Den stora DNS-splitten

Det kanske har undgått ganska många, men genom det amerikanske lagförslaget COICA, ”Combating Online Infringements and Counterfeits Act”, så har internet sakta men säkert börjat spricka upp.

Anledningen till detta är att man har börjat ge sig på internets domännamn, alltså DNS-systemet. Det började med att 70 sajter togs bort ur det globala DNS-systemet. Till exempel louis-vuitton-outlet-store.com ansågs vara en önskad sajt för piratkopierade skor (eller väskor), och klickar man på den kommer man till ett spärrmeddelande (ser ni likheten med bilden längst upp).

Problemet är nu att detta inte handlar om ett lokalt spärrfilter, som exempelvis det svenska barnporrfiltret som ju installeras hos en majoritet av internetoperatörer. COICA och de amerikanska domstolarna gör sina ändringar i DNS-systemets rotservrar, vilket medför att domännamnen tas bort globalt.

Vän av ordning tänker: Hur kan detta komma sig? Hur kan ett land ha så mycket makt på internet? Svaret är – det har de egentligen inte. Internet är ett distribuerat nätverk, och det är bara av lathet och lydnad som vi har råkat centralisera funktionen av domännamn till ett lands juridiska territorium.

Så vad gör man då? Skriva brev till Obama är nog ganska dödfött. Ladda sin Low Orbit Ion Cannon skapar nog mest irritation.

Svaret är istället att man bygger sina egna DNS-serverar. Just nu håller Telecomix på att uppgradera dns.telecomix.org så att våra autonoma DNS-servrar ”reparerar” den skada som censuren (eller vad man ska kalla det) åsamkar. Det är ju inte så att man egentligen bryr sig så mycket om fejkade Louis Vuittonskor eller att något bittorrent-index tas ned. Utan faran ligger redan inbyggd i centraliseringen som finns idag. ICANN och USA har failat. Deras system funkar inte längre som det borde, och då gäller det att vi bygger upp alternativa system som kan se till att nätet funkar.

DNS kan lösas på många sätt. Egentligen handlar det bara om att lite text ska distribueras till flera datorer; ett domännamn ska peka på ett IP-nummer. Det är väldigt basic, med andra ord. Att sätta upp flera alternativa servrar är en lösning. Man kan även tänka sig att DNS-information sprids peer-to-peer, ungefär som i I2P-darknätet.

Så, när allt kommer omkring var det kanske bra att COICA kom på tapeten. Det skapar så småningom bättre nät helt enkelt, genom att flera aktörer distribuerar makt längre ut i noderna.

För den som vill hjälpa till att hacka på telecomix DNS-lösning är det bara att dyka upp i kanalen #dns på irc.telecomix.org (även next level webchat finns).

Uppdatering: Det gick rykten om att det hela potentiellt sett var en avancerad bluff (for the lulz), vilket i sig hade varit bra på sätt och vis. Dock verkar det som att myndigheten ICE bekräftar att de tagit bort de sjuttio domänerna. Se även idg.se.

Uppdatering 2: Torrentfreak har ytterligare detaljer och även en lista på de nu 82 domänerna i det fruktansvärda (stängda) flashformatet ”Scribd”. Den som befriar den till något riktigt textformat är en hjälte!

Uppdatering 3: Ett annat projekt, p2p-dns, skriver IDG om. Antar att den stora splitten drar allt närmare. And I like it!

21 reaktioner till “Den stora DNS-splitten”

  1. Undrar hur våra myndigheter tänker kring den här typen av attacker. Kan vi förväntas oss någon reaktion från FRA, SITIC eller Myndigheten för samhällsberedskap? Finns beredskap inför den dag då en främmande stat gör kaos med DNS-systemet?

  2. Nils: Ja, om man nu tycker att DNS är samhällsbärande infrastruktur, så vore det kanske inte så dumt att man gjorde något åt hur sårbart det är idag. En stat, som dessuom gillar att kriga konstant, kanske inte är så pålitlig.

    Melpomene: Om det är en hoax är den helt grymt bra genomförd! Och dessutom för en bra sak, då det redan byggs alternativ. Vi får väl se 😀

  3. Jag tror tyvärr inte att det är en hoax, även om det hela ser rätt skumt ut. Om det är en hoax så är den väldigt elaborat. Whois säger att bakom domänen ”seizedservers.com” står immixGroup, och de har faktiskt fått uppdrag av ICE:

    http://www.immixgroup.com/news/pr_display.cfm?ID=117

    Det är snarare så att hela systemet är så på dekis att man kan köra stora artilleriet och gå direkt till ICANN för att få ner larviga hemsidor som säljer piratkopierade väskor. Hur lång tid tar det innan de tar över wikileaks-domänerna?

