L’americana National Security Agency (NSA) ha avvertito le aziende che l’adozione di servizi DNS crittografati può portare a un falso senso di sicurezza e persino interrompere i propri strumenti di monitoraggio DNS.
DNS over HTTPS (DoH) è diventato un modo sempre più diffuso per migliorare la privacy e l’integrità proteggendo il traffico DNS tra un client e un resolver DNS da accessi non autorizzati. Questo può aiutare a prevenire l’intercettazione e la manipolazione del traffico DNS.
Tuttavia, sebbene tali servizi siano utili per gli utenti domestici e mobili e le reti che non utilizzano i controlli DNS, non sono consigliati per la maggior parte delle aziende, ha affermato l’agenzia di sicurezza statunitense in un nuovo rapporto.
DoH “non è una panacea”, in quanto non garantisce che gli autori delle minacce non possano vedere dove sta andando un client sul web, ha affermato l’NSA.
“DoH è specificamente progettato per crittografare solo la transazione DNS tra il client e il resolver, non qualsiasi altro traffico che si verifica dopo che la query è stata soddisfatta”, osserva il rapporto.
“Sebbene ciò consenta ai client di ottenere privatamente un indirizzo IP basato su un nome di dominio, ci sono altri modi in cui gli attori delle minacce informatiche possono determinare le informazioni senza leggere direttamente la richiesta DNS, come monitorare la connessione che un client effettua dopo la richiesta DNS”.
Inoltre, DoH può effettivamente compromettere gli strumenti di monitoraggio della rete progettati per individuare attività sospette nel traffico DNS.
“DoH crittografa il traffico DNS, il che impedisce alle aziende di monitorare il DNS con questi strumenti basati sulla rete a meno che non stiano interrompendo e ispezionando il traffico TLS. Se DoH viene utilizzato con il resolver aziendale, l’ispezione può comunque essere eseguita sul resolver o utilizzando i registri del resolver”, continua il rapporto.
“Tuttavia, se i resolver DoH esterni non sono bloccati e DoH è abilitato sul browser o sul sistema operativo dell’utente per utilizzare un resolver diverso, potrebbero verificarsi problemi nell’ottenere visibilità in quel traffico DNS crittografato.”
Il malware può anche utilizzare DoH per nascondere il proprio traffico di comunicazioni C&C, ha avvertito l’NSA.
L’agenzia ha esortato le aziende che utilizzano strumenti di monitoraggio a evitare di utilizzare DoH all’interno delle loro reti.
