OpenSkills/ Il DNS fa acqua. Affonderà?

di A. Franceschi. L'emergere di nuovi bug in BIND, il più diffuso server DNS al mondo, fa riflettere sulla fragilità di uno dei sistemi chiave di Internet, spesso reso debole o inefficiente anche dalla cattiva configurazione dei server


Roma – Il DNS, Domain Name System, è probabilmente il protocollo Internet più trascurato e bistrattato fra quelli fondamentali per una felice e proficua esperienza in rete. Serve per convertire in nomi di dominio facilmente memorizzabili gli indirizzi IP degli host in rete.

Esiste un software, Bind, dell’ Internet Software Consortium che viene usato sulla stragrande maggioranza dei server DNS in rete: dai possenti root-server che stanno alla base dell’intera gerarchia del Domain Name System, al server DNS del nostro provider, che gestisce e definisce gli indirizzi IP dei suoi domini locali e permette ai computer dei suoi abbonati di eseguire richieste (query) DNS e risolvere indirizzi (ottenere l’IP del dominio cercato).

Sebbene non esistano statistiche precise su quali server DNS siano più utilizzati in rete, – perché a differenza di un server Web, per esempio, un DNS non comunica al client la sua identità e versione – è risaputo come Bind venga utilizzato nella maggior parte dei server, anche perché le alternative languono.

Djbdns , ad esempio, è apprezzato per la sua leggerezza e sicurezza, ma per alcuni risulta difficile da configurare e non dispone di tutte le feature di Bind (in realtà il suo problema è probabilmente di essere arrivato con vari anni di ritardo).

Il server DNS integrato in Windows probabilmente non viene usato nemmeno da Microsoft: di fatto, dopo un imbarazzante down di oltre un giorno di www.microsoft.com per problemi sulla rete che ospitava tutti i suoi server DNS pubblici, Redmond fa gestire il servizio DNS per i suoi domini in outsourcing.

Esistono poi altri progetti (vedi qui ), ma per quanto ne so quasi nessuno li usa.

Insomma, Bind fa la parte del padrone, probabilmente con percentuali ben superiori a quelle di con cui Apache domina (con circa il 60%) il mondo del Web. Di recente sono state rese pubbliche alcune vulnerabilità delle attuali versioni 4.x e 8.x, ancora largamente in uso, di Bind (le versioni 5, 6, 7 non sono mai esistite, la 9.x è la più recente ed è immune da questo problema).

Già qualcuno prevede che a questa vulnerability disclosure seguirà relativo exploit utilizzabile in casi reali e poi, visto che è inutile ripetere a mano ciò che si può automatizzare, potrà apparire l’immancabile worm, con potenziali nefaste conseguenze su molti server in rete per i suoi effetti a catena.

Il dado è tratto e la valanga pare destinata a staccarsi dalla montagna, sia perché tradizionalmente i tempi di aggiornamento dei sistemi da parte di sysadmin pigri, troppo impegnati o poco informati tendono ad essere lunghi, sia perché il DNS è il classico “servizio dimenticato” che richiede poca manutenzione e, in genere, beneficia di poche attenzioni.

A questo proposito sono piuttosto interessanti le ricerche di Men&Mice , società di consulting che pubblica regolari e disarmanti report sulle (mis)configurazioni dei server DNS in rete.


Ad agosto 2002 , per esempio, su un campione di 5.000 domini ?.com?, si sono trovati errori di configurazione legati al DNS nel 70,1% dei casi. Non male come numero, anche se si deve considerare che molti degli errori segnalati si riferiscono ad aspetti secondari relativamente non critici. Vediamone alcuni, tanto per farci sorprendere:
– il 27,6% dei domini analizzati ha tutti i propri server autoritari sullo stesso segmento di rete: se cade quello cade la possibilità di risolvere gli indirizzi dei relativi domini. Ne sa qualcosa Microsoft, come abbiamo visto;
– il 7,4% ha un solo server autoritativo: se quello cade, non esiste un server di backup che possa essere usato per risolvere gli IP del dominio;
– il 20,2% ha errori di configurazione nelle deleghe (con cui i server DNS gestiscono in modo gerarchico chi deve risolvere gli IP di un dato dominio) che possono comportare problemi e ritardi di varia natura nelle query;
– il 14,18% non ha configurato record PTR in corrispondenza di un record A, in pratica non permette il reverse lookup, l’operazione inversa a quella che normalmente si fa: ottenere il nome di un host di cui si conosca l’IP;
– il 18,68% dei domini non ha configurato un record MX che indichi quale server di posta deve ricevere mail per il relativo dominio.

