Tag Archives: dns

UK: Digital Economy Bill

La settimana scorsa il governo inglese ha pubblicato il Digital Economy Bill:

Today, the Bill is published. It is made up of the actions in the Digital Britain Final Report that need primary legislation. That means it covers a really wide range of areas – from digital radio, to copyright reform, to spectrum, and then some – all focused on supporting the nation’s digital future

Le sezioni 18 e 19, in particolare, parlano della gestione dei nomi di dominio (quindi di Nominet). Sono un po’ lunghe, però il concetto è che il governo può nominare il “manager” (credo intenda il CEO) del registry inglese, se creda sia opportuno e, in generale, se pensa che questo abbia “fallito in relazione ai suoi doveri”. Per fallimento si intende:

A relevant failure is serious, for the purposes of this section, if it has adversely affected or is likely adversely to affect

  • the reputation or availability of electronic communications networks or electronic communications services provided in the United Kingdom or a part of the United Kingdom, or
  • the interests of consumers or members of the public in the United Kingdom or a part of the United Kingdom.

In altre parole, se Nominet non si attiva per proteggere l’interesse degli utenti finali di internet il governo potrebbe decidere che Internet non riesce a auto-regolamentarsi e che ha bisogno dell’intervento diretto del governo per funzionare come si deve.

A stretto giro di posta, la risposta di Nominet.

Vedremo come andrà a finire. La sensazione, qui, è che c’é in gioco qualcosa di più dello statuto di un’azienda.

PhD in digital identities

Nel caso qualcuno fosse interessato: PhD studentships at Oxford Brookes University.

Vi segnalo, in particolare, il tema sulle digital identity, che mi vedrà, iin parte, coinvolto. Per informazioni l’email la trovate qui.

Digital Identity
Supervisors: Prof David Duce, Dr Faye Mitchell

In the digital age, the question of what constitutes “identity” becomes ever more complex, and the threat of identity theft continues to alarm. There is a growing literature on the problems of identity management and issues such as trustworthiness and privacy. In the past, solutions based on central authorities have been explored, but the difficulty of reconciling them with a networked world which is completely decentralised by its very nature has led to only partial adoption of these solutions. A practical line of development is by federating heterogeneous identity management frameworks. But there are much deeper research questions that should be addressed: what is a digital identity for Internet users, companies and for other institutions; is a digital identity unique in the Internet or is it only meaningful within a certain scope, such as a geographical locality or a limited time window; how does identity interact with privacy and how is trust defined among identities.

Nuovi domini registrati a nome di Michael Jackson

A proposito, ho scritto un post sul blog di Nominet a proposito di un picco di registrazioni di nomi di domini “.uk” che sfruttano la morte del cantante. Ve lo riporto integralmente.

The day following the death of Michael Jackson, Google published a graph showing that their system were heavily hit by queries related to this news. Details can be found on the Google Official Blog.

Our experiments suggest that Nominet systems experienced an analogous, although orders of magnitude smaller, phenomenon. The following figures show the number of new registrations per hour of domain names that contain the name of Michael Jackson (or part of it) and the number of WHOIS queries that Nominet systems received in the same period.

Michael Jackson Graphs

The two graphs are highly correlated because it is common practice for domain name owners to make WHOIS lookups around the period of time they register new domains. The peak around the 27 of June in the second graph is probably related to news stories concerning suspicions about Michael’s death.  Apparently, it did not lead to an immediate rise in the number of domain name registrations.

We have conducted an informal analysis of the domain names that were registered in the last week. The majority of them belong to three categories: parking pages, commercial pages and commemorative sites such as blogs and forums. At the moment, we have no evidence of domain names used for scam or phishing.

In general, this episode confirms (again) that the dynamics of the Domain Name System follow those of the “real world”. A question that is still partially unanswered is at which degree these dynamics are followed by Internet users, i.e. how much their navigation behaviour depends on news stories. In the following months we plan to study the correlation between DNS data and other public events. Google has done something similar in the past, by correlating Google searches for flu-related terms with the spread of flu in North America. The results are very interesting and definitely merit extension to other data sources such as DNS traffic.

