01. Dns Canale Exfiltration
Perché il DNS resta il canale di esfiltrazione dominante nel 2026
Perché il DNS resta il canale di esfiltrazione dominante nel 2026
Nel panorama della sicurezza informatica del 2026, il protocollo DNS (Domain Name System) continua a rappresentare uno dei vettori di esfiltrazione dati più sfruttati da attori malevoli, gruppi APT e operatori di ransomware. Questa persistenza potrebbe sembrare paradossale — il DNS è uno dei protocolli più antichi di Internet, risalente agli anni '80 — eppure le sue caratteristiche architetturali lo rendono un canale ideale per muovere dati fuori dal perimetro aziendale in modo silenzioso.
Il problema fondamentale: il DNS è "trusted by default"
La ragione principale per cui il DNS è ancora così efficace come canale di esfiltrazione risiede in un dato di fatto operativo: quasi tutte le reti aziendali permettono query DNS in uscita. Il traffico sulla porta UDP 53 (e spesso TCP 53) è considerato essenziale per il funzionamento della rete. Bloccare il DNS significherebbe impedire la risoluzione dei nomi di dominio, rendendo di fatto inutilizzabile qualsiasi servizio basato su Internet. Questo crea un canale di comunicazione che è quasi sempre aperto, anche nelle reti più restrittive.
Pensiamo a un'analogia: immaginate un edificio con decine di uscite sorvegliate da guardie, ma con un sistema di tubature che attraversa liberamente tutti i muri. Il DNS è quella tubatura: è infrastrutturale, è ovunque, e raramente qualcuno lo ispeziona davvero.
L'evoluzione: DoH e DoT cambiano le regole
A complicare ulteriormente il quadro, dal 2024 in poi si è assistito a un'adozione massiccia di DNS over HTTPS (DoH) e DNS over TLS (DoT). Questi protocolli incapsulano le query DNS all'interno di connessioni cifrate, rispettivamente su HTTPS (porta 443) e TLS (porta 853, ma spesso anche 443). Il risultato è che il traffico DNS diventa indistinguibile dal normale traffico web a livello di rete.
Questo scenario è rappresentabile concettualmente così:
[ RETE TRADIZIONALE ]
Client → Query DNS (UDP 53) → Resolver → Internet
↑ Ispezionabile in chiaro
[ RETE CON DoH (2025-2026) ]
Client → HTTPS (porta 443) → Resolver DoH → Internet
↑ Cifrato, indistinguibile da traffico web
Per un analista di sicurezza, distinguere una query DoH legittima da una che trasporta dati esfiltrati è estremamente complesso senza strumenti di ispezione a livello applicativo (layer 7).
Il deficit di analisi: traffico abbondante, visibilità scarsa
Un ulteriore fattore che rende il DNS un canale privilegiato per gli attaccanti è la carenza di analisi approfondita nella maggior parte delle organizzazioni. Il volume di query DNS generate da una rete aziendale è enorme — decine o centinaia di migliaia di query al giorno per un singolo endpoint. La stragrande maggioranza di queste query è perfettamente legittima.
Senza appliance dedicate come DNS firewall, soluzioni NDR (Network Detection and Response) con moduli DNS specializzati, o piattaforme di analisi comportamentale, il traffico DNS viene semplicemente inoltrato e dimenticato. I log DNS, quando esistono, sono spesso archiviati senza essere analizzati in tempo reale.
La sfida della distinzione: query legittime vs. malevole
Il cuore del problema è la difficoltà di distinguere query malevole da query legittime senza analisi comportamentale avanzata. Una query DNS verso www.google.com è ovviamente benigna. Ma cosa dire di una query verso aXNhY3JlZGl0Y2FyZA.sess-8f3d2a1b.chunk017.c2-2026.xyz? Per un resolver DNS, è semplicemente una richiesta di risoluzione come un'altra. Il resolver non ha contesto, non conosce l'intento, non valuta l'entropia della stringa.
Questa asimmetria informativa — l'attaccante sa esattamente cosa sta facendo, il difensore vede solo un flusso di query apparentemente normali — è ciò che rende il DNS un canale di esfiltrazione così resiliente e longevo.
Implicazioni per il 2026
Nel contesto attuale, le organizzazioni devono accettare una realtà scomoda: il DNS non è solo un protocollo di risoluzione nomi, è un potenziale canale dati bidirezionale che attraversa quasi ogni controllo di sicurezza. La consapevolezza di questo fatto è il primo passo per costruire difese efficaci, che verranno approfondite nelle lezioni successive.
La combinazione di ubiquità del protocollo, adozione di DoH/DoT, volumi elevati di traffico e carenza di strumenti di analisi crea un ambiente in cui un attaccante competente può muovere dati con un rischio di rilevamento sorprendentemente basso.