La criticità del sistema DNS è nota, quantomeno a chi fa colazione con pane e Internet.
A prescindere dai dati qui riportati e dalla notizia di una nuova, quasi inevitabile, falla di sicurezza su un software largamente diffuso in rete, il Domain Name System per sua natura si basa su pochi server principali che gestiscono le deleghe per tutti i domini in rete: i 13 root-server gestiti da entità eterogenee come l’esercito degli Stati Uniti, il Department of Defence americano, la NASA, Verisign Inc., il RIPE europeo e altri, dislocati per la gran parte in USA. Lo sa bene chi ha recentemente provato a mettere in ginocchio Internet con una serie di attacchi DDOS portati proprio ai root-server, per altro con scarsi risultati.

Tutto questo può dare la sensazione di una baracca che sta in piedi per miracolo, con miliardi di pacchetti che ogni microsecondo fluiscono come spermatozoi frenetici e spericolati fra le maglie di una rete che cresce tumultuosa a colpi di patch, upgrade, bug, worm, DDoS, in quella grandiosa danza tecnologica quotidiana che mormora incessante, e ogni tanto singhiozza, in ogni secondo del nostro tempo.

Alessandro Franceschi
OpenSkills.info

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Anonimo scrive:
    Superiorità infinita dell'opensource
    Ho appena ricevuto una e-mail dal "debian-security-announce" dove spiegano il problema, e avvertono che con "apt-get update;apt-get upgrade" la falla sarebbe chiusa, se io avessi bind installato. Il problema è già corretto mentre voi state ancora a parlarne.Per la cronaca non dovrei neanche riavviare il sistema.Quanto tempo ci mette la microsoft, dopo che i cracker da mesi giocano con le sue debolezze, ad annunciarle pubblicamente, e quanto altro a correggere? E il downtime dovuto al riavvio?
  • Anonimo scrive:
    openari e la sbandierata superiorità del open buc
    co o scusate dell'open sorcio.Win sempre più sicuro, mentre i vari *nix sempre più insicuri, che dire bind non è *nix, ma è sconfortante apprendere che gli ha prodotto questo obbrobrio ha partecipato e partecipa allo sviluppo dei kernel *nix
    • Anonimo scrive:
      Re: openari e la sbandierata superiorità del open
      peccato che epr windows neanche ESISTANO server dns degni di questo nome, tanto e' vero che la M$ per i suoi dns ha incaricato una ditta che usa freedbs
      • Anonimo scrive:
        Re: openari e la sbandierata superiorità del open

        peccato che epr windows neanche ESISTANO
        server dns degni di questo nome, tanto e'
        vero che la M$ per i suoi dns ha incaricato
        una ditta che usa freedbspeccato che BIND non sia linuxe che windows non sia un DNSbind gira anche sotto windowsma siccome e' fallato, e' meglio che giri su macchine BSD, fuori dalla rete Microsoft, dal punto di vista dell'immagine per MS.
        • Anonimo scrive:
          Re: openari e la sbandierata superiorità del open
          - Scritto da: bellali
          peccato che BIND non sia linuxma va'?
          e che windows non sia un DNSdavvero??
          bind gira anche sotto windowsnstivamente o con cygnus?
          ma siccome e' fallato, e' meglio che giri su
          macchine BSD, fuori dalla rete Microsoft,
          dal punto di vista dell'immagine per MS.ahahahahaha bella stronzata
          • Anonimo scrive:
            Re: openari e la sbandierata superiorità del open


            bind gira anche sotto windows
            nstivamente o con cygnus?nativamente

            ma siccome e' fallato, e' meglio che giri
            su

            macchine BSD, fuori dalla rete Microsoft,

            dal punto di vista dell'immagine per MS.
            ahahahahaha bella stronzatase zompa il DNS che gestisce katamai per Microsft quelli come te non potranno piu' dire "non sanno tenere manco un dns"e' talmente facile da capire...alla fine con i server DNS non ci si guadagna una lira.. e poi tutti continuano a dire che il problema fu di dns, ma fu un problema di routing...solo che i DNS stavano dietro al router che impazzi'...e' facile fare FUD con gli utonti... vero?ciao
          • Anonimo scrive:
            Re: openari e la sbandierata superiorità del open
            - Scritto da: no-bind


            bind gira anche sotto windows

            nstivamente o con cygnus?

