- Ormai molti
anni fa, nel 1991, avevo proposto all'IETF - dove vengono creati i protocolli
che fanno funzionare Internet e tutti i suoi servizi, e quindi proprio
il posto dove Internet è stata e viene creata continuamente - di
inserire all'intero del DNS alcune nuove informazioni, che all'epoca servivano
a far parlare meglio tra di loro i servizi di e-mail Internet e quelli
basati su protocolli diversi (allora Internet non era quella che conosciamo
adesso, era solo una delle tante reti separate, ognuna con i propri protocolli
e linguaggi diversi).
- Dire "DNS"
nel 1991 significava dire Jon Postel, e dire "toccare il DNS"
singificava convincere Jon che la cosa non avrebbe prodotto problemi all'allora
neonato DNS.
- "DNS is
the Internet itself... when it does not work, Internet does not work! Are
you sure that your proposal does not disrupt it?" mi disse da dietro
la sua barba bianca.
- "Il DNS
è l'internet stessa!", una frase che è una verità
assoluta, in tutti i sensi: è la base su cui funziona l'interazione
degli umani con la rete (solo pochi sarebbero in grado di usare Internet
se dovessimo scrivere i valori numerici degli indirizzi invece dei nomi
a dominio a cui siamo abituati), è la base dati dove sono contenute
le informazioni per fare arrivare la posta elettronica a destinazione,
o per farvi trovare i server WEB che danno le informazioni cercate.
- Ma DNS è
l'Internet stessa, anche perché il modo con cui è costruito
è il principio fondamentale e di base dell'Internet stessa: nel
DNS io sono responsabile delle informazioni del MIO pezzo di rete, delle
MIE macchine e dei MIEI servizi: solo io posso dare informazioni (che si
chiamano autoritative) sulla mia "zona" di Internet, e nessun
altro ha il diritto e l'autorità di diffondere informazioni sulla
mia zona, ma solo sulla sua.
- È Internet,
perché Internet' è una collezione di reti indipendenti, che
decidono di parlarsi tra loro, ognuna con i suoi paradigmi, servizi, regole
interne, ma che per fortuna parlano la stessa lingua (i protocolli stabiliti
da IETF) e quindi si capiscono tra di loro.
- In questi giorni
se ne sono sentite molte sui problemi che sembra avere il DNS. Ma quello
che non si è sentito in giro, è che NON è così
dappertutto. Se sulle reti di alcuni provider sembrano esserci problemi
molto grossi, su altre reti, ad esempio le reti dell'università,
dell'educazione e della ricerca mondiali (ad esmepio il GARR in Italia
o Internet2 negli USA), non vi è alcun problema, così come
sulle reti di altri provider che fanno servizio commerciale.
- È fondamentale
notare questo fatto: sia perché dimostra che appunto Internet è
una rete di reti, e che ognuna ha la sua situazione "propria",
sia perché fa capire che il luogo dove devono venire ricercate le
fonti del problema non è il DNS in generale, ma quasi sicuramente
il modo con cui il DNS viene "trattato" nelle varie reti.
- Semplificando
molto, il concetto del funzionamento del DNS è quello che ho citato
prima: io diffondo le informazioni relative alla mia rete, tu quelle relative
alla tua, lui relative alla sua, etc, e poi vi sono dei meccanismi di "memoria"
e "replica" che, per velocizzare il servizio e le risposte alle
richiesta, sono sparsi in modo trasversale su tutta la rete. Ed ognuno
prende dagli altri le informazioni relative alla loro zona di competenza.
Questo è il modo con cui il DNS assicura il funzionamento corretto
di tutta Internet, che - ricordiamo - è figlia diretta di Arpanet,
progettata per resistere ad attacchi di qualsiasi genere.
- E come mai allora
questi problemi e solo in certe zone della rete? Ho letto di "effetti
del diffondersi di certi virus su certi provider, che intasano i server
DNS con le relative richieste per spedire i propri mail e replicarsi e
diffondersi"... o attacchi mirati contro certi provider e non altri...
ed altri tentativi di spiegazione, che però mi lasciano abbastanza
perplesso.
- È vero
che ultimamente c'è stata la diffusione di quello mi piace definire
"il virus dell'avvocato". "mi sta mandando spam, se non
la smetti ti faccio causa, ma se usi il programmino antivirus che suggerisce
il mio bravo tecnico informatico ti salvi". Naturalmente il programmino
è esso stesso un virus, e naturalmente l'utente medio, spaventato
dalla minaccia di azione legale, non si cura di controllare che il sito
dell'antivirus miracoloso suggerito è nella Federazione Russa, non
è elencato tra alcuno dei programmi antivirus noti in letteratura
e sulla rete, non ha alcun altro link che funziona se non quello che ti
scarica ed installa il virus stesso etc. Devo ammettere ... "il miglior
virus a combinazione psicologica-tecnologica che abbia mai visto":
congratulazioni alla mente criminale che lo ha concepito, anche se ovviamente
disapprovazione per l'azione e lo scopo.
- È vero
che, ad esempio, sulle reti della ricerca è stato diffuso un allarme
all'utenza solo poche ore dopo la comparsa del virus stesso, con dettagliata
spiegazione, mentre da altre parti nessuno ha avvisato l'utenza del pericolo
e dell'inganno (e mi sono domandato perché non esiste una rubrichetta
nei notiziari radio/tv - ed un relativo canale di comunicazione dedicato
tra esperti e giornalisti - dove annunciare subito questo tipo di problemi
alla totalità del pubblico).
- Ma, anche se
tantissimi utenti di alcuni service provider si fossero presi tutti il
virus, anche sulle altre reti se lo sono presi in molti (gli allarmi tempesivi
riducono l'effetto, ma non lo eliminano), perché il problema è
presente solo in certe zone?
- "Sarà
un attacco mirato!", dicono. Ma un attacco mirato di tipo tradizionale
ha sorgenti identificabili, e quindi se le sorgenti sono esterne alla zona,
sono filtrabili. Se invece è di tipo diffuso ed ad autodiffusione
(un virus, appunto), perché certe zone non ne subiscono gli effetti?
Perché sono "immuni"?
- La spiegazione
è forse più semplice di quello che può sembrare: nelle
zone dove non sembrano esserci problemi, il DNS viene ancora configurato,
usato e messo a disposizione dell'utenza esattamente come è nel
suo spirito originario, quello che ho indicato sopra: ognuno diffonde informazioni
della propria zona, ed accetta le informazioni dalla altre zone.
- E non vi sono
"i server DNS centrali a cui collegarsi", bensì ognuno
si collega al server DNS della propria zona - e ce ne sono migliaia - ,
o se preferisce di un altra zona, senza limitazioni o filtri di alcun genere.
- È così
che il meccanismo stesso del DNS si esprime e funziona al suo meglio, ed
è anche questo l'unico modo con cui il DNS dovrebbe funzionare.
Ed in effetti, il risultato si vede: anche se il virus o altri tipi di
attacchi ci sono, l'effetto è trascurabile sul sistema.
- Dove invece
i principi fondamentali del DNS, e dell'Internet in generale quindi, non
vengono rispettati, sono insorti i guai. Nelle zone dove il DNS viene considerato
un servizio "centralizzato", dove è obbligatorio scegliere
quei determinati server, dove vi sono filtri per impedire di accedere a
server DNS di altra zone a partire dai propri client, il servizio va in
crisi.
- Ma, forse, c'è
una ulteriore spiegazione ancora più preoccupante e grave: nelle
zone dove, per un motivo o un altro, si cerca di diffondere informazione
forzosamente modificata - forse dovrei usare il termine fasificata ? -
relative a zone altrui, il problema si manifesta in modo ancora più
acuto, in quanto anche i meccanismi di replica e memoria che rendo tanto
solido il DNS non funzionano più, anzi funzionano a singhiozzo,
con informazioni "sporche" che creano ovvi disservizi a tutti
coloro che a quei server DNS si appoggiano.
- Non faccio un
discorso di "contenuti e ragioni etiche", ma solo un discorso
tecnico: il DNS non è fatto per subire forzature, è gerarchico,
ma con un sottobosco trasversale ramificatissimo che lo rende inattaccabile,
ma al tempo stesso non è centralizzato o centralizzabile.
- Quindi applicargli
paradigmi diversi, o per motivi commerciali ("ti faccio vedere i miei
servizi non quelli della concorrenza") o per motivi di regolamentazione
esterna (si veda il caso dei siti di gioco on-line che non hanno la licenza
valida in Italia o casi analoghi in altri paesi), significa semplicemente
esporre la propria zona (e tutti i propri cilenti) a vulnerabilità
e problemi che possono arrivare, e penso che gli eventi ultimi lo dimostrino,
ad essere incontrollabili da parte dei provider stessi.
- Vorrei concludere
citando una frase di un mio collega al GARR, Massimo Carboni: " ...
Internet è libero ... Sperare di mettere delle barriere posticce
è come pretendere di fare una diga in mezzo all'oceano." La
ripete a tutti quelli che incontra... lo aiuto, e la ripeto anche io a
voi.
- È una
verità fondamentale, basata non su un principio morale o altro,
ma anche, e sopratutto sul funzionamento tecnico della rete Internet stessa,
DNS compreso.
- E la tecnica,
non è un'opinione. In molti mi hanno chiesto anche: "ma d'accordo,
come si fa però a risolvere problemi del genere?". Il mio consiglio
è semplice: evitare di forzare la rete a seguire paradigmi per i
quali non è stata costruita.
- Un altro consiglio
per concludere: evitare di ingabbiare la rete dentro concetti come "confini",
"giurisdizioni" e simili. La rete è fatta "a zone
di competenza", ma i punti di confine tra le zone NON si chiamano
punti di confine, si chiamano punti di "accoppiamento" (peering)!
Il termine stesso la dice lunga sulla differenza di concetto di base.
- E lo spam? come
fare a ridurlo? "That's a good question!". Ma non bastano poche
righe in fondo ad una articolo per risolverla. Ogni giorno vengono pubblicati
ottimi articoli tecnici, dai gruppi di sicurezza delle varie reti, che
se solo venissero adottati nei loro suggerimenti dai gestori di tutte le
zone, potrebbero ridurre molto il problema. Il concetto che più
si sta sviluppando adesso è quello della "whitelist",
la lista degli amici fidati. Ma il discorso è lungo, ci ritornerò
un'altra volta.
| Claudio Allocchio
[bio] |
| Membro IETF
(Internet Engineering Task Force) |
| Responsabile
GARR (Gestione Ampliamento Rete Ricerca) del servizio |
| sicurezza e
dei servizi innovativi per le applicazioni avanzate |
|
