Chi utilizza spesso i servizi VPN forniti dai diversi provider avrà già incontrato il termine DNS leak.
La traduzione italiana è francamente un po’ approssimativa – “perdite DNS” – ma con questo termine si fa riferimento a una problematica relativa ai server DNS in uso (responsabili della risoluzione dei nomi a dominio; vedere ad esempio DNS Google, ecco come funzionano e perché sono utili) che potrebbero fornire a terzi indicazioni utili sulla posizione geografica e sull’identità dell’utente.
Diversamente rispetto alle tecniche di aggressione che mirano a modificare la corretta associazione tra gli indirizzi mnemonici (ad esempio www.google.it) e i corrispondenti indirizzi IP (DNS cache poisoning), il DNS leak è un problema che impatta principalmente su quegli utenti che desiderano mantenere protetta la propria identità, ad esempio proprio usando un servizio VPN che non mantiene i log delle attività.
Quando si usa un servizio VPN tutto il traffico originato dal dispositivo in uso o ad esso diretto viene fatto transitare attraverso un tunnel crittografato. Nessun soggetto, lungo il percorso compiuto dai pacchetti dati, può leggere, modificare o danneggiare i dati in transito. Ne abbiamo parlato nell’articolo VPN cos’è e quali sono i migliori servizi riassumendo anche tutti i possibili utilizzi di una VPN.
Il fenomeno del DNS leak può verificarsi nel momento in cui una o più richieste di risoluzione di nomi a dominio non transitassero attraverso il tunnel VPN ma venissero instradate in maniera diretta. In questi casi un soggetto terzo può risalire al reale indirizzo IP usato dall’utente, alla sua posizione geografica o ai siti web che ha chiesto di visitare. E ciò nonostante la VPN sia attiva e tutto il traffico venga fatto transitare attraverso un host dotato di un indirizzo IP completamente diverso da quello assegnato dall’operatore di telecomunicazioni prescelto.
Utilizzando un simpatico espediente tecnico, il fornitore di un servizio online può stabilire che l’utente connesso sta usando una VPN proprio in forza del DNS leak.
Come verificare se si fosse esposti al problema del DNS leak
Una volta scelto il fornitore del servizio VPN preferito, è sempre bene utilizzare una delle applicazioni web che effettuano un DNS leak test. Il più famoso è proprio dnsleaktest.com ma ne esistono molti altri, spesso gestiti dai singoli fornitori di servizi VPN.
Il test che accerta la presenza o meno del problema del DNS leak funziona in maniera molto semplice:
- L’utente visita il sito per il DNS leak test.
- L’applicazione web genera una serie di connessioni a sottodomini (generalmente di quarto livello) creati in modo casuale. Si pensi a qualcosa del tipo
randomstring.test.dnsleaktest.com
. - Dal momento che, essendo stato generato in modo del tutto casuale, né il browser né il server DNS usato dall’utente conoscono a quale IP fa riferimento il sottodominio, viene automaticamente interrogato il server autorevole ovvero quello sotto il diretto controllo di chi gestisce il sito dnsleaktest.com.
- Il server DNS autorevole annota da quale DNS è pervenuta la richiesta di risoluzione del nome a dominio. Se il DNS non è quello del fornitore del servizio VPN ma vengono ad esempio esposti i DNS dell’operatore di telecomunicazioni scelto dall’utente, ecco che l’identità di quest’ultimo e la sua reale dislocazione geografica diventano manifeste.
Dopo aver stabilito una connessione VPN bisognerà quindi sempre verificare con strumenti online quali dnsleaktest.com che i DNS restituiti siano quelli del gestore della VPN e non altri.
Come DNS leak test è possibile usare anche i servizi analoghi offerti dai vari fornitori di servizi VPN tenendo presente che la verifica verrà indicata come superata, però, solo usando la VPN di quello stesso provider. L’importante, però, è che compaiano gli indirizzi IP e i riferimenti dei DNS messi a disposizione dal gestore della VPN in uso.
Per evitare il problema del DNS leak basterà utilizzare un client VPN che prevede la corretta configurazione automatica dei DNS in sostituzione di quelli manualmente impostati sul dispositivo o configurati a livello di router.
Come regola generale è comunque bene usare server DNS come quelli di Cloudflare, di Google, di Quad9 o di OpenDNS: DNS migliori: quali usare per la navigazione.
Ove possibile usare sempre browser che supportano i protocolli DoH (DNS-over-HTTPS) o DoT (DNS-over-TLS) al fine di crittografare le richieste di risoluzione dei nomi a dominio che invece di norma sono trasferite in chiaro.
Come postilla finale va detto che navigando con Tor Browser si eviterà il problema del DNS leak. La rete Tor non è equiparabile a una VPN ma se l’obiettivo fosse quello di tutelare l’anonimato senza curarsi troppo delle performance, allora Tor Browser è un’ottima soluzione: Tor Browser, cos’è e come funziona la nuova versione del programma.