Alfonso Maruccia

Gli USA cedono il controllo dei root DNS

Il governo statunitense molla la presa e lascia a ICANN il compito di gestire i server principali del sistema DNS. A sua volta ICANN dovrà mette in piedi una nuova governance globale, possibilmente in maniera equilibrata

Roma - In quello che alcuni hanno già salutato come un momento fondamentale nella storia di Internet, la National Telecommunications and Information Administration (NTIA) del Dipartimento del Commercio USA ha annunciato di voler "consegnare" la gestione dei server DNS a ICANN (Internet Corporation for Assigned Names and Numbers) così sancendo la fine del coinvolgimento (sostanziale e simbolico) del governo statunitense nel controllo dell'infrastruttura centrale della moderna rete telematica mondiale.

ICANN, che negli anni si è progressivamente affrancata dagli States, è in realtà coinvolta direttamente nella gestione del sistema DNS sin dal 1998, anche se tale gestione era svolta sotto contratto governativo con il Dipartimento del commercio. Ora quel contratto svanisce e l'organizzazione californiana sarà la sola responsabile per i server a cui è deputata la traduzione dei nomi di dominio in indirizzi IP.

Dal Dipartimento del Commercio fanno sapere che la necessità di abbandonare la presa sui server DNS, già prevista da tempo, si è trasformata in una vera urgenza a causa delle rivelazioni di Edward Snowden nello scandalo Datagate.
Ora occorre che ICANN riacquisti la fiducia nelle infrastrutture telematiche di base che i documenti sul tecnocontrollo della NSA hanno incrinato in maniera sensibile, con la prospettiva finale di raggiungere una nuova governance internazionale di Internet in cui siano equamente rappresentati tutti gli stakeholder coinvolti.

Obiettivo più che legittimo e meritorio, dice il ministro delle comunicazioni australiano Malcolm Turnbull facendo eco a quanto invocato di recente dalle istituzioni europee, anche se a suo modo di vedere ICANN non è ancora pronta per svolgere a dovere il compito. L'importante, sostiene Turnbull, è che al governo USA non si sostituisca un suo succedaneo come l' International Telecommunication Union, agenzia che fa capo alle Nazioni Unite e rischia di essere condizionata dai conflitti e dagli interessi che vi regnano.

<€em>Alfonso Maruccia
Notizie collegate
  • AttualitàITU, a Dubai è un mezzo flopGli USA si sfilano dalla ratifica finale, seguiti da UK e Canada. Ma il controverso documento proposto dall'agenzia ONU viene approvato. La sua importanza viene ridimensionata: resta in ballo la questione di come arginare le manie di tecnocontrollo
  • AttualitàInternet, l'Europa vuole una governance globaleDa Bruxelles arrivano nuovi segnali di insofferenza per lo strapotere degli USA nel controllo di Internet. I netizen non hanno più fiducia nella Rete a causa del Datagate, dice la UE, e tale fiducia va ripristinata per il futuro
19 Commenti alla Notizia Gli USA cedono il controllo dei root DNS
Ordina
  • L'ideale sarebbe sviluppare un sistema DNS P2P , cosa non certo facile
    ma non impossibile.
    non+autenticato
  • contenuto non disponibile
  • - Scritto da: unaDuraLezione
    > - Scritto da: lorenzo
    > > L'ideale sarebbe sviluppare un sistema DNS
    > P2P
    > ,
    > > cosa non certo facile
    >
    >
    > mah.. grosso modo funzionano già così i DNS, è
    > vero che è gerarchico, ma il DB è comunque
    > distribuito. La differenza è che alcune macchine
    > hanno l'authority su determinati
    > domini.
    > Senza il meccanismo dell'authority in uno
    > scenario completamente P2P i malwiventi
    > (neologismo mio) avrebbero possibilità di
    > dirottare i
    > navigatori.

    I navigatori che non vogliono essere dirottati basta che abbiano il loro DNS...

    Il fatto che il DB sia distribuito è proprio la tua miglior garanzia...

    Che oltretutto se non hai domini tuoi è leggerissimo.
    Puoi permetterti di farlo girare su macchine di potenza e risorse infime (anche embedded).
    La installazione poi è questione di 5 minuti.
    non+autenticato
  • Esiste si chiama namecoin. Bisogna vedere se prenderà piede.
    non+autenticato
  • - Scritto da: urca
    > Esiste si chiama namecoin. Bisogna vedere se
    > prenderà
    > piede.
    esiste che?
    Io sto parlando del normalissimo DNS.
    che "ha preso piede" da un pezzo!
    Sei sicuro di sapere come funziona?
    non+autenticato
  • ho sbagliato a commentare, volevo rispondere all'utente che chiedeva di un ipotetico sistema dns p2p
    non+autenticato
  • il problema è che quei dati bisogna aggiornali, in questo caso lasciando che i peer comunichino

    ad occhio potrebbe diventare un problema nei seguenti casi:

    1. il poisoning diventerebbe più facile??
    2. ipv6 con i suoi millemila miliardi di indirizzi ip porterebbe ad una parallela esplosione demografica dei nomi di dominio? a quel punto questi database diventerebbero grandi quanto?
    non+autenticato
  • - Scritto da: collione
    > il problema è che quei dati bisogna aggiornali,
    > in questo caso lasciando che i peer
    > comunichino
    >
    > ad occhio potrebbe diventare un problema nei
    > seguenti
    > casi:
    >
    > 1. il poisoning diventerebbe più facile??
    > 2. ipv6 con i suoi millemila miliardi di
    > indirizzi ip porterebbe ad una parallela
    > esplosione demografica dei nomi di dominio? a
    > quel punto questi database diventerebbero grandi
    > quanto?

    Appunto c'è un motivo se nel DNS il DB è gerarchicamente distribuito (ciascuno tiene il suo e solo il suo) .

    Il DNS va benissimo così come sta!

    Ammesso (e non concesso) che tu volessi cambiare (o anche aggiungere o togliere) qualcosa dall'elenco dei root servers (che N.B. stanno sulla tua cache locale) puoi sempre farlo.

    Certo per farlo devi trovare un numero sufficiente di persone che facciano la stessa cosa altrimenti non ha senso.

    Ma potresti ipoteticamente fondare "ICANN2 la vendetta" e assieme ai tuoi accoliti usare sia ICANN sia "ICANN2 la vendetta" e tutto funzionerebbe perfettamente l'unico limite è quanti insieme a te condividono "ICANN2 la vendetta" ma lo stesso vale ovviamente anche per la vera ICANN.
    In un giorno ipotetico in cui tutti decidessimo che non ci serve più ICANN e ci piace di più "ICANN2 la vendetta" nessuno potrebbe impedirti di farlo!

    Internet è solo un fatto di convenzione "condivide" (un protocollo, un RFC, una regola) solo chi decide di farlo!

    Se non lo fai non lo fai... mica succede nulla!

    Semplicemente la convenzione non si applica a te e agli altri come te... siete fuori da quella convenzione (per vostra sola scelta).

    Ma vale anche il contrario..

    Ovvero se N persone (comunità o individui) scrivono una regola e decidono di seguirla avranno come risultato la rete e le regole che hanno deciso di seguire.
    Ne più ne meno!
    Cosi funziona IETF (che fa la redazione degli RFC) ... anche tu se vuoi puoi essere un IETFer...

    Così funziona la rete fin dalla sua nascita.
    non+autenticato
  • - Scritto da: collione
    > il problema è che quei dati bisogna aggiornali,
    > in questo caso lasciando che i peer
    > comunichino
    >
    > ad occhio potrebbe diventare un problema nei
    > seguenti
    > casi:
    >
    > 1. il poisoning diventerebbe più facile??

    Ma realizzarlo richiederebbe un numero di rogue pari ad almeno il 30% dei nodi "onesti" ... e nodi rogue ben distribuiti nello spazio di indirizzamento, che per forza di cose equivale a distribuirli nel territorio e quindi ai relativi costi di distribuzione.

    > 2. ipv6 con i suoi millemila miliardi di
    > indirizzi ip porterebbe ad una parallela
    > esplosione demografica dei nomi di dominio? a
    > quel punto questi database diventerebbero grandi
    > quanto?

    Poco più di 2 kilobytes per 2^128 indirizzi IPv6 (cfr. Netsukuku) ... certo ... poi Cisco non potrebbe più vendere moduli DDR custom da pochi centesimi, per migliaia di euro perché non ve ne sarebbe necessità. E così tutti gli altri buffoni di mercato. Però il DB dei nomi di dominio oltre ad essere distribuito sarebbe anche ridondato e hashato per controllo autenticità... qualcuno qui sopra ha già citato namecoin.

    Stiamo a vedere che combina ICANN; qualunque cosa diversa da Netsukuku/namecoin e' subottimale rispetto al sistema precedente a quello attualmente in uso (quello cioè che intorno al 2001 ha rimpiazzato la vecchia "ICANN at large").
  • contenuto non disponibile
  • - Scritto da: unaDuraLezione
    > - Scritto da: mik.fp
    >
    > > Ma realizzarlo richiederebbe un numero di
    > rogue
    > > pari ad almeno il 30% dei nodi "onesti" ...
    >
    > Stai guardando la statistica dal punto di vista
    > sbagliato: in realtà bastano pochi nodi e molta
    > sfiga da parte del
    > navigatore.
    > E se i navigatori sono un miliardo, la sfiga
    > arriva di sicuro a qualcuno senza che ne abbia
    > colpa.

    Parlavo di "abbattere la rete" (e quindi manipolare elezioni, far fallire banche e aziende, o semplicemente interromperne i servizi). Grandi numeri.