  4. Hur kan du lösa detta problem med en egen DNS? Det är väldigt oklart vad du menar.

    Om du lyckas prenumerera på tillförlitlig information om vilka domäner som tvångsförflyttats, vilket är svårt nog i praktiken, så kan du publicera den gamla informationen auktoritativ. Men hur administrerar den rättmätige ägaren sin information hos dig?

    Vad gör du när domänen slutligen avregistrerats och sedan omregistrerats hos icann? Vems information publicerar du då?

    Det känns inte riktigt som man tänkt färdigt här. Detta problem vore intressant att lösa men det ter sig långt ifrån lika enkelt som du får det att låta.

  5. Pontus: Några av wikileaks domäner har tidigare drabbats av detta, men det är ju enbart ett fåtal som ligger under toppdomäner kontrollerade av icann.

  6. Jonas: Det är inte enkelt. Chrisk skriver ju till och med ‘netsplit’ i rubriken. Vad som kan ske är att vi hamnar i ett läge med konkurerande DNS:er. I ett sådant läge blir det spännande att se var de facto root-servern kommer att hamna. Förresten, är det första April allaredan?

  7. Jonas: ingenting är enkelt. Men det är heller inte jättesvårt. Just nu bygger vi ett slags användargenererat system för ”lost domains”, alltså så att man ska kunna rapportera in saker som försvinner, och sedan reparera DNSerna. Allt är mitt i görningen, och jag ska försöka rapportera här på bloggen fortlöpande så mycket det går.

    Men att skala upp DNS-servrar är inte helt enkelt, nej.

    Och konkurrensen… blir minst sagt intressant. Kommer majoriteten att inte bry sig, eller kommer framförallt nedstängningar av peer to peer-sajter att leda till en ”great divide” på internets namespace. Den som lever får se!

  8. Jonas: hela DNS-systemet hänger väl på ICANN? Menar du att de inte ens på uppdrag av homeland security kan peta i ex. .se-domäner?

    Idealet vore ju om systemet var helt decentraliserat och ägarskap av en domän bara baserades på att man signat den med en PGP-nyckel eller något åt det hållet, och att man hann först. En hierarkisk struktur kommer alltid att manipuleras.

  9. Pontus: Jag tror att den föreslagna och nästan genomdrivna COICA säger att det måste påverka försäljning i USA för att man ska få dra in. En .se-domän som säljer piratkopierade skor bara till Sverige skulle nog inte räknas in. Men om man skeppade till USA… så kanske.

    Oavsett vilket känns hela systemet väldigt instabilt och som upplagt för missbruk.

    Yes. Telecomix jobbar på ett sätt där man kryptografiskt kan signera domäninnehav, så att man undviker att ”skriva över” rättmätiga ägare. Exakt hur detta kommer att fungera vet jag inte riktigt än 😀

  10. Du nämner ICANN, men inte Verisign. Varför det? ICANN administrerar root-domänen (”.”) och delegerar toppdomäner (TLD) till olika registraturer (bland annat .COM och .NET till Verisign), men har inte direkt med subdelegeringen av enskilda domäner att göra. Såvitt jag kan se har ICE kunnat vända sig direkt till Verisign med sin domstolsorder, utan att blanda in ICANN.

    Skillnaden är i vissa avseenden akademisk, eftersom både Verisign och ICANN har säte i USA och därför båda blir tvungna att rätta sig efter en amerikansk domstolsorder. Det vore dock tekniskt mer sofistikerat (och därmed riskabelt) för ICE att ge sig på en SE-domän via ICANN, för det betyder i praktiken att ICANN måste dra tillbaka delegeringen av hela .SE, eller åtminstone hota med att göra det, för att tvinga fram en ändrad subdelegering. Vi har inte sett det hända än, och om det händer så lär det skapa helt nya problem att peka på.

    Verisign administrerar miljontals domäner. Att 77 av dem byter ägare på ett regelvidrigt sätt är en struntsak i sammanhanget.