            nativamente



            ma siccome e' fallato, e' meglio che
            giri

            su


            macchine BSD, fuori dalla rete
            Microsoft,


            dal punto di vista dell'immagine per
            MS.

            ahahahahaha bella stronzata

            se zompa il DNS che gestisce katamai per
            Microsft quelli come te non potranno piu'
            dire "non sanno tenere manco un dns"
            e' talmente facile da capire...
            alla fine con i server DNS non ci si
            guadagna una lira.. se bind e' fallato perche' non usano exchange? :-) in fondo o vendono anche come server dns, o non si fidano dei loro stessi prodotti?
            e poi tutti continuano a dire che il
            problema fu di dns, ma fu un problema di
            routing...
            solo che i DNS stavano dietro al router che
            impazzi'...link?

            e' facile fare FUD con gli utonti... vero?si la M$ lo sa bene

            ciao
    • Anonimo scrive:
      Re: openari e la sbandierata superiorità del open
      - Scritto da: findus
      co o scusate dell'open sorcio.

      Win sempre più sicuro, mentre i vari *nix
      sempre più insicuri, che dire bind non è
      *nix, ma è sconfortante apprendere che gli
      ha prodotto questo obbrobrio ha partecipato
      e partecipa allo sviluppo dei kernel *nixCi sono server DNS non opensource che funzionano? Dimmi qualche nome :)
      • Anonimo scrive:
        Re: openari e la sbandierata superiorità del open
        - Scritto da: Piratone

        Ci sono server DNS non opensource che
        funzionano? Dimmi qualche nome :)Si esiste microsoft exchange e va pure alla grande.nell'azienda dove lavoro ho fatto installare exchange proprio perche conoscevo il bind e la sua insicurezza.
        • Anonimo scrive:
          Re: openari e la sbandierata superiorità del open
          ahahahahahaahahahahahah ma tu ti droghi pesante
          • Anonimo scrive:
            Re: openari e la sbandierata superiorità del open
            - Scritto da: seidrogato
            ahahahahahaahahahahahah ma tu ti droghi
            pesantesi vede che non conosci bene exchange...con 2 click ho i domini attivi.e in piu possousarlo anche come server di postaelettronica cosa che bind non fa.la prossima volta taci
          • Anonimo scrive:
            Re: openari e la sbandierata superiorità del open
            - Scritto da: pincone
            - Scritto da: seidrogato

            ahahahahahaahahahahahah ma tu ti droghi

            pesante

            si vede che non conosci bene exchange...
            con 2 click ho i domini attivi.e' quello il problema idiota :-)
            e in piu possousarlo anche come server di
            posta
            elettronica cosa che bind non fa.ci mancherebbe, un server dns deve fare solo il server dns, se vuoi un MTA installi un MTA punto!
            la prossima volta tacila prossima volta studia ragazzino, col mouse non si amministrano i server, si fanno solo danni.
          • Anonimo scrive:
            Re: openari e la sbandierata superiorità del open
            - Scritto da: pincone
            - Scritto da: seidrogato

            ahahahahahaahahahahahah ma tu ti droghi

            pesante

            si vede che non conosci bene exchange...
            con 2 click ho i domini attivi.
            e in piu possousarlo anche come server di
            posta
            elettronica cosa che bind non fa.
            la prossima volta taciAhahahaahaha. La sicurezza del software sta nel poterlo configurare con 2 click. E la sicurezza del sistema che sta sotto, che quando tu visiti le pagine web può riconfigurare il suddetto server dove la mettiamo? E poi, complimenti alla cultura, si sa che il modo per aumentare la sicurezza di un sistema è fare programmi dalle mille funzioni tutte insieme.Mailserver ce n'è anche a decine per unix. Non c'è bisogno che siano insieme al DNS.
        • Anonimo scrive:
          Re: openari e la sbandierata superiorità del open
          - Scritto da: Pincone
          - Scritto da: Piratone