Twitter e identità digitale nei social network

Che succede se qualcuno ti “ruba” l’account su Twitter? Nel momento in cui sto scrivendo, ad esempio, l’account “Microsoft” (http://twitter.com/microsoft) è vuoto e non appartiene all’azienda produttrice di Windows.

Uno “scherzo” come questo, nel campo dei domini internet, si chiama typosquatting (ne avevo già parlato da qualche parte): il nome (trademark) di un’azienda famosa (Microsoft, in questo caso) viene sfruttato per attirare traffico verso un sito o un servizio che con Microsoft non ha niente a che vedere. Il typosquatting non è legale e l’ICANN gestisce i casi dubbin tramite  attraverso l’UDRP.

Twitter è un giochino carino, a volte utile, ma non fondamentale per il funzionamento di Internet. E se un giorno diventasse importantissimo? Sarebbe corretto che l’account Microsoft non fosse assegnato a chi, normalmente, ne avrebbe diritto?

Un anno fa Steve Poland fa incetta di account Twitter con l’intento dichiarato di rivenderli quando avranno acquisito valore. Uultimamente, però, se li vede annullare uno a uno per essere restituiti ai “legittimi proprietari”. Io penso che la decisione sia stata corretta (Steve Poland è solo uno speculatore). In generale, però, Steve ha ragione quando si chiede

I’m just wondering, when does it end? My personal twitter account is STP — are you going to pull that from me when STP (motor oil company) or Stone Temple Pilots comes to you guys and claims trademark infringement? My initials are STP — as in, “Steven Thomas Poland.”

Stiamo parlando di identità digitale: FaceBook, MySpace, Second Life e qualsiasi applicazione Web 2.0 identifica i propri utenti tramite un nickname univoco. A lungo andare, si crea una relazione forte fra utente reale e suo alter ego digitale un po’ come capita già fra un’azienda e il suo marchio. Da qui nascono due problemi importanti e contrapposti:

  1. Il problema della continuità, stabilità e persistenza del doppio virtuale dell’utente. La sicurezza, cioè, che un nickname o un account non venga cancellato, riassegnato e sospeso, magari perché inutilizzato per un certo periodo di tempo o perché richiesto da qualche entità terza che non ne abbia diritto.
  2. Il problema del Yet Another Social Network, il rischio, cioè, che l’identità che è di un utente in un’applicazione (spesso, lo ripeto, consiste di un semplice nickname) sia assegnata (magari anche in modo legittimo) a un altro utente in un’altra applicazione (UPDATE: per l’appunto, qui si parla di Reverse User Name Hijacking)

Esistono delle proposte in questo senso (OpenID, ad esempio) ma, oltre a non essere soluzioni definitive, sono, per ora, gestite da compagnie private, che non è il massimo.

Io credo che il problema dell’identità digitale, con tutti i suoi risvolti tecnici e legali, non sia ancora stato compreso e affrontato adeguatamente e mi chiedo se sia necessario, nel prossimo futuro, iniziare una riflessione di ampio respiro su questo tema (di typosquatting, ad esempio, si parla da anni e ormai c’è anche una certa letteratura legale a riguardo. Ma il problema è ancora lungi dall’essere risolto).

Per ulteriori approfondimenti consiglio la lettura di Social Media User Names Becoming More Like Domain Names apparso su DomainNameNews qualche giorno fa.

Riflessioni su DDOS e reti complesse

Del 2008 Worldwide Infrastructure Security report se ne è parlato brevemente su Repubblica (in questo articolo), ma è stato abbastanza ignorato. Il report è interessante, oltre che molto scorrevole da leggere. Si puo’ scaricare gratuitamente qui (serve registrarsi, ma se mi scrivete una mail ve ne mando una copia).

La notizia più eclatante è sicuramente che l’attacco di tipo Distributed-Denial-of-Service (DDOS) più grande osservato nel 2007 ha consumato 40GB di banda.