    Som sagt, frågan är delvis akademisk därför att vi inte kan ändra på 77 domänposter hos Verisign utan att ändra på två TLD-poster hos ICANN, och alltså ersätta samtliga root-servrar med våra egna. Likafullt är det angeläget att hålla isär nivåerna för att visa vilka registraturer vi fortfarande hyser förtroende för. Att vi fråntar ICANN förtroendet för delegeringen till Verisign innebär ju inte att vi exempelvis vill beröva också IIS kontrollen över .SE, utan vår version av root-zonen måste förstås tills vidare innehålla samma TLD-delegeringar som ICANN har utfärdat i övrigt, .COM och .NET undantagna. Om vi inte garanterar detta, då minskar drastiskt chanserna att vinna ”allmänhetens” förtroende för denna alternativa DNS-root, särskilt utanför USA där beroendet av .COM inte är lika stort.

    Jag betraktar .COM och .NET som förlorat territorium, så länge de administreras av Verisign som bevisligen låter sig dompteras av amerikanska kängurudomstolar. Därför är min avsikt att i möjligaste mån bojkotta alla subdomäner till dessa; jag kan helt enkelt inte lita på att den som använder en .COM-domän verkligen är den domännamnet vill hävda. Det gäller även TELIA.COM, som mycket väl kan ha tagits över av amerikanska myndigheter – vad vet jag? Jag letar därför nu efter en svensk bredbandsoperatör som kan ge min personliga IP-adress en bakåtuppslagning till något annat än en .COM-domän. Konkreta tips välkomnas!

  11. Scribd-dokumentet som är inbäddat på Torrentfreak tillåter ju nedladdning av PDF. Då kan jag inte se det som sämre än att lägga upp en PDF på valfri hostingsida.
    Men den som lägger upp något på Scribd kan också välja att inte möjliggöra nedladdning. Det diskuteras just nu här.

  12. Rasmus: Ah, jag missade det. Jag har fått sådana ryggradsreflexer av alla dessa inbäddningar att jag inte ens såg att man kunde ladda ned, utan genast övergick alla mina synapser i aggression och ragequit.

    Men… ändå.. att lägga en lista som pdf är ett oskick. Varför inte som en textfil som man genast kan börja arbeta med liksom.

  13. Sen kan jag också börja ranta om hur Flash är ett oskick, men det är kanske att överdriva min öppenhetsfanatism en smula för mycket 🙂

    (Hursomhelst, flash funkar knappt alls på den mycket obskyra kombinationen PowerPC-arkitektur och Debian Linux. Kanske är jag rätt ensam om denna kombination).

  14. Pontus: Precis så menar jag. SE-domänen drivs i Sverige under svensk lag. Att återkalla toppdomäner har enbart hänt i mycket speciella fall. Att hela länder har fallit har inte varit skäl nog att dra tillbaka toppdomäner.

    Det är dock så att alla som driver en rotserver skulle i teorin kunna börja ändra resultet med filtrerade namnuppslagningar som följd. Men även dessa är spridda över hela världen i olika jurisdiktioner. Jag tror dessutom inte att det är praktiskt genomförbart.

    Det som ligger närmast till hands vore att tvinga alla som resolvar domännamn åt sina kunder att filtrera svaren. Så går det till i Kina, Danmark och andra censurerande nationer. Men det skulle endast få till följd att amerikanska bredbandskunder inte skulle nå svenska siter, och det skulle gå att kringgå på precis samma sätt som kineser och danskar gör.

    Så DNS-systemet är hyfsat stabilt och inte fullt så känsligt för politiskt fiffel som man kanske först kan tro. Att amerikanska intressen pillar i amerikanska domännamn är inget vi kan påverka men än att visa vårt missnöje.

    Christopher: Jag saknar en diskussion om alla tidigare alternativa DNS-rötter som har funnits (och var någorlunda populära på 90-talet, till exempel alternet) och varför de inte finns kvar. Man måste minst lösa samma frågor som de gjorde.

    Min misstanke är att utan en enad rot faller tilliten till DNS och då faller också systemet. Kanske kan man åstadkomma mer genom att sikta högre, en resolver som inte liknar DNS men är bakåtkompatibel, men fördelarna är inte uppenbara minst sagt.

  15. Men vad är faran, om USA tvingas stryka hela toppdomäner från root servrar (pga Wikileaks ex) så kan ju inte hela världen stanna upp pga av en sådan åtgärd. Jag tror det är en neutral lösning som måste bli nästa logiska steg, ett slags internets FN som sköter drift och uppdatering av samma root servrar. Kanske Google och Vint Cerf kan ta på sig uppgiften, en satellit i rymden, tillhör inget land utan alla.

