TL;DR Una pruriginosa vicenda relativa al dominio salute.lazio.it ha sollevato una criticità fino ad ora sottovalutata: la possibilità, per chiunque, di registrare domini di terzo livello geografici, esponendo potenzialmente milioni di cittadini inconsapevoli a sofisiticati attacchi phishing.
La vicenda è balzata agli onori della cronaca in seguito alla notizia, data per prima dalla testata Red Hot Cyber, che il dominio salute.lazio.it reindirizzava a pagine web piene di contenuti pornografici.
L’assunto comune, poi scopertosi errato, è che tale dominio di terzo livello, sotto “lazio.it”, sarebbe dovuto essere gestito direttamente dalla Regione Lazio o comunque riconducibile ad esso. Analogamente ai domini sotto gov.it, che sono registrabili solamente da alcuni Enti Pubblici (nello specifico, PA centrali e gli Enti nazionali di previdenza e assistenza). Del resto, parliamo di “salute” ed è lecito attendersi che sia un sito web ufficiale.
Ma prima di continuare, alcune doverose precisazioni: l’autorità internazionale Iana ha assegnato, per l’Italia, la gestione dei nomi a dominio al NIC, oggi Registro .it, gestito dall’Istituto di Informatica e Telematica del Cnr. Il Registro .it gestisce la zona DNS geografica “it”, assegnata all’Italia, e definisce le regole per la registrazione dei domini sottostanti. Tra questi, vi sono domini speciali, tra cui quelli geografici, che comprendono le regioni italiane (es. toscana.it), le province (es: pisa.it), i comuni italiani al di sotto della provincia di appartenenza (es. viareggio.lucca.it).
Altra precisazione: il registro dei nomi a dominio è pubblico ed è possibile sapere il nome di chi ha registrato un certo dominio, se ha concesso la liberatoria per la privacy, usando il comando *nix whois oppure avvalendosi di uno dei tanti siti che offrono il servizio via web, come il whois del Registro .it.
Tutto chiaro?
Bene, andiamo al nocciolo della questione: se il sito regione.toscana.it è il riferimento ufficiale per l’Ente Regione Toscana, così come regione.lazio.it lo è per l’Ente regionale del Lazio, è facile pensare che qualsiasi sito web di terzo livello sia in qualche modo riconducibile a essi. E’ una percezione diffusa che, stando però alle regole attuali di registrazione dei domini speciali “geografici” italiani, non ha fondamento.
Tornando alla questione iniziale, salute.lazio.it è semplicemente un dominio di terzo livello “salute” sotto il dominio di secondo livello “lazio” e di primo livello “it” registrato, stando a whois, da un certo “dany elie aronovitch” residente a Roma. E non conteneva, almeno nell’ultimo periodo, contenuti relativi alla salute, se non forse per quella sessuale.
La questione ha sollevato un certo scalpore, anche se, stando alle regole del NIC, chiunque avrebbe potuto registrarlo. Per la Toscana, ad esempio, il dominio “salute.toscana.it” è registrato dalla Regione Toscana e visitando www.salute.toscana.it si viene in contatto con la “Guida ai Servizi Sanitari Digitali della Regione Toscana”. Ci si potrebbe legittimamente chiedere come mai la Regione Lazio, così come l’Umbria o la Liguria non abbiano fatto altrettanto, ma questa è una questione diversa.
Tuttavia, e qui si arriva al punto, la possibilità per chiunque di poter registrare sottodomini regionali anche con nomi che possano richiamare funzioni ufficiali espone i cittadini ad essere vittime di attacchi phishing verosimili. Ad esempio, un threat actor potrebbe registrare il dominio salute.($regione).it (ce ne sono alcuni ancora disponibili) e inviare ai cittadini della $regione una mail legittimamente proveniente da @salute.($regione).it invitandoli, che so, a dover pagare una prestazione sanitaria in realtà mai avvenuta. Oppure una qualsiasi altra cosa che possa comunque trarre in inganno le vittime sfruttando elementi comunemente definiti legittimi.
E’ chiaro che una mail proveniente da, che so, “ciao.lazio.it” forse non sarebbe considerata verosimile ma proprio oggi pomeriggio ho registrato, con neppure 10€ di “investimento”, il dominio cybersecurity.lazio.it: pochi minuti di lavoro per un nome a dominio che, se sfruttato con intenti malevoli, potrebbe trarre in inganno una importante fetta degli oltre 5 milioni e 700.000 abitanti della Regione Lazio.
A questo punto, per finire, credo che oltre alla consapevolezza che un sottodominio regionale non è automaticamente una referenza autorevole, sarebbe anche opportuno che gli Enti Regionali si impegnassero a riservarsi quelli più sensibili, come ad esempio salute, sanita, scuola, istruzione… perché non solo la nomenclatura sarebbe di aiuto per il cittadini ma, anche, per evitare che malintenzionati possano sfruttarli a loro vantaggio.
In ogni caso, come utenti, abbiamo a disposizione il servizio whois: sfruttiamolo, se siamo in dubbio.
1 comment
bravo michele, una sola precisazione: i nomi a dominio sotto la gerarchia gov.it sono, purtroppo, a oggi registrabili solo da Pubbliche Amministrazioni centrali dello Stato e da Enti nazionali di previdenza e assistenza (e non genericamente da Enti pubblici).
la cosa risale a qualche anno fa:
https://www.key4biz.it/agid-addio-al-dominio-gov-it-gli-enti-locali-cosa-cambiera/213193/
https://www.key4biz.it/agid-e-quer-pasticciaccio-brutto-del-dominio-gov-it/225444/
ciao