Radici della neutralita'

Il DNS è l'internet stessa: non si tocca!

di Claudio Allocchio

[19 Dicembre 2006 fonte http://www.interlex.it/attualit/allocch3.htm]

  • Ormai molti anni fa, nel 1991, avevo proposto all'IETF - dove vengono creati i protocolli che fanno funzionare Internet e tutti i suoi servizi, e quindi proprio il posto dove Internet è stata e viene creata continuamente - di inserire all'intero del DNS alcune nuove informazioni, che all'epoca servivano a far parlare meglio tra di loro i servizi di e-mail Internet e quelli basati su protocolli diversi (allora Internet non era quella che conosciamo adesso, era solo una delle tante reti separate, ognuna con i propri protocolli e linguaggi diversi).
  • Dire "DNS" nel 1991 significava dire Jon Postel, e dire "toccare il DNS" singificava convincere Jon che la cosa non avrebbe prodotto problemi all'allora neonato DNS.
  • "DNS is the Internet itself... when it does not work, Internet does not work! Are you sure that your proposal does not disrupt it?" mi disse da dietro la sua barba bianca.
  • "Il DNS è l'internet stessa!", una frase che è una verità assoluta, in tutti i sensi: è la base su cui funziona l'interazione degli umani con la rete (solo pochi sarebbero in grado di usare Internet se dovessimo scrivere i valori numerici degli indirizzi invece dei nomi a dominio a cui siamo abituati), è la base dati dove sono contenute le informazioni per fare arrivare la posta elettronica a destinazione, o per farvi trovare i server WEB che danno le informazioni cercate.
  • Ma DNS è l'Internet stessa, anche perché il modo con cui è costruito è il principio fondamentale e di base dell'Internet stessa: nel DNS io sono responsabile delle informazioni del MIO pezzo di rete, delle MIE macchine e dei MIEI servizi: solo io posso dare informazioni (che si chiamano autoritative) sulla mia "zona" di Internet, e nessun altro ha il diritto e l'autorità di diffondere informazioni sulla mia zona, ma solo sulla sua.
  • È Internet, perché Internet' è una collezione di reti indipendenti, che decidono di parlarsi tra loro, ognuna con i suoi paradigmi, servizi, regole interne, ma che per fortuna parlano la stessa lingua (i protocolli stabiliti da IETF) e quindi si capiscono tra di loro.
  • In questi giorni se ne sono sentite molte sui problemi che sembra avere il DNS. Ma quello che non si è sentito in giro, è che NON è così dappertutto. Se sulle reti di alcuni provider sembrano esserci problemi molto grossi, su altre reti, ad esempio le reti dell'università, dell'educazione e della ricerca mondiali (ad esmepio il GARR in Italia o Internet2 negli USA), non vi è alcun problema, così come sulle reti di altri provider che fanno servizio commerciale.
  • È fondamentale notare questo fatto: sia perché dimostra che appunto Internet è una rete di reti, e che ognuna ha la sua situazione "propria", sia perché fa capire che il luogo dove devono venire ricercate le fonti del problema non è il DNS in generale, ma quasi sicuramente il modo con cui il DNS viene "trattato" nelle varie reti.
  • Semplificando molto, il concetto del funzionamento del DNS è quello che ho citato prima: io diffondo le informazioni relative alla mia rete, tu quelle relative alla tua, lui relative alla sua, etc, e poi vi sono dei meccanismi di "memoria" e "replica" che, per velocizzare il servizio e le risposte alle richiesta, sono sparsi in modo trasversale su tutta la rete. Ed ognuno prende dagli altri le informazioni relative alla loro zona di competenza. Questo è il modo con cui il DNS assicura il funzionamento corretto di tutta Internet, che - ricordiamo - è figlia diretta di Arpanet, progettata per resistere ad attacchi di qualsiasi genere.
  • E come mai allora questi problemi e solo in certe zone della rete? Ho letto di "effetti del diffondersi di certi virus su certi provider, che intasano i server DNS con le relative richieste per spedire i propri mail e replicarsi e diffondersi"... o attacchi mirati contro certi provider e non altri... ed altri tentativi di spiegazione, che però mi lasciano abbastanza perplesso.
  • È vero che ultimamente c'è stata la diffusione di quello mi piace definire "il virus dell'avvocato". "mi sta mandando spam, se non la smetti ti faccio causa, ma se usi il programmino antivirus che suggerisce il mio bravo tecnico informatico ti salvi". Naturalmente il programmino è esso stesso un virus, e naturalmente l'utente medio, spaventato dalla minaccia di azione legale, non si cura di controllare che il sito dell'antivirus miracoloso suggerito è nella Federazione Russa, non è elencato tra alcuno dei programmi antivirus noti in letteratura e sulla rete, non ha alcun altro link che funziona se non quello che ti scarica ed installa il virus stesso etc. Devo ammettere ... "il miglior virus a combinazione psicologica-tecnologica che abbia mai visto": congratulazioni alla mente criminale che lo ha concepito, anche se ovviamente disapprovazione per l'azione e lo scopo.