    Alla root servar står inte i USA idag, i-root server finns hos Netnod, Sverige.

    a.root-servers.net. 193466 IN A 198.41.0.4
    a.root-servers.net. 193822 IN AAAA 2001:503:ba3e::2:30
    b.root-servers.net. 193581 IN A 192.228.79.201
    c.root-servers.net. 194098 IN A 192.33.4.12
    d.root-servers.net. 193705 IN A 128.8.10.90
    e.root-servers.net. 193667 IN A 192.203.230.10
    f.root-servers.net. 194094 IN A 192.5.5.241
    f.root-servers.net. 534416 IN AAAA 2001:500:2f::f
    g.root-servers.net. 194101 IN A 192.112.36.4
    h.root-servers.net. 193880 IN A 128.63.2.53
    i.root-servers.net. 193624 IN A 192.36.148.17
    j.root-servers.net. 193584 IN A 192.58.128.30
    k.root-servers.net. 193498 IN A 193.0.14.129
    k.root-servers.net. 201752 IN AAAA 2001:7fd::1
    l.root-servers.net. 193501 IN A 199.7.83.42

  16. Anders Andersson har rätt, det är bara Verisign som visat sig svaga här, så vitt jag kan se är ICANN inte inblandade direkt.

    En av sidorna som stängdes ner var en .tv-domän och det kan ju verka som ett övertramp från USA men det är det inte eftersom Verisign också äger .tv

    Det är lite konstigt att Verisign gör så här eftersom en av deras stora tjänster på marknaden är just tillit. Jag kommer inte längre rekommendera mina kunder att köpa certifikat eller domännamn som Verisign kontrollerar.

    Jag kikade snabbt i kommandotolken och såg att Bredbandsbolaget ger dig bakåtuppslag inom se-domänen. Varför tycker du att det är viktigt Anders? Vad jag förstår har inte det bakåtuppslagna namnet något annat värde en IP-adressen i sig.

    Ett mer lovande och mer intressant projekt än just p2p-dns är IDONS men det är också långt från verklighet.

    Den viktigaste funktionen av DNS idag är tillit. Jag måste kunna lita på adressen inte är förfalskad. Tillit är enkelt i ett hierarkiskt system som DNS men det är orealistiskt att lita på en stor part som till exempel Verisign. Jag har för mig att det finns något som heter Web of trust, möjligen från GNU-gänget som är en decentraliserad lösning på tillitsproblemet. Där väljer du själv vem du litar på och sen fortplantar sig den tilliten (med automatiskt försvagning) till vänners vänner och vänners vänners vänner och så vidare. Det löser tillits-frågan så länge du konfigurerar försvagningen rätt och inte litar på fel personer.

    En annan viktig funktion av DNS är prestanda. Vävläsande användare förväntar sig att kunna navigera blixtsnabbt överallt på Internet. Om vårt alternativ till DNS är lika långsamt som Freenet kommer det aldrig bli populärt. Viktigt att notera här är att även om användarna ofta är begränsade latensmässigt i sin nätverksprestanda maxar de sällan ut sin bandbredd. Ditt alternativa system kan gott utnyttja massor av parallella anslutningar så länge de inte är beroende av varandra sekventiellt.

    Något som vi borde passa på att bygga in i ett nytt alternativ till DNS är mindre övervakning. I DNS sitter din lokala DNS-leverantör på en guldgruva i övervakning. De kan i praktiken se när du vävläser och exakt vilka domäner du vävläser på. Att distribuera tjänsten till flera olika vänner i en tillitsväv löser problemet delvis eftersom ingen av dessa parter nödvändigtvis måste få se alla din frågor. En bättre lösning vore att aldrig göra smala frågor. Istället för att fråga efter christopherkullenberg.se kan jag fråga efter chris*.se. Eftersom själva urvalet sen sker lokalt är det ingen annan än jag själv som vet vilken sida jag är ute efter. Det är säkert inte svårt att lista ut ett mycket bättre sätt att göra breda frågor än mitt exempel. Du kan utöka idén till att också göra det omöjligt för svarare att veta när du frågat genom att inte bara göra fråga när jag vill veta. Det tror jag dock är svårare.

    Lycka Till!

  17. Några av wikileaks domäner har tidigare drabbats av detta, men det är ju enbart ett fåtal som ligger under toppdomäner kontrollerade av icann.

Kommentera

E-postadressen publiceras inte. Obligatoriska fält är märkta *

Time limit is exhausted. Please reload CAPTCHA.