Protezione del DNS (DNS over HTTPS) per crittografare la connessione internet

Aumentare la sicurezza della connessione internet proteggendo i server DNS e non farsi spiare o dirottare (anche con DNS over HTTPS)

Anche se sembra una cosa da film, l'FBI il 9 luglio 2012 ha tagliato fuori da internet tutti i computer del mondo che sono stati infettati dal malware DNSCHanger. La storia di questo virus ci porta a parlare nuovamente di quel misterioso, ma fondamentale, protocollo di internet chiamato DNS, che, in due parole, è il sistema di risoluzione dei nomi dei siti web. DNSChanger è il nome di un virus, per Windows e Mac, piuttosto noto su internet capace di modificare i parametri del DNS, indirizzando le visite del computer infetto verso siti fraudolenti.
Oggi, aziende come Microsoft, Google e Mozilla stanno facendo progressi con DNS over HTTPS (DoH). Questa tecnologia crittografa le ricerche DNS, migliorando la privacy e la sicurezza online. In questo articolo vediamo quindi come si può proteggere meglio la propria connessione internet proteggendo il traffico DNS.

Che cos'è il DNS?
Per rispondere a questa domanda e capire bene cosa significa Domain Name Server si può aprire una nuova scheda del browser, digitare questi numeri sulla barra degli indirizzi 74.125.224.72, premere invio e notare che si apre la home page di Google. 74.125.224.72 è uno dei molti indirizzi IP di Google.
Se non ci fosse il DNS, per visitare Google bisognerebbe ogni volta ricordarsi questo numero invece di scrivere google.com. Ogni volta che si digita un indirizzo web, come "Navigaweb.net", un computer da qualche parte nel mondo sta traducendo l'indirizzo internet in un indirizzo IP. Questi computer sono chiamati server DNS, e sono la struttura portante di internet.

Ogni provider di Internet (tipo Telecom o Fastweb) si collega con alcuni server DNS per impostazione predefinita. Un virus come DNSChanger va a modificare queste impostazioni e configura la connessione a collegarsi con DNS creati appositamente per dirottare la navigazione sul web. Se un hacker può controllare i server DNS di un utente, può anche controllare a quali siti questi si connette e può fare in modo che, se l'utente scrive l'indirizzo www.google.it, vada a finire in un altro sito completamente diverso e pericoloso.

Se si è colpiti da un virus DNS, l'ideale quindi è eseguire un antivirus live, con scansione virus al boot del computer oppure usando un antimalware portatile che può essere scaricato già aggiornato.

Per proteggere la propria navigazione web da problemi di questo tipo, da virus e da possibili spie esterne, un metodo semplice e basilare può essere quello di usare server DNS specificati manualmente, diversi rispetto quelli predefiniti dal provider.
In Windows 7, andare quindi nel Pannello di controllo -> Centro connessioni di rete -> Modifica impostazioni scheda, cliccare col tasto destro sulla scheda di rete usata per connettersi a internet, selezionare il protocollo internet TCP/IPv4, cliccare su Proprietà e poi su "Utilizza i seguenti indirizzi server DNS" per scrivere DNS primario e secondario.
Si può impostare il DNS con OpenDNS o SecureDNS per internet sicuro, alcuni usano i DNS Google, altri i server di OpenDNS o Comodo SecureDNS.
Si può anche usare un programma per cambiare DNS primario e secondario con i più veloci, cambiandolo dinamicamente ed usando sempre quello che risponde più rapidamente.

Il popolare OpenDNS ha creato anche uno strumento per proteggere internet dai problemi di sicurezza legati al DNS.
Il programma per Windows e Mac DNSCrypt crittografa le connessioni ai siti internet in modo che, dall'esterno, nessuno possa intercettarle. Teoricamente, con DNSCrypt è impossibile che la propria connessione internet possa essere dirottata su siti fraudolenti (ad esempio, alcuni virus fanno in modo che, aprendo siti come poste.it, si apra un sito fasullo, identico e con lo stesso nome).
Per come la vedo io, se si naviga da casa o dall'ufficio con il proprio pc protetto da antivirus, questo strumento non è necessario. Utile invece è installarlo su un computer portatile che viene spesso usato per connettersi da reti diverse come, ad esempio, le Wifi pubbliche (in aeroporto, in hotel o negli internet cafè).

DNS over HTTPS o DoH

Presto questo tipo di programma non servirà più, perchè la protezione del DNS verrà integrata nei browser web. già oggi è possibile attivare la protezione DNS over HTTPS su Chrome Firefox e Edge.
Che cos'è DNS su HTTPS?
Il web ha spinto verso la crittografia di tutto per impostazione predefinita. A questo punto, la maggior parte dei siti Web a cui si accede utilizza la crittografia HTTPS ed i browser Web moderni come Chrome ora contrassegnano qualsiasi sito che utilizza HTTP standard come "non sicuro". Questa crittografia garantisce che nessuno possa manomettere una pagina Web mentre la stai visualizzando o ficcare il naso su ciò che si sta guardando online. Ad esempio, se ci connettiamo a Navigaweb.net, l'operatore di rete, sia che si tratti dell'hotspot Wi-Fi pubblico di un'azienda o di Telecom e Fastweb, può solo vedere che siamo connessi al sito navigaweb.net, ma non riescono a sapere quale articolo stiamo leggendo e non possono modificare un articolo di Navigaweb durante il transito.
L'unico punto vulnerabile nella catena di connessione a un sito web è il DNS. Le ricerche DNS non sono crittografate, quindi il provider di rete o il gestore di un hotspot wifi può sempre sapere a che sito ci stiamo collegando.
Il DNS over HTTPS chiude il cerchio della crittografia e permette al browser di stabilire una connessione protetta e crittografata al server DNS. Chiunque nel mezzo non sarà in grado di vedere quali nomi di dominio stiamo cercando e non potrà nemmeno manomettere la risposta portandoci a visitare un sito diverso.
Per abilitare DoH in Chrome si deve aprire una scheda all'indirizzo chrome://flags/#dns-over-https ed abilitare l'opzione Secure DNS lookups. Riavviare CHrome premendo il tasto in basso per attivare la protezione DNS over HTTPS. Per finire, è necessario utilizzare server DNS come quelli di Google o OPENDNS visti sopra che supportano DoH.

Ci tengo infine a far notare che proteggere e crittografare le richieste al server DNS non nasconde comunque i dati di navigazione internet perchè tutti gli altri protocolli rimangono liberi e visibili dall'esterno. Se quello che si vuole è il completo anonimato, l'unico strumento da usare è TOR che garantisce la privacy online in modo assoluto.