Amicalement
Olivier Auber
2010/11/29 jefsey <[email protected]>:
> Kavé,
>
> lorsque Tan Tin Wee a introduit la possibilité d'avoir un root des noms de
> domaine internationalisé, lors de la réunion ITU/UNESCO de Genève,
> l'intervention tapageuse de John Klensin a été "faudra-t-il encore que vos
> adresses IP soient accessibles" compris par tous comme "les USA les
> bloqueront". Comment pratiquement cela serait-il possible?
>
> Pour les noms de domaine, rien n'est moins sûr aujourd'hui que de faire
> confiance à un nom de domaine lorsque la résolution est tierce. C'est
> pourquoi la seule solution réelle est de disposer de son propre fichier
> racine sur son nameserver personnel, avec peu à peu des astuces diverses (à
> commencer par les adresses IPv6) pour protéger la sécurité des
échanges avec
> les serveurs de zone. C'est le B.A.BA de la sécurité. Tout le monde peut le
> faire rapidement : il suffit de télécharger un exécutable de BIND (named),
> le déclarer comme un service et d'indiquer l'adresse 127.0.0.1
comme adresse
> de son nameserver. Ceci assure la sécurité du nommage contre les serveurs
> chinois et les intrusions de l'ISP en dépit de la neutralité du réseau.
>
> Les actions du style Homeland qui se met d'accord avec le registre (il
> suffit de résoudre le nom de domaine avec une étoile au niveau du registre)
> sont plus ennuyeuses. Cela veut dire que l'on va devoir disposer de tables
> pour restaurer la bonne adresse (il suffit d'une table Host.txt). Tout cela
> demande