Ago 242008

ISC BIND e la pazzia umana

Pubblicato in: Rete Mynet, Sicurezza

E’ incomprensibile come alla fine del 2008 alcuni (molti!) operatori possano ancora usare come resolver esterno ed interno BIND. Dopo anni e anni di continui bug, spesso disastrosi (come l’ultimo accaduto e previsto da D.J. Bernstein molto tempo fa), solo la pazzia umana può giustificare l’utilizzo di BIND come DNS server.

Stessa diagnosi è probabilmente applicabile a chi ha deciso di usare ISC BIND come reference per il proprio DNS server (Microsoft nei prodotti Windows e Cisco nel proprio IOS e derivati).

Mynet impiega da tempo immemore i software “secure by design” di Dan Bernstein, ivi incluso il DNS server (attualmente, una versione modificata di TinyDNS parte di DJBDNS).

Mentre gli altri operatori si “affannavano” (al lettore curioso consiglio di verificare da se se il proprio provider ha provveduto) ad aggiornare i propri DNS server per garantire ai propri clienti che digitare http://www.paypal.com/ equivalesse veramente ad andare sul sito PayPal, il nostro staff sorrideva pensando che avevamo gestito il problema della port randomization molti anni fa.

Anche l’attitudine alla sicurezza proattiva ci rende positivamente diversi: sicuramente il problema di insicurezza intrinseca nel protocollo DNS non è risolto, ma usare il peggior software in circolazione per dare un dato servizio ai clienti non è condivisibile. E’ da pazzi, appunto.