Non tutti i service provider sono in grado di reggere un attacco del genere, ma quello che preoccupa è che la rete internet (backbone) è per la maggior parta formata da collegamenti di 10GB. Questo vuol dire che un attacco ben congegnato potrebbe mettere in ginocchio la rete.

Internet è un scale-free network. A fronte di migliaia di nodi (service provider) e link fra di essi (backbone e collegamenti dedicati di vario genere), esiste un numero relativamente basso di nodi, detti hub, che sono fondamentali per garantire la connettività della rete. È un po’ come un social network: la teoria dei “6 gradi di separazione” regge finché quelle persone che “conoscono tutti” rimangono nella rete. Se li togliamo, il social network si trasforma in un “social ocean”, formato da tanti isolotti non comunicanti.

Ecco, per Internet vale lo stesso discorso: un attacco informatico portato a (relativamente) pochi hub puo’ rendere inutilizzabile Internet a un numero molto elevato di ISP (e un numero ancor più elevato di utenti). Alcuni fanno notare come il blackout in Nord America dell’Agosto 2003 sia legato al fallimento di una grossa centrale che agiva da hub per una serie di altre centrali più piccole (appena trovo il riferimento lo aggiungo).

Per rimanere in Italia, date un’occhiata alla rete del GARR che assicura la connettività internet a tutta la penisola: i quattro hub (Milano, Bologna, Roma e Napoli) sono chiaramente visibili ed è altrettanto chiaro come il loro fallimento contemporaneo sarebbe in grado di “spegnere” tutto il paese.

Al lupo, al lupo

Kaminksy docet e il “cattivo esempio” è ripreso da tanti, in buona o in meno buona fede non è dato sapere. Ma cominciamo dall’inizio.

***

A Febbraio/Marzo di quest’anno Dan Kaminsky scopre una falla molto seria nel protocollo del DNS. Il 7 Luglio i maggiori vendor di sistemi operativi rilasciano in contemporanea un upgrade per i loro software. A questo punto, Dan rivela che l’upgrade risolve una gravissima falla del protocollo su cui si basa il DNS, ma si rifiuta di dare ulteriori dettagli fino al 8 Agosto, giorno in cui dovrà presentare la sua ricerca ad una importante conferenza di sicurezza (Black Hat Conference).

Il mondo dell’informatica (e non solo) è in subbuglio, la caccia alla falla comincia e la notorietà di Dan Kaminsky schizza alle stelle. Il segreto tiene solo un paio di settimane, ma Dan, in modo molto ostinato, non conferma nè smentisce fino al giorno della presentazione: aula piena, pubblico attento e riflettori puntati trasformano una noiosa conferenza tecnica in un avvenimento degno di una star.

***

Siamo a Ottobre, la “febbre da falla agostana” si è (finalmente) sopita, ma ha lasciato il segno.

Nel frattempo, Dan Kaminsky si lamenta del trend, da lui stesso cominciato, di gridare “Al Lupo!” senza fornire spiegazioni.

Vint Cerf, IPv6 e IDN

Nonostante le mie rassicurazioni, questo post arriva un po’ in ritardo, e forse anche fuori tempo massimo, dato che Punto Informatico ha già raccontato molto di quello che avrei scritto io. Dovete perdonarmi, ma è appena terminato un week-end di caldo e sole e io l’ho passato ovunque tranne che a casa: se viveste in Inghilterra sapreste cosa vuol dire! 😉

Vint Cerf è l’uomo più elegante dell’ICANN, così me lo avevano descritto e, martedì mattina, ho avuto una mezza conferma, quando, durante la breve visita a Nominet,  ha sfoggiato un abito grigio scuro impeccabile, con gilè e camicia con gemelli.

Segue breve riassunto dell’intervento.

