Ormai molti anni fa, nel 1991, avevo proposto all'IETF - dove vengono creati i
protocolli che fanno funzionare Internet e tutti i suoi servizi, e quindi
proprio il posto dove Internet è stata e viene creata continuamente - di
inserire all'intero del DNS alcune nuove informazioni, che all'epoca servivano a
far parlare meglio tra di loro i servizi di e-mail Internet e quelli basati su
protocolli diversi (allora Internet non era quella che conosciamo adesso, era
solo una delle tante reti separate, ognuna con i propri protocolli e linguaggi
diversi).
Dire "DNS" nel 1991 significava dire Jon
Postel, e dire "toccare
il DNS" singificava convincere Jon che la cosa non avrebbe prodotto problemi
all'allora neonato DNS. "DNS is the Internet itself... when it does not
work, Internet does not work! Are you sure that your proposal does not disrupt
it?" mi disse da dietro la sua barba bianca.
"Il DNS è l'internet stessa!", una frase che è
una verità assoluta, in tutti i sensi: è la base su cui funziona l'interazione
degli umani con la rete (solo pochi sarebbero in grado di usare Internet se
dovessimo scrivere i valori numerici degli indirizzi invece dei nomi a dominio a
cui siamo abituati), è la base dati dove sono contenute le informazioni per
fare arrivare la posta elettronica a destinazione, o per farvi trovare i server
WEB che danno le informazioni cercate. Ma DNS è l'Internet stessa, anche
perché il modo con cui è costruito è il principio fondamentale e di base
dell'Internet stessa: nel DNS io sono responsabile delle informazioni del MIO
pezzo di rete, delle MIE macchine e dei MIEI servizi: solo io posso dare
informazioni (che si chiamano autoritative) sulla mia "zona" di
Internet, e nessun altro ha il diritto e l'autorità di diffondere informazioni
sulla mia zona, ma solo sulla sua.
È Internet, perché Internet' è una collezione di reti
indipendenti, che decidono di parlarsi tra loro, ognuna con i suoi paradigmi,
servizi, regole interne, ma che per fortuna parlano la stessa lingua (i
protocolli stabiliti da IETF) e quindi si capiscono tra di loro.
In questi giorni se ne sono sentite molte sui problemi che sembra avere il DNS.
Ma quello che non si è sentito in giro, è che NON è così dappertutto. Se
sulle reti di alcuni provider sembrano esserci problemi molto grossi, su altre
reti, ad esempio le reti dell'università, dell'educazione e della ricerca
mondiali (ad esmepio il GARR in Italia o Internet2 negli USA), non vi è alcun
problema, così come sulle reti di altri provider che fanno servizio
commerciale.
È fondamentale notare questo fatto: sia perché dimostra che
appunto Internet è una rete di reti, e che ognuna ha la sua situazione
"propria", sia perché fa capire che il luogo dove devono venire
ricercate le fonti del problema non è il DNS in generale, ma quasi sicuramente
il modo con cui il DNS viene "trattato" nelle varie reti.
Semplificando molto, il concetto del funzionamento del DNS è quello che ho
citato prima: io diffondo le informazioni relative alla mia rete, tu quelle
relative alla tua, lui relative alla sua, etc, e poi vi sono dei meccanismi di
"memoria" e "replica" che, per velocizzare il servizio e le
risposte alle richiesta, sono sparsi in modo trasversale su tutta la rete. Ed
ognuno prende dagli altri le informazioni relative alla loro zona di competenza.
Questo è il modo con cui il DNS assicura il funzionamento corretto di tutta
Internet, che - ricordiamo - è figlia diretta di Arpanet, progettata per
resistere ad attacchi di qualsiasi genere.
E come mai allora questi problemi e solo in certe zone della
rete? Ho letto di "effetti del diffondersi di certi virus su certi
provider, che intasano i server DNS con le relative richieste per spedire i
propri mail e replicarsi e diffondersi"... o attacchi mirati contro certi
provider e non altri... ed altri tentativi di spiegazione, che però mi lasciano
abbastanza perplesso.
È vero che ultimamente c'è stata la diffusione di quello mi piace definire
"il virus dell'avvocato". "mi sta mandando spam, se non la smetti
ti faccio causa, ma se usi il programmino antivirus che suggerisce il mio bravo
tecnico informatico ti salvi". Naturalmente il programmino è esso stesso
un virus, e naturalmente l'utente medio, spaventato dalla minaccia di azione
legale, non si cura di controllare che il sito dell'antivirus miracoloso
suggerito è nella Federazione Russa, non è elencato tra alcuno dei programmi
antivirus noti in letteratura e sulla rete, non ha alcun altro link che funziona
se non quello che ti scarica ed installa il virus stesso etc.
Devo ammettere "il miglior virus a combinazione
psicologica-tecnologica che abbia mai visto": congratulazioni alla mente
criminale che lo ha concepito, anche se ovviamente disapprovazione per l'azione
e lo scopo.
È vero che, ad esempio, sulle reti della ricerca è stato
diffuso un allarme all'utenza solo poche ore dopo la comparsa del virus stesso,
con dettagliata spiegazione, mentre da altre parti nessuno ha avvisato l'utenza
del pericolo e dell'inganno (e mi sono domandato perché non esiste una
rubrichetta nei notiziari radio/tv - ed un relativo canale di comunicazione
dedicato tra esperti e giornalisti - dove annunciare subito questo tipo di
problemi alla totalità del pubblico).
Ma, anche se tantissimi utenti di alcuni service provider si fossero presi tutti
il virus, anche sulle altre reti se lo sono presi in molti (gli allarmi
tempesivi riducono l'effetto, ma non lo eliminano), perché il problema è
presente solo in certe zone?
"Sarà un attacco mirato!", dicono. Ma un attacco
mirato di tipo tradizionale ha sorgenti identificabili, e quindi se le sorgenti
sono esterne alla zona, sono filtrabili. Se invece è di tipo diffuso ed ad
autodiffusione (un virus, appunto), perché certe zone non ne subiscono gli
effetti? Perché sono "immuni"?
La spiegazione è forse più semplice di quello che può sembrare: nelle zone
dove non sembrano esserci problemi, il DNS viene ancora configurato, usato e
messo a disposizione dell'utenza esattamente come è nel suo spirito originario,
quello che ho indicato sopra: ognuno diffonde informazioni della propria zona,
ed accetta le informazioni dalla altre zone.
E non vi sono "i server DNS centrali a cui collegarsi", bensì ognuno
si collega al server DNS della propria zona - e ce ne sono migliaia - , o se
preferisce di un altra zona, senza limitazioni o filtri di alcun genere. È
così che il meccanismo stesso del DNS si esprime e funziona al suo meglio, ed
è anche questo l'unico modo con cui il DNS dovrebbe funzionare. Ed in effetti,
il risultato si vede: anche se il virus o altri tipi di attacchi ci sono,
l'effetto è trascurabile sul sistema.
Dove invece i principi fondamentali del DNS, e dell'Internet
in generale quindi, non vengono rispettati, sono insorti i guai. Nelle zone dove
il DNS viene considerato un servizio "centralizzato", dove è
obbligatorio scegliere quei determinati server, dove vi sono filtri per impedire
di accedere a server DNS di altra zone a partire dai propri client, il servizio
va in crisi.
Ma, forse, c'è una ulteriore spiegazione ancora più preoccupante e grave:
nelle zone dove, per un motivo o un altro, si cerca di diffondere informazione
forzosamente modificata - forse dovrei usare il termine fasificata ? - relative
a zone altrui, il problema si manifesta in modo ancora più acuto, in quanto
anche i meccanismi di replica e memoria che rendo tanto solido il DNS non
funzionano più, anzi funzionano a singhiozzo, con informazioni
"sporche" che creano ovvi disservizi a tutti coloro che a quei server
DNS si appoggiano.
Non faccio un discorso di "contenuti e ragioni
etiche", ma solo un discorso tecnico: il DNS non è fatto per subire
forzature, è gerarchico, ma con un sottobosco trasversale ramificatissimo che
lo rende inattaccabile, ma al tempo stesso non è centralizzato o
centralizzabile.
Quindi applicargli paradigmi diversi, o per motivi commerciali ("ti faccio
vedere i miei servizi non quelli della concorrenza") o per motivi di
regolamentazione esterna (si veda il caso dei siti di gioco on-line che non
hanno la licenza valida in Italia o casi analoghi in altri paesi), significa
semplicemente esporre la propria zona (e tutti i propri cilenti) a
vulnerabilità e problemi che possono arrivare, e penso che gli eventi ultimi lo
dimostrino, ad essere incontrollabili da parte dei provider stessi.
Vorrei concludere citando una frase di un mio collega al GARR,
Massimo Carboni:
" ... Internet è libero ... Sperare di mettere delle barriere posticce è
come pretendere di fare una diga in mezzo all'oceano."
La ripete a tutti quelli che incontra... lo aiuto, e la ripeto anche io a voi.
È una verità fondamentale, basata non su un principio morale o altro, ma
anche, e sopratutto sul funzionamento tecnico della rete Internet stessa, DNS
compreso. E la tecnica, non è un'opinione.
In molti mi hanno chiesto anche: "ma d'accordo, come si fa però a
risolvere problemi del genere?". Il mio consiglio è semplice: evitare di
forzare la rete a seguire paradigmi per i quali non è stata costruita.
Un altro consiglio per concludere: evitare di ingabbiare la
rete dentro concetti come "confini", "giurisdizioni" e
simili. La rete è fatta "a zone di competenza", ma i punti di confine
tra le zone NON si chiamano punti di confine, si chiamano punti di
"accoppiamento" (peering)! Il termine stesso la dice lunga sulla
differenza di concetto di base.
E lo spam? come fare a ridurlo?
"That's a good question!". Ma non bastano poche righe in fondo ad una
articolo per risolverla. Ogni giorno vengono pubblicati ottimi articoli tecnici,
dai gruppi di sicurezza delle varie reti, che se solo venissero adottati nei
loro suggerimenti dai gestori di tutte le zone, potrebbero ridurre molto il
problema. Il concetto che più si sta sviluppando adesso è quello della "whitelist",
la lista degli amici fidati. Ma il discorso è lungo, ci ritornerò un'altra
volta.
* Membro dell’IETF
(Internet Engineering Task Force) - Responsabile del servizio sicurezza e dei
servizi innovativi per le applicazioni avanzate del GARR
(Gestione Ampliamento Rete Ricerca) .
|