          Ci sono server DNS non opensource che

          funzionano? Dimmi qualche nome :)

          Si esiste microsoft exchange e va pure alla
          grande.
          nell'azienda dove lavoro ho fatto installare
          exchange proprio perche conoscevo il bind e
          la sua insicurezza.Porcoweb, avanti, al lavoro, questa deve andare dritta sul sito dell'infamia. Io credo che nemmeno uno che è stato bocciato alla Sculo Radio Elettra possa sparare una cazzata simile :-D
          • Anonimo scrive:
            Re: openari e la sbandierata superiorità del open
            gia' fatto, era la cazzata piu' grossa della giornata (pero' bisogna dire che oggi mancano i post di ziobill quindi e' stato facilitato nel vincere la palma del piu' ignorante.
        • Anonimo scrive:
          Re: openari e la sbandierata superiorità del open

          Si esiste microsoft exchange e va pure alla
          grande.io frenerei il tuo entusiasmo di applicazioni che funzionano 'alla grande' sotto win non ne conosco.
          nell'azienda dove lavoro ho fatto installare
          exchange proprio perche conoscevo il bind e
          la sua insicurezza. un mail server per risolvere i nomi ...sei un genio
        • Anonimo scrive:
          Re: openari e la sbandierata superiorità del open
          - Scritto da: Pincone
          - Scritto da: Piratone



          Ci sono server DNS non opensource che

          funzionano? Dimmi qualche nome :)

          Si esiste microsoft exchange e va pure alla
          grande.
          nell'azienda dove lavoro ho fatto installare
          exchange proprio perche conoscevo il bind e
          la sua insicurezza.
          E i cracker che stanno sguazzando nel tuo sistema stanno ancora ridendo. Secondo te bind è opensource e gli viene fatto un audit al giorno e il dns microsoft può essere più sicuro. Con tutti i bug di prodotti microsoft che ho visto non mi fiderei mai.
      • Anonimo scrive:
        Re: openari e la sbandierata superiorità del open

        Ci sono server DNS non opensource che
        funzionano? Dimmi qualche nome :)uno e' quello microsoft...dns e' un protocollo talmente scemo che basta uno script perl per farlo girare...
        • Anonimo scrive:
          Re: openari e la sbandierata superiorità del open
          - Scritto da: bindolo

          Ci sono server DNS non opensource che

          funzionano? Dimmi qualche nome :)

          uno e' quello microsoft...quale?? e perche' non lo usano per risolvere i loro domini se funziona bene invece di incaricare una societa' che utilizza bind su freebsd?
          • Anonimo scrive:
            Re: openari e la sbandierata superiorità del open
            - Scritto da: rebind
            Non tutti ricevono 20 milioni di visite al
            giornoMa nel caso in cui le ricevessero e' meglio mettere un bel BSD: M$ docet...
          • Anonimo scrive:
            Re: openari e la sbandierata superiorità del open


            Non tutti ricevono 20 milioni di visite al

            giorno

            Ma nel caso in cui le ricevessero e' meglio
            mettere un bel BSD: M$ docet...piu' che altro meglio darlo in outsourcinguna rogna in meno...
          • Anonimo scrive:
            Re: openari e la sbandierata superiorità del open
            - Scritto da: maks


            Non tutti ricevono 20 milioni di


            visite al giorno

            Ma nel caso in cui le ricevessero e'

            meglio mettere un bel BSD: M$ docet...
            piu' che altro meglio darlo in outsourcing
            una rogna in meno...Si, meglio pagare miliardi in pubblicita' fraudolenta, che poter dire: i nostri prodotti funzionano, noi stessi li usiamo per gestire milioni di utenze.Dessero in outsourcing anche la progettazione del software sarebbero Molte rogne di meno x gli user.
          • Anonimo scrive:
            Re: openari e la sbandierata superiorità del open

