttosto clamoroso);
esistono altri progetti ( http://dmoz.org/Computers/Software/Internet/Servers/Address_Management/ ) ma per quanto ne sappiamo quasi nessuno li usa.

Insomma, Bind fa la parte del padrone, probabilmente con percentuali ben superiori al 60% di Apache nel mondo Web, e il 12 Novembre sono state rese pubbliche ( http://bvlive01.iss.net/issEn/delivery/xforce/alertdetail.jsp?oid=21469 ) alcune serie vulnerability sulle attuali versioni 4.x e 8.x, ancora largamente in uso, di Bind (le versioni 5, 6, 7 non sono mai esistite, la 9.x è la più recente ed è immune da questo problema).
Già qualcuno prevede che a questa vulnerability disclosure seguirà relativo exploit utilizzabile in casi reali e poi, visto che è inutile ripetere a mano ciò che si può automatizzare, potrà apparire l'immancabile worm, con potenziali nefaste conseguenze su molti server in rete per i suoi effetti a catena.
Il dado è tratto e la valanga pare destinata a staccarsi dalla montagna, sia perchè tradizionalmente i tempi di update dei sistemi da parte di sysadmin pigri, troppo impegnati o poco informati tendono ad essere lunghi, sia perchè il DNS è il classico "servizio dimenticato" che richiede poca manutenzione e, in genere beneficia di poche attenzioni.

A questo proposito sono piuttosto interessanti le ricerche di Men&Mice ( http://www.menandmice.com/ ) società di consulting che pubblica regolari disarmanti report sulle (mis)configurazioni dei server DNS in rete.
Ad Agosto 2002 (http://www.menandmice.com/dnsplace/healthsurvey.html), per esempio, su un campione di 5000 domini .com, si sono trovati errori di configurazione nel DNS sul 70.1% dei casi.
Non male come numero, anche se si deve considerare che molti degli errori segnalati si riferiscono ad aspetti secondari relativamente non critici. Vediamone alcuni, tanto per farci sorprendere:
- il 27.6% dei domini analizzati ha tutti i propri server autoritari sullo stesso segmento di rete: se cade quello cade la possibilità di risolvere gli indirizzi dei relativi domini. Ne sa qualcosa Microsoft, come abbiamo visto.
- il 7.4% ha un solo server autoritativo, se quello cade, non esiste un server di backup che possa essere usato per risolvere gli IP del dominio.
- il 20.2% ha errori di configurazione nelle deleghe (con cui i server DNS gestiscono in modo gerarchico chi deve risolvere gli IP di un dato dominio) che possono comportare problemi e ritardi di varia natura nelle query.
- il 14.18% non ha configurato record PTR in corrispondenza di un record A, in pratica non permette il reverse lookup, l'operazione inversa a quella che normalmente si fa: ottenere il nome di un host di cui si sa l'IP.
- il 18.68% dei domini non ha configurato un record MX che indichi quale server di posta deve ricevere mail per il relativo dominio.

La criticità del sistema DNS è nota, quantomeno a chi fa colazione con pane e Internet.
A prescidere dai dati qui riportati e dalla notizia di un nuovo, inevitabile, security hole su un software largamente diffuso in rete, il Domain Name System per sua natura si basa su pochi server principali che gestiscono le deleghe per tutti i domini in rete: i 13 ROOT-SERVERS (http://www.root-servers.org/) gestiti da entità eterogenee come l'esercito degli Stati Uniti, il Department of Defence americano, la NASA, Verisign Inc., il RIPE europeo e altri, dislocati per la gran parte in USA.
Lo sa bene chi ha recentemente provato a mettere in ginocchio Internet con una serie di attacchi DDOS proprio sui ROOT-SERVERS ( http://punto-informatico.it/p.asp?i=41884 ), ma non c'è riuscito.

Tutto questo può dare la sensazione di una baracca che sta in piedi per miracolo, con miliardi di pacchetti che ogni microsecondo fluiscono come spermatozoi frenetici e spericolati fra le maglie di una rete che cresce tumultuosa a colpi di patch, upgrade, bugs, worms, ddos in quella grandiosa danza tecnologica quotidiana che mormora incessante, e ogni tanto singhiozza, in ogni secondo del nostro tempo.

Privacy Policy