Ho recentemente letto sui quotidiani la sanzione di 50.000 euro che il Garante della Privacy ha inflitto al portale web Rosseau, sottodominio del sito web movimento5stelle.it, per la violazione di cui al combinato disposto degli art. 32 e 83, paragrafo 4, lettera a) del Regolamento UE n. 679 (GDPR) G.U. 04/05/2016, rilevando il Garante la presenza di importanti vulnerabilità.
Sulla sicurezza e vulnerabilità dei siti web bisogna schiarirci le idee e non prenderci in giro. Devi sapere che la sicurezza di un nome a dominio e dei servizi ad esso collegati parte dal DNS (Domain Name System) che è un database distribuito che associa al nome di dominio l'indirizzo ip del server che ospita le pagine web e i servizi ad esso collegati, come la mail, il cloud, i forum, le votazioni, ecc. E' quindi un aspetto fondamentale di Internet.
Il Protocollo DNS e lo stesso DNS è intrinsicamente insicuro, lo è sempre stato, sia a livello di privacy perché i dati sono trasmessi in chiaro, sia a livello di dati perché i dati non vengono autenticati, con i rischi descritti in questo articolo: https://hacktips.it/tecniche-hacking-dns/, tanto per citarne uno tra i più in vista.
Per rimediare e mettere una pezza all'insicurezza e alla vulnerabilità del DNS sono state introdotte le estensioni di sicurezza al DNS chiamate DNSSec che, come dice Wikipedia, sono "una serie di specifiche dell'IETF per garantire la sicurezza e affidabilità delle informazioni fornite dai sistemi DNS."
Peccato che gran parte dei provider di nomi a dominio (europei e soprattutto italiani) non offrano il supporto a DNSSEC in modo semplice e gratuito. Alcuni provider fanno pagare un supplemento di prezzo, altri non lo prevedono proprio. Nemmeno il sito del Garante: www.garanteprivacy.it prevede, alla data odierna, le estensioni DNSSEC. Per verificarlo basta andare sul sito https://dnssec-analyzer.verisignlabs.com/ e inserire nell'apposito form il nome del dominio, oppure andare sul sito del NIC (il Registro dei nomi a dominio italiano) e fare una richiesta Whois o check-dns (https://dns-check.nic.it/) per vedere se sono state trovate chiavi DNSKEY o record DS nel database del NIC. Nel caso del sito del Garante la risposta che ho ottenuto dal NIC è stata: Nessun record DS trovato, di conseguenza alcuni test non sono stati eseguiti. Le cose cambiano se invece il test lo facciamo sul dominio del NIC: nic.it, per fare un confronto. Il recordDS viene trovato e i test sul DNSSEC vengono fatti con successo ad indicare che il sito del NIC è validato e adotta le estensioni DNSSEC.
Su dnssec-analyzer.verisignlabs.com la risposta del test è stata: No DS records found for garanteprivacy.it in the it zoneEd e No DNSKEY records found, ad indicare che il dominio non è stato autenticato.
Un altro controllo è possibile farlo utilizzando il servizio http://dnsviz.net.
E' cosi anche per i domini di molte banche e siti di e-commerce. La mancanza di supporto alle estensioni DNSSec da parte dei provider europei e italiani potrebbe causare una massiccia migrazione di nomi a dominio dai provider europei e italiani a quelli americani, maggiormente attrezzati nel supporto DNSSec.
Anche questo sito non risulta firmato perché il mio provider italiano purtroppo non offre il supporto a DNSSEC. Passi il mio sito che è un sito personale amatoriale, tuttavia da un sito di una banca alla quale ti colleghi per transazioni di denaro, ci si aspetta l'autenticazione del DNS come base di partenza per la sicurezza dei dati del dominio. Il Garante dovrebbe incominciare a sanzionare se stesso e i siti delle banche con i nomi a dominio privi di autenticazione e supporto a DNSSEC, prima ancora della piattaforma Rosseau. E' proprio vero, si guarda la pagliuzza negli occhi degli altri e non si guarda la trave nei propri occhi.
E' evidente, a mio avviso, a questo punto, la faziosità della sanzione inflitta alla piattaforma Rosseau, perché se parliamo di sicurezza di un nome di dominio e dei suoi dati, la partenza non può prescindere che dalla sicurezza del DNS, oltre a tutto il resto. Per cui tutti i siti che non adottano le estensioni DNSSec sono potenzialmente insicuri e vulnerabili, ma noi continuiamo pure a prenderci in giro con buona pace del Garante e del GDPR.