            Si, meglio pagare miliardi in pubblicita'
            fraudolenta, che poter dire: i nostri
            prodotti funzionano, noi stessi li usiamo
            per gestire milioni di utenze.
            da quando in qua il business microsoft si fonda sul server dns?e soprattutto, ti hanno spiegato che il problema era di ingegneria di rete...il dns microsoft va benissimo per realta' medio-grandi, e soprattutto serve se usi active directory.Altrimenti credo che il 90% di chi ha un dominio si faccia gestire il dns dal proprio provider...
            Dessero in outsourcing anche la
            progettazione del software sarebbero Molte
            rogne di meno x gli user.bella questa :)
          • Anonimo scrive:
            Re: openari e la sbandierata superiorità del open
            - Scritto da: maks

            Si, meglio pagare miliardi in pubblicita'

            fraudolenta, che poter dire: i nostri

            prodotti funzionano, noi stessi li usiamo

            per gestire milioni di utenze.
            da quando in qua il business microsoft si
            fonda sul server dns?Certo il loro Business e' il Software, se funzionasse bene quello che vendono non ne userebbero un altro :) O no ???
            e soprattutto, ti hanno spiegato che il
            problema era di ingegneria di rete...
            il dns microsoft va benissimo per realta'
            medio-grandi, e soprattutto serve se usi
            active directory.La M$ non utilizza i software che si vanta di scrivere per aumentare la produttivita'; da cio' posso dedurre che la stessa M$ non crede che sia veramente produttivo utilizzare qulle tecnologie che vuole far usare agli altri.E' un po' come dire: Bill Gates vuole che tutti abbiano un PC in casa e un palmare in tasca, poi lui stesso va avanti a fogliettini tipo Tenente Colombo !!! E se gli chiedi perche' non usa un palmare ti risponde "Ma son mica piciu'"
            Altrimenti credo che il 90% di chi ha un
            dominio si faccia gestire il dns dal proprio
            provider...Il 90% non e', infatti, un'industria grande come la M$ che, guarda caso, si vanda pure di vendere SW produttivo ed efficente. (Ma lei non lo usa :)

            Dessero in outsourcing anche la

            progettazione del software sarebbero Molte

            rogne di meno x gli user.
            bella questa :)
          • Anonimo scrive:
            Re: openari e la sbandierata superiorità del open


            da quando in qua il business microsoft si

            fonda sul server dns?

            Certo il loro Business e' il Software, se
            funzionasse bene quello che vendono non ne
            userebbero un altro :) O no ???
            mi pare che tutti i siti web microsoft girino su IIS e molti girano gia' su IIS 6 che ufficialmente non e' ancora uscito.Se non ci credessero neanche loro non lo farebbero...mi sembra anche che girino senza problemiMSDN serve piu' di 20 milioni di pagine al giorno

            e soprattutto, ti hanno spiegato che il

            problema era di ingegneria di rete...

            il dns microsoft va benissimo per realta'

            medio-grandi, e soprattutto serve se usi

            active directory.

            La M$ non utilizza i software che si vanta
            di scrivere per aumentare la produttivita';
            da cio' posso dedurre che la stessa M$ non
            crede che sia veramente produttivo
            utilizzare qulle tecnologie che vuole far
            usare agli altri.

            E' un po' come dire: Bill Gates vuole che
            tutti abbiano un PC in casa e un palmare in
            tasca, poi lui stesso va avanti a
            fogliettini tipo Tenente Colombo !!! E se
            gli chiedi perche' non usa un palmare ti
            risponde "Ma son mica piciu'"
            la MS non usa SOLO il suo software per DNS.E ti ridico che il problema non era legato a MS DNS.Se hanno ingegneri di rete pippe, che c'entra il povero DNS? :)In quel caso, qualsiasi altro dns sarebbe morto.. se il router non ti manda i pacchetti, hai voglia tu ad aspettare ... :)ciao
        • Anonimo scrive:
          Re: openari e la sbandierata superiorità del open
          - Scritto da: bindolo

          Ci sono server DNS non opensource che

          funzionano? Dimmi qualche nome :)

          uno e' quello microsoft...
          dns e' un protocollo talmente scemo che
          basta uno script perl per farlo girare...
          Ho detto che funzionano. Anche bind si installa con un comando, cmq di chi ha scritto winme appena due anni fa non mi fiderei per un servizio così critico per la sicurezza come il DNS.
    • Anonimo scrive:
      Re: openari e la sbandierata superiorità del open
      - Scritto da: findus
      co o scusate dell'open sorcio.