  • È vero che, ad esempio, sulle reti della ricerca è stato diffuso un allarme all'utenza solo poche ore dopo la comparsa del virus stesso, con dettagliata spiegazione, mentre da altre parti nessuno ha avvisato l'utenza del pericolo e dell'inganno (e mi sono domandato perché non esiste una rubrichetta nei notiziari radio/tv - ed un relativo canale di comunicazione dedicato tra esperti e giornalisti - dove annunciare subito questo tipo di problemi alla totalità del pubblico).
  • Ma, anche se tantissimi utenti di alcuni service provider si fossero presi tutti il virus, anche sulle altre reti se lo sono presi in molti (gli allarmi tempesivi riducono l'effetto, ma non lo eliminano), perché il problema è presente solo in certe zone?
  • "Sarà un attacco mirato!", dicono. Ma un attacco mirato di tipo tradizionale ha sorgenti identificabili, e quindi se le sorgenti sono esterne alla zona, sono filtrabili. Se invece è di tipo diffuso ed ad autodiffusione (un virus, appunto), perché certe zone non ne subiscono gli effetti? Perché sono "immuni"?
  • La spiegazione è forse più semplice di quello che può sembrare: nelle zone dove non sembrano esserci problemi, il DNS viene ancora configurato, usato e messo a disposizione dell'utenza esattamente come è nel suo spirito originario, quello che ho indicato sopra: ognuno diffonde informazioni della propria zona, ed accetta le informazioni dalla altre zone.
  • E non vi sono "i server DNS centrali a cui collegarsi", bensì ognuno si collega al server DNS della propria zona - e ce ne sono migliaia - , o se preferisce di un altra zona, senza limitazioni o filtri di alcun genere.
  • È così che il meccanismo stesso del DNS si esprime e funziona al suo meglio, ed è anche questo l'unico modo con cui il DNS dovrebbe funzionare. Ed in effetti, il risultato si vede: anche se il virus o altri tipi di attacchi ci sono, l'effetto è trascurabile sul sistema.
  • Dove invece i principi fondamentali del DNS, e dell'Internet in generale quindi, non vengono rispettati, sono insorti i guai. Nelle zone dove il DNS viene considerato un servizio "centralizzato", dove è obbligatorio scegliere quei determinati server, dove vi sono filtri per impedire di accedere a server DNS di altra zone a partire dai propri client, il servizio va in crisi.
  • Ma, forse, c'è una ulteriore spiegazione ancora più preoccupante e grave: nelle zone dove, per un motivo o un altro, si cerca di diffondere informazione forzosamente modificata - forse dovrei usare il termine fasificata ? - relative a zone altrui, il problema si manifesta in modo ancora più acuto, in quanto anche i meccanismi di replica e memoria che rendo tanto solido il DNS non funzionano più, anzi funzionano a singhiozzo, con informazioni "sporche" che creano ovvi disservizi a tutti coloro che a quei server DNS si appoggiano.
  • Non faccio un discorso di "contenuti e ragioni etiche", ma solo un discorso tecnico: il DNS non è fatto per subire forzature, è gerarchico, ma con un sottobosco trasversale ramificatissimo che lo rende inattaccabile, ma al tempo stesso non è centralizzato o centralizzabile.
  • Quindi applicargli paradigmi diversi, o per motivi commerciali ("ti faccio vedere i miei servizi non quelli della concorrenza") o per motivi di regolamentazione esterna (si veda il caso dei siti di gioco on-line che non hanno la licenza valida in Italia o casi analoghi in altri paesi), significa semplicemente esporre la propria zona (e tutti i propri cilenti) a vulnerabilità e problemi che possono arrivare, e penso che gli eventi ultimi lo dimostrino, ad essere incontrollabili da parte dei provider stessi.
  • Vorrei concludere citando una frase di un mio collega al GARR, Massimo Carboni: " ... Internet è libero ... Sperare di mettere delle barriere posticce è come pretendere di fare una diga in mezzo all'oceano." La ripete a tutti quelli che incontra... lo aiuto, e la ripeto anche io a voi.
  • È una verità fondamentale, basata non su un principio morale o altro, ma anche, e sopratutto sul funzionamento tecnico della rete Internet stessa, DNS compreso.
  • E la tecnica, non è un'opinione. In molti mi hanno chiesto anche: "ma d'accordo, come si fa però a risolvere problemi del genere?". Il mio consiglio è semplice: evitare di forzare la rete a seguire paradigmi per i quali non è stata costruita.
  • Un altro consiglio per concludere: evitare di ingabbiare la rete dentro concetti come "confini", "giurisdizioni" e simili. La rete è fatta "a zone di competenza", ma i punti di confine tra le zone NON si chiamano punti di confine, si chiamano punti di "accoppiamento" (peering)! Il termine stesso la dice lunga sulla differenza di concetto di base.
  • E lo spam? come fare a ridurlo? "That's a good question!". Ma non bastano poche righe in fondo ad una articolo per risolverla. Ogni giorno vengono pubblicati ottimi articoli tecnici, dai gruppi di sicurezza delle varie reti, che se solo venissero adottati nei loro suggerimenti dai gestori di tutte le zone, potrebbero ridurre molto il problema. Il concetto che più si sta sviluppando adesso è quello della "whitelist", la lista degli amici fidati. Ma il discorso è lungo, ci ritornerò un'altra volta.
Claudio Allocchio [bio]
Membro IETF (Internet Engineering Task Force)
Responsabile GARR (Gestione Ampliamento Rete Ricerca) del servizio
sicurezza e dei servizi innovativi per le applicazioni avanzate

Internetworking
Architecture
cctld.it
Allocchio