Kavé,
lorsque Tan Tin Wee a introduit la possibilité d'avoir un root des
noms de domaine internationalisé, lors de la réunion ITU/UNESCO de
Genève, l'intervention tapageuse de John Klensin a été "faudra-t-il
encore que vos adresses IP soient accessibles" compris par tous comme
"les USA les bloqueront". Comment pratiquement cela serait-il possible?
Pour les noms de domaine, rien n'est moins sûr aujourd'hui que de
faire confiance à un nom de domaine lorsque la résolution est tierce.
C'est pourquoi la seule solution réelle est de disposer de son propre
fichier racine sur son nameserver personnel, avec peu à peu des
astuces diverses (à commencer par les adresses IPv6) pour protéger la
sécurité des échanges avec les serveurs de zone. C'est le B.A.BA de
la sécurité. Tout le monde peut le faire rapidement : il suffit de
télécharger un exécutable de BIND (named), le déclarer comme un
service et d'indiquer l'adresse 127.0.0.1 comme adresse de son
nameserver. Ceci assure la sécurité du nommage contre les serveurs
chinois et les intrusions de l'ISP en dépit de la neutralité du réseau.
Les actions du style Homeland qui se met d'accord avec le registre
(il suffit de résoudre le nom de domaine avec une étoile au niveau du
registre) sont plus ennuyeuses. Cela veut dire que l'on va devoir
disposer de tables pour restaurer la bonne adresse (il suffit d'une
table Host.txt). Tout cela demande une "IUCANN" qui gère et diffuse
ces tables. etc.
Il est certain qu'en attaquant la confiance du DNS les USA ont tiré
les seconds (les premiers sont les Chinois) et légitiment l'approche
Inteplus qui non seulement reprend ces possibilités de base, mais
ajoute toute une strate de possibilités ouvertes, par qui veut les
proposer. La base étant seulement le ML-DNS et le concept et le
parseur de netix. Après l'agression ICANN contre les IDNgTLD et la
bêtise du "test" Fast Track qui consiste à vérifier que la
technologie IDNA2003 mise au rebut par l'IETF marche bien, toutes les
"recherches", comme dit l'IESG, sont légitimes pour assurer la
stabilité, la sécurité et la sureté de l'expérience personnelle de
l'internet par chacun.
C'est pourquoi, plutôt que de patcher BIND, ou les autres logiques
DNS, j'ai pris l'option de disposer de ma propre logique
Linux/Windows à partir d'un fork d'un excellent logiciel robuste, sûr
et compact et de la mettre à disposition de tous (projet alfaDNS :
http://alfadns.org - développeurs C, Windows et Linux bienvenus) un
ensemble serveur ML-DNS, avec son environnement : tables de nommage,
serveur NIC, documentation et doctrine pour l'opérance, la
gouvernance et l'adminance d'un espace de nommage intertechnologies numériques.
Il n'est donc pas sûr que ceci soit apprécié de nos amis américains.
Un aspect qui est intéressant dans cette affaire est le détournement
de courrier électronique qui doit bien être une félonie quelque part ?
Dans tous les cas l'argument massue (et stupide, car qui sauf une
agence gouvernementale serait assez stupide pour investir dans un
projet à perdre de l'argent et en justice comme de créer un ".com"
alternatif) pour un unique root : "sinon on ne sait pas à qui on
envoie un mail et à qui appartient le site où on arrive", est
maintenant documenté par le gouvernement américain lui-même.
RFC 2826: http://www.rfc-editor.org/rfc/rfc2826.txt : "The
requirement for uniqueness within a domain further implies that there
be some mechanism to prevent name conflicts within a domain. In DNS
this is accomplished by assigning a single owner or maintainer to
every domain, including the root domain, who is responsible for
ensuring that each sub-domain of that domain has the proper records
associated with it. This is a technical requirement, not a policy choice.".
Nous avons donc la une violation technique fondamentale d'un des
principes fondateurs de l'internet établi en un principe de droit par
une autorité étrangère. Le DNS n'est donc plus hiérarchique, mais
officiellement hétérarchique. Il est donc légitime et justifié de se
protéger des dangers et de profiter des avantages de tout ordre qui
peuvent en résulter.
jfc
At 12:54 29/11/2010, Kavé Salamatian wrote:
Bonjour,
Il semblerait (voir
<http://www.lemonde.fr/technologies/article/2010/11/29/nouvelle-offensive-americaine-contre-le-telechargement-illegal_1446267_651865.html>http://www.lemonde.fr/technologies/article/2010/11/29/nouvelle-offensive-americaine-contre-le-telechargement-illegal_1446267_651865.html)
que la technique utilisé pour bloquer l'accès au sites de
téléchargement illégal à consisté à faire un DNS Hijack. Ceci ouvre
une perspective légale intéressante. Il est vrai que le DNS est
gérée par le droit américain, mais je ne suis néanmoins pas sur de
la légalité du DNS Hijack effectué. D'autant plus que si celui-ci
est légal, le DNS hijack effectué sur Baidu et sur Twitter en 2009
et 2010 l'est aussi ! Y'aurait il des juristes dans l'audience ?
Finalement nous vivons une époque passionnante :-)
Cordialement
Kavé Salamatian
_______________________________________________
comptoir mailing list
[email protected]
http://cafedu.com/mailman/listinfo/comptoir_cafedu.com
At 13:48 29/11/2010, Louis Pouzin wrote:
Bonjour Kavé,
Cette "saisie" de nom de domaine est relatée en plus détaillé
dans un postage ci-dessous. Peut-être que les internautes vont
commencer à comprendre l'importance de prendre un nom de domaine
hors de portée du gouvernement US, et de ses émules. Passionnant,
comme tu dis.
Cordialement
- - -
From: parminder <<mailto:[email protected]>[email protected]>
Date: Mon, Nov 29, 2010 at 10:22 AM
Subject: [governance] US gov's Domain seizing activities
To: <mailto:[email protected]>[email protected]
(For some reason, domain seizing activities of governments of
developing countries, done for IP enforcement, receives so much less
attention that that of developing countries done for political and
cultural reasons. See below.)
The Background Dope on DHS Recent Seizure of Domains
<http://rulingclass.wordpress.com/2010/11/28/the-background-dope-on-dhs-recent-seizure-of-domains/>http://rulingclass.wordpress.com/2010/11/28/the-background-dope-on-dhs-recent-seizure-of-domains/
As has been reported, it looks like
<http://www.ice.gov/iprcenter/>ICE, which is the principal
investigative arm of DHS, has begun seizing domains under the
pretext of IP infringement. But itâs actually not ICE who is
executing the mechanics of the seizures. Itâs a private company,
<http://www.immixgroup.com/>immixGroup IT Solutions. Here is what is
going down.
In May of this year,
<http://www.immixgroup.com/news/pr_display.cfm?ID=117>immixGroup IT
Solutions is awarded a one year IT Services contract with DHS. The
particulars of this contract:
Under this new contract, immixGroup will provide information
technology operational services and support, implementation, and
maintenance of DHS ICE C3's software applications, network and
CyberSecurity systems, as well as the maintenance and enhancement of
applications that support law enforcement activities.
The contract includes one base year, one 12-month option period, and
two six-month option periods; covers all four divisions of C3 (Child
Exploitation, Cyber Crimes, Computer Forensics, and Cyber Training);
and is critical to C3's pursuit of criminal activity. immixGroupâs
services in this effort include network maintenance, application
development and support, forensic lab assistance, data storage
maintenance, and information assurance.
On November 24th, immixGroup IT Solutions registered the domain
<http://seizedservers.com/>SEIZEDSERVERS.COM, and primary and
secondary nameservers,
<http://ns1.seizedservers.com/>NS1.SEIZEDSERVERS.COM,
<http://ns2.seizedservers.com/>NS2.SEIZEDSERVERS.COM, with Network
Solutions, which is the registrar for this domain. Since the DHS
contract is provisionally for one year only, the domain was only
registered for one year(expires in one year).
immixGroup IT Solutions is using <https://www.caro.net/>CaroNet to
host their domain, including the authoritative name
servers(<http://ns1.seizedservers.com/>NS1.SEIZEDSERVERS.COM,
<http://ns2.seizedservers.com/>NS2.SEIZEDSERVERS.COM) for this
domain. They have setup a simple web page,
<http://seizedservers.com/>http://seizedservers.com/ or
<http://74.81.170.110/>http://74.81.170.110 which is the same
âNotification of Seizureâ page you will get if you type in one
of the seized domains in browser address bar(if youâre paranoid:
yes, they are tracking using both Google analytics and piwik).
ICE is not actually âseizingâ any servers or forcing hosting
companies to remove web content from their servers; what they are
doing is using immixGroup IT Solutions to switch the authoritative
name servers for these âseized domains.â But they are not doing
it at the Registrar level(by contacting the registrar for the domain
and forcing them to update the authoritative name server info to
point to <http://ns1.seizedservers.com/>NS1.SEIZEDSERVERS.COM,
<http://ns2.seizedservers.com/>NS2.SEIZEDSERVERS.COM), but rather
through the agency who controls the top level domain. In this case,
all the âseized domainsâ appear to be .com and the
agency/company who has the ICANN contract for this TLD is
VeriSign(which also controls .net TLD). The changes are being made
at the top-level authoritative name servers for the .com TLD, which
would be the [a-m].<http://gtld-servers.net/>gtld-servers.net. These
are controlled by VeriSign(note: these top-level name servers are
also authoritative for .net and .edu TLDs).
So, VeriSign, the owner of the .com TLD, is working in cooperation
with DHS, and it appears immixGroup IT Solutions has what we might
call an âIT Support Ticket systemâ setup with VeriSign.
That web servers are not being seized and web content not being
deleted can easily be verified by clicking this link,
<http://208.101.51.57/>http://208.101.51.57, which is the original
IP Address of a seized domain,
<http://torrent-finder.com/>torrent-finder.com. Itâs still up, and
it appears it has registered a new domain,
<http://torrent-finder.info/>torrent-finder.info, that resolves to
the original IP address. This site is being hosted by SoftLayer
Technologies in Dallas, TX. So, it is certainly within US
jurisdiction to be shut down if there was âa case to be made.â
Now the .info TLD is not controlled by VeriSign; itâs controlled
by <http://en.wikipedia.org/wiki/Afilias>Afilias. So, an interesting
little experiment would be to see if the
<http://torrent-finder.info/>torrent-finder.info domain remains up.
As of now, we can only conclude that there is back deal between DHS
and VeriSign that makes any .com or .net domain subject to seizure
by the actions of immixGroup IT Solutions.
Lastly, there has been some speculation that this recent business of
âdomain seizureâ portends the same tactics being used to seize
the â<http://wikileaks.org/>wikileaks.orgâ domain. From a
technical standpoint, understand that the .org TLD is not controlled
by VeriSign; it is controlled by the Public Interest Registry. An
interesting thing however: PIR has contracted out the technical
operations to Afilias. So, if we were to see
<http://torrent-finder.info/>torrent-finder.info similarly seized,
then this would mean that Afilias is also in cahoots with DHS, which
could imply the .org TLD could be subject to the same type of
âdomain seizures.â As of now, there is no evidence of that. And,
it should be clear, these type of domain seizures are completely
different than the 2008 attempted shutdown of
<http://wikileaks.org/>wikileaks.org by the US government. In that
case, a U.S. District Court issued an injunction ordering Dynadot,
which was the registrar for the domain, to remove all traces of
Wikileaks from its records. That didnât hold up.
- - -
2010/11/29 Kavé Salamatian
<<mailto:[email protected]>[email protected]>
Bonjour,
Il semblerait (voirÂ
<http://www.lemonde.fr/technologies/article/2010/11/29/nouvelle-offensive-americaine-contre-le-telechargement-illegal_1446267_651865.html>http://www.lemonde.fr/technologies/article/2010/11/29/nouvelle-offensive-americaine-contre-le-telechargement-illegal_1446267_651865.html)
que la technique utilisé pour bloquer l'accès au sites de
téléchargement illégal à consisté à faire un DNS Hijack. Ceci
ouvre une perspective légale intéressante. Il est vrai que le DNS
est gérée par le droit américain mais je ne suis néanmoins pas
sur de la légalité du DNS Hijack effectué. D'autant plus que si
celui-ci est légal, le DNS hijack effectué sur Baidu et sur
Twitter en 2009 et 2010 l'est aussi ! Y'aurait il des juristes dans
l'audience ?
Finalement nous vivons une époque passionnante :-)
Cordialement
Kavé Salamatian
_______________________________________________
comptoir mailing list
[email protected]
http://cafedu.com/mailman/listinfo/comptoir_cafedu.com
_______________________________________________
comptoir mailing list
[email protected]
http://cafedu.com/mailman/listinfo/comptoir_cafedu.com