    E di reti quantomeno eterogenee (wireless mesh e cavo); in quel caso il rogue deve per lo meno spostare le chiappe nelle tue vicinanze; non e' un militare comodamente seduto a 800km da te, nella base di Vicenza, ne' un ragazzino cinese superdotato che ti fotte la carta di credito dall'Alabama. Mi dirai che anche scorgendo un furgoncino sospetto sotto casa tua non andresti comunque a prendere a brutto muso un militare... ma per lo meno lo rilevi ed escogiti qualcosa.

    Il singolo purtroppo e' comunque vulnerabile indipendentemente dall'architettura della rete e dei suoi servizi fondamentali: se ti mettono in mezzo, in un qualunque contesto, che perdi tutto o solo qualcosa, sei fottuto a priori. Abbiamo tutti un po' paura o quantomeno preoccupazione, ma ... voglio dire ... se stai a pensare a tutto quello che ti può succedere ogni giorno, lascia stare, suicidati ... così eviti perfino che ti cada una meteorite in testa.
    Questo e' un altro genere di problema che al giorno d'oggi, nonostante l'ostinazione a centralizzare tutto con la complessità insostenibile, i costi fuori portata per i più, e la sostanziale assenza di diritti, si verifica perfino con maggiore frequenza. E' il "buco analogico". Basta un intelligentone che incorpora nei codici legali un aspetto della nostra vita che non dovrebbe essere normato, o un agente che ti ignora dando per scontato che devi vivere come lui... che sei fottuto; e questo senza arrivare alle vere e proprie frodi, estorsioni, etc.
    Decenni di costose procedure tese a razionalizzare e sterilizzare tutto non hanno fatto altro che rendere più semplice aggredire i singoli individui.

    L'errore e' esattamente cercare la certezza matematica in termini astratti prima di iniziare ad implementarla. E questi risultati non li hai solo sul fronte della sicurezza; e' grossomodo una costante per tutta una serie di classi di problemi ... guarda le reti neurali ... la logica sfumata ...
  • L'abbronzatissimo è veramente comico!A bocca aperta
    non+autenticato
  • ... è solo che ormai ci bastano e avanzano le backdoor che abbiamo sia sui server dns che -- soprattutto -- sui router dei nodi principali e dei collegamenti fibra: controlliamo tutto lo stesso
    - nsa
    non+autenticato
  • - Scritto da: king volution
    > ... è solo che ormai ci bastano e avanzano le
    > backdoor che abbiamo sia sui server dns che --
    > soprattutto -- sui router dei nodi principali e
    > dei collegamenti fibra: controlliamo tutto lo
    > stesso
    > - nsa
    Certo come no..
    pure sul mio DNS c'è la backdoor
    Sono onnipotenti !
    A bocca aperta
    non+autenticato
  • - Scritto da: tucumcari
    > - Scritto da: king volution
    > > ... è solo che ormai ci bastano e avanzano le
    > > backdoor che abbiamo sia sui server dns che --
    > > soprattutto -- sui router dei nodi principali e
    > > dei collegamenti fibra: controlliamo tutto lo
    > > stesso
    > > - nsa
    > Certo come no..
    > pure sul mio DNS c'è la backdoor
    > Sono onnipotenti !
    > A bocca aperta

    Miscredente. Se hai un parassita sul socket ... il traffico e' sniffato in toto, dal dns al tipo di porno che ti arrapa di più: pensa che bello, l'analista NSA che si fa una sega in contemporanea con te. Peccato che non te lo comunichi... sarebbe più porco e quindi soddisfacente (per chi piace tale pratica).

    Non serve piazzare backdoor nei singoli demoni quando puoi avere tutta la macchina. Ed e' ancora più semplice farlo se impieghi una connessione "a filo" (rame o fibra che sia) per questioni fisiche e geometriche ineliminabili; oppure connessioni wireless tradizionali (ie: non ad-hoc/mesh).

    Quindi si, a meno che tu non viva immerso in un territorio dove c'e' una concentrazione sufficiente di individui che curano personalmente la propria connettività (ie: l'ultimo miglio me lo faccio io, per il resto micropeering e cifratura end-to-end a tutela delle mie necessità nomadiche e mobili), l'NSA controlla tutto.
    L'attuale problema principale e' che i governi sono più preoccupati di spiarti, e denunciarti se provi a tutelarti dal loro spionaggio, che a garantirti l'integrità degli strumenti disponibili in commercio imponendo ai produttori (e alle telecom) tutte le feature di sicurezza di cui sopra. Solo per farti un esempio: il governo italiano ha imposto alle telecom l'obbligo di garantire le intercettazioni piuttosto che l'obbligo di renderle impossibili (a meno di costose operazioni ad altissimo contenuto tecnologico).

    Quindi ridi poco.