      Win sempre più sicuro, mentre i vari *nix
      sempre più insicuri, che dire bind non è
      *nix, ma è sconfortante apprendere che gli
      ha prodotto questo obbrobrio ha partecipato
      e partecipa allo sviluppo dei kernel *nixQuesta è la cellula cerebrale A che parla o la cellula cerebrale B ?Claster, ma quante volte te lo devo dire ? Se non sai di cosa parli, taci, fai una figura migliore.
    • Anonimo scrive:
      Re: openari e la sbandierata superiorità del open
      perche' non torni a vendere i bastoncini invece di curarti di sicurezza?
  • Anonimo scrive:
    La strage dei dinosauri
    Prima Sendmail, ora l'altro dinosauro...Il problema è che in questo caso, a differenza di Sedmail, le alternative sono proprio poche... se solo djbdns fosse usabile in contesti un po' più impegnativi Bind l'avrei buttato nel cesso da un po'...Qualcuno usa qualcosa di diverso ?
    • Anonimo scrive:
      Re: La strage dei dinosauri
      si, bind 9;)
    • Anonimo scrive:
      Re: La strage dei dinosauri
      - Scritto da: gsam se solo djbdns fosse
      usabile in contesti un po' più impegnativi
      Bind l'avrei buttato nel cesso da un po'...Cosa ha che non va djbdns?
      • Anonimo scrive:
        Re: La strage dei dinosauri
        - Scritto da: Brian


        - Scritto da: gsam
        se solo djbdns fosse

        usabile in contesti un po' più impegnativi

        Bind l'avrei buttato nel cesso da un
        po'...

        Cosa ha che non va djbdns? L'autore :)
        • Anonimo scrive:
          Re: La strage dei dinosauri
          sei scemo? Bernstein ha anche scritto qmail puoi dire quello che vuoi ma non che non sappia scrivere codice
          • Anonimo scrive:
            Re: La strage dei dinosauri
            - Scritto da: burp
            sei scemo? Bernstein ha anche scritto qmail
            puoi dire quello che vuoi ma non che non
            sappia scrivere codiceAppuntoMa forse lui si rifrerisce alla persona.Nel senso che forse gli sta sulle balle per le sue attività pubbliche, tipo il processo intentato contro gli lo stato (forse)
          • Anonimo scrive:
            Re: La strage dei dinosauri
            - Scritto da: burp
            sei scemo? Bernstein ha anche scritto qmail
            puoi dire quello che vuoi ma non che non
            sappia scrivere codicele due cose più brutte di qmail sono* la licenza* i file di configurazione che, almeno fino all'ultima volta che ho guardato,non erano in /etc.Per il resto non è male, ma uso postfix, che mi piace di più (:
        • Anonimo scrive:
          Re: La strage dei dinosauri
          - Scritto da: ban bernie now!


          - Scritto da: Brian





          - Scritto da: gsam

          se solo djbdns fosse


          usabile in contesti un po' più
          impegnativi


          Bind l'avrei buttato nel cesso da un

          po'...



          Cosa ha che non va djbdns?

          L'autore :)Ti sta sul mazzo?
      • Anonimo scrive:
        Re: La strage dei dinosauri
        - Scritto da: Brian


        - Scritto da: gsam
        se solo djbdns fosse

        usabile in contesti un po' più impegnativi

        Bind l'avrei buttato nel cesso da un
        po'...

        Cosa ha che non va djbdns? Per 100naia di domini non va bene.Altrimenti quale idiota si ostinerebbe a usare Bind quando è disponibile un software come djbdns ? Niente falle di sicurezza e simili, ma io, ad esempio, ho avuto serie difficolta a gestire molti domini, il modo in cui djbdns IMVHO non è funzionale allo scopo. Inoltre la licenza mi sembra restrittiva.Ciao.
Chiudi i commenti