giovedì 1 luglio 2010

Pronti o no, il DNSSEC sta arrivando!

Ieri ed oggi si è tenuto a Roma il convegno sul DNSSEC organizzato dal Global Cyber Security Center (GC-SEC) che è un'organizzazione senza fini di lucro recentemente creata per promuovere la sicurezza informatica. Il Centro è finanziato da Poste Italiane e da altre aziende ed ha sede a Roma. Il suo Direttore Generale è Andrea Rigoni, che conosco e stimo da diversi anni.

Prima di entrare nel merito delle informazioni che mi hanno più colpito, voglio fermarmi e sottolineare il grande lavoro svolto dall'organizzazione. 
Per una volta, pur essendo in Italia, ci si poteva sentire nell'"ombelico del mondo", infatti gli speaker* di questo convegno erano tutti i principali attori internazionali della materia e si respirava un'atmosfera di reale consapevolezza che, in questo convegno, le discussioni erano davvero allo stato dell'arte. 

Ma veniamo al tema, il DNSSEC, ovvero una serie di estensioni per garantire la sicurezza e affidabilità delle informazioni fornite dai sistemi DNS (il protocollo che consente di utilizzare le risorse di Internet richiamandole attraverso l'uso di nomi e non di indirizzi numerici).

Un paio di informazioni di contesto solo per inquadrare lo scenario...
Dopo l'annuncio di una grave vulnerabilità del protocollo DNS (Dan Kaminsky, a luglio 2008, ha annunciato di aver scoperto una vulnerabilità che consente di portare attacchi di "cache poisoning" sui nameserver) è apparso chiaro che, per eliminare il problema, era necessario migrare al DNS sicuro, il DNSSEC appunto. Affinché si possa raggiungere l'obiettivo di mantenere una ragionevole sicurezza su Internet, questa migrazione deve essere globale e deve riguardare tutte le tipologie di dominio (quelli nazionali, quelli commerciali, quelli tematici, ecc.). Come è facile comprendere questo immane lavoro richiede, a livello globale, grandi capacità, grandi risorse e un importante livello di coordinamento. La strada imboccata sembra quella giusta e infatti il 15 luglio prossimo si terrà la seconda e ultima cerimonia di generazione delle "chiavi di root", ovvero le chiavi delle chiavi, passo fondamentale nel deployment della soluzione globale.

Venendo alla due giorni del convegno, la qualità degli oratori ha consentito spesso di rimanere talmente alti, da prescindere la sfera strettamente tecnologica. Ho quindi deciso di approfittarne e riportare solo questi aspetti, per evitare di avvitarmi in aspetti incomprensibili ai più. Gli atti inoltre saranno pubblicati quanto prima sul sito del GC-SEC e quindi, chi vuole, potrà approfondire gli aspetti più tecnici direttamente sul materiale prodotto dagli speaker.

Ecco quindi una serie di notizie e analisi estratte dai vari interventi:
- è in atto la creazione del dominio .post (dedicato agli operatori postali) che supporterà nativamente il DNSSEC
- gli Stati Uniti hanno in cantiere il deployment del DNSSEC per i domini .gov (a seguire i .edu)
- il NIST ha pubblicato la guida "Secure DNS Deploy Guide" e ha sviluppato un tool open source "Zone Integrity Checker"
- in Italia il Registro .IT non ha ancora iniziato le attività di analisi preliminari per il deployment del DNSSEC
- Telecom Italia ha iniziato la fase di analisi e di test per integrare il DNSSEC nella propria infrastruttura DNS
- in Repubblica Ceca il Registry .CZ è operativo e ha oltre 100.000 domini firmati, i Registrars che supportano il DNSSEC coprono circa l'80% del mercato, è stato sviluppato un plug-in per Firefox che permette di verificare visivamente se un sito su cui ci si connette usa il DNSSEC
- nel Regno Unito il Registry .UK ha collaborato allo sviluppo di OpenDNSSEC, un tool open source per la gestione del DNSSEC, le attività di deployment inizieranno a marzo 2011
- in svizzera il Registry .CH attualmente supporta parzialmente il DNSSEC, ci sono circa 60 domini firmati
- TeliaSonera in Svezia da circa tre anni supporta la validazione dei domini firmati senza particolari impatti negativi sull'infrastruttura
- in Svezia il Registry .SE lavora da circa 5 anni al deployment del DNSSEC e hanno diversi domini firmati, sono pronti per il deployment di massa
- ComCast negli Stati Uniti sta adeguando l'infrastruttura per la gestione del DNSSEC
- ENISA ha prodotto diversi studi sui costi e sulle risorse da impegnare per il deployment del DNSSEC.

Tutti hanno concordato sul fatto che le maggiori difficoltà sono negli adeguamenti organizzativi (modalità più complesse, procedure più importanti, troubleshooting più complesso) piuttosto che negli investimenti in "pezzi di ferro".

Tra le domande aperte a cui si è cercato di dare delle risposte ci sono:
Chi sosterrà i costi di adeguamento? Il mercato è in grado dare risposte e risorse sufficienti? E' sufficiente ragionare in termini di gestione del rischio per trovare le risorse necessarie? Si genererà un "effetto valanga", per il quale, dopo le prime esperienze, sarà impossibile per gli altri rimanere "fuori dal giro"?

Voglio chiudere con una frase di Jim Galvin, uno dei più accesi sostenitori del DNSSEC.
"Il DNSSEC cambierà il volto di Internet così come lo ha cambiato il Web"

Pronti o no, il DNSSEC sta arrivando.

-----------------------------------------------------------------------------------------------
* Ecco l'elenco degli oratori del convegno, vista la caratura dei personaggi vale la pena ricordarli.
Marco Bavazzano (Director Global IT, Telecom Italia), Gregory Crabb (Assistant Inspector in Charge, Cyber Intelligence, US Postal Service), Steve Crocker (uno dei padri di Internet, attualmente CEO di Shinkuro), Edouard Dayan (Director Generale of Universal Postal Union), Paul Donohoe (Head of Programme e-commerce, UPU), Mats Dufberg (Senior System Expert, Telia Sonera), Urs Eppenberg (Head of Internet domain, Switch .CH Registry), Anne-Marie Eklnd-Lowinder (Quality and Secuirty Manager, IIF .SE Registry), Jim Galvin (Director of Strategic Partnership, Afilias), Chris Griffiths (Manager of HIS Engineering, ComCast), Olaf Kolkman (Head of NLnet Labs), Domenico Laforenza (Managerof .IT Registry), Doug Maughan (Program Manager, Department of Homeland Security), Simon McCalla (Director of IT, Nominet .UK Registry), Sara Monteiro (FCCN, .PT Registry), Doug Montgomery (Manager Internet Tech. Research Group, NIST), Russ Mundy (Manager of research in Internet Security, Sparta), Agostino Ragosa (CISO, Poste Italiane), Andrea Rigoni (Director General, GC-SEC), Panagiotis Saragiotis (Seconded National Expert, ENISA), Massimo Sarmi (CEO, Poste Italiane), Stefano Trumpy (Italian Delegate in ICANN), Pavel Tuma (Director of Marketing, CZ.NIC .CZ Registry)

Nessun commento:

Posta un commento

http://www.wikio.it