Cloudflare 1.1.1.1 nasce come esperimento in collaborazione con l'Internet Address Registry APNIC (Asia Pacific Network Information Centre), l'obbiettivo del progetto è capire come poter migliore le performance e la sicurezza del servizio DNS che già Cloudflare offriva ai suoi clienti. Tuttavia gli ingegneri di APNIC non avrebbero accesso all'intera infrastruttura di Cloudflare, dunque non è escluso che il sistema DNS possa essere colpito da attacchi DDoS (Distributed Denial of Service) in grado di sfruttare una qualche vulnerabilità ancora ignota.

Tuttavia, senza sapere con certezza come il sistema di caching agisca o come il DNS sia correlato all'utente finale e l'applicazione usata, è difficile prevedere eventuali attacchi o rilevare falle di sicurezza. Per evitare queste eventualità sarebbe oppurtuno che Cloudflare permettesse ai suoi partner di accedere ai dettagli della sua infrastruttura DNS, così da avere più occhi sul codice per individuare falle o imperfezioni.

Queste problematiche sono tipiche dei sistemi software proprietari dove il codice è accessibile soltanto al produttore e il suo funzionamento è noto solo in parte. A segnalare questo problema è stato anche Geoff Huston, uno degli appartenenti Internet Hall of Fame, che in alcune dichiarazioni avrebbe affermato che per salvare il sistema dei DNS da massicci attacchi DDoS sarebbe necessario rimuovere il velo di mistero che adorna diversi DNS resolver.

Cloudflare e APNIC usano due IPv4 address range, 1.1.1/24 e 1.0.0/24, riservati per scopi di ricerca, mentre il nuovo DNS verte sul range 1.1.1.1 e 1.0.0.1. Questi intervalli erano configurati in passato come una sorta di "dark traffic addresse".

Anni fa APNIC ha collaborato anche con Google e i due team avrebbero rilevato un'insolita quantità di traffico diretto verso tale intervallo. Sembrerebbe quindi che in passato questo ventaglio di IP sia stato bersaglio di attacchi DDoS e c'è dunque un altissima probabilità che si possa ripetere tale eventualità anche nel prossimo futuro.

Houston scrive che all'epoca si verificò un attacco da 50 gigabits al secondo proprio verso questi indirizzi e poche infrastrutture sarebbero capaci di reggere un attacco simile. Quindi ora milioni di utenti privati potrebbero essere esposti agli stessi rischi.

Via Geoff Huston

CommentaDi' la tua

Il tuo indirizzo email non sarà mostrato pubblicamente. I campi obbligatori sono contrassegnati da *