Le maggiori sfide di Internet: IPv6

(PI ne parla in modo abbastanza chiaro qua) Lo spazio di indirizzamento associato a IPv4 si sta esaurendo. Sono 15 anni che si sta esaurendo, ma adesso si sta cominciando a vedere il fondo. Se non ci diamo una mossa, qualcuno potrebbe cominciare a comprare interi range di indirizzi IP al solo scopo di venderli, in un secondo tempo, a prezzi elevati. Se questo dovesse verificarsi, il problema diventerebbe ancor più grande.

Da un punto di vista tecnico non c’è nulla che freni il passaggio a IPv6, alcuni registry sono già pronti, altri lo saranno a breve. Il problema sono gli ISP. Molti non sono ancora pronti al passaggio e preferiscono rimandare il problema piuttosto che investire e risolvere.

La transizione sarà comunque lunga e solo se iniziata per tempo sarà indolore (o quasi). Immaginatevi questo scenario: gli indirizzi IPv4 terminano e nuovi siti (e nuovi ISP) sono costretti ad utilizzare solo IPv6. Si rischia la fragmentazione della rete (fragmentazione fisica).

Le maggiori sfide di Internet: Internationalised Domain Names and gTLD

IDN, cioè la possibilità di registrare un nome di dominio utilizzando caratteri non latini (questo post, in fondo). Nuovi gTLD, cioè la liberalizzazione (o quasi) nella registrazione di nuovi nomi di dominio di primo livello (.it, com, org, etc.). Questo problema ha due aspetti:

  • Sicurezza. Il rischio di phishing aumenta incredibilmente data la quantità di caratteri esistenti.
  • Tecnico. Il carico sui root server aumenterebbe notevolmente. Nella loro configurazione attuale, possono gestire fino a un migliaio di TLD, equivalente a circa tre volte il numero attuale. Se ci fosse un;impennata nel numero di nuovi TLD l’intera infrastruttura potrebbe risentirne.

Il problema più urgente, naturalmente, è quello della sicurezza. È interessante notare che, sebbene l’introduzione di IDN creerebbe diversi problemi, essa è necessaria. Esistono paesi che danno la possibilità agli utenti di utilizzare Internet nella propria lingua. Gli ISP di questi paesi hanno server dedicati alla traduzione delle query per garantire l’interoperabilità con il DNS dell’ICANN.

Sono realtà importanti che non possono essere ignorate e, se il problema non viene risolto, si rischia di andare verso una fragmentazione di Internet (fragmentazione logica).

DNSSEC

Lo sviluppo di DNSSEC è importante, soprattutto alla luce delle recenti vulnerabilità nel DNS. L’ICANN è fortemente influenzato dal governo degli Stati Uniti (volenti o nolenti, questa è la realtà) e difficilmente qualcosa si muoverà sul lato DNSSEC, finché il nuovo governo (indipendentemente da chi vincerà) non si sarà installato (quindi, non prima di Gennaio dell’anno prossimo).

NB: questo non implica un coinvolgimento diretto del Presidente, naturalmente, ma è tutta la macchina decisionale che ruota intorno a Washington che, di fatto, si ferma fino a nuovi ordini.

Censura in Cina

Qualcuno ha chiesto perché Google censura in Cina. Da politico navigato qual è, la sua risposta è stata impeccabile: “preferiamo censurare che noi che far censurare a loro, almeno abbiamo il controllo di quel che succede. Solo la versione .CN è censurata, non quella internazionale. Censuriamo solo l’1% dei siti (vabbé, questa se la poteva risparmiare. se mi censuri la parte alta dei risultati di ricerca è come censurarli tutti)”.

Ha poi concluso ricordando che nessuno dei loro servizi basati in Cina, così le autorità non possono chiedergli i log dei server o i dati personali degli utenti (come fanno i nostri competitor, ha aggiunto…).

Chrome e Google

Spinto da qualche domanda, Vint Cerf ha un po’ parlato di Google Chrome. Niente di particolarmente rilevante.

Non ha detto una parola a proposito del telefonino con Android. A parte che il lancio ufficiale non c’era ancora stato, credo non avesse voglia di imbarcarsi in una raffica di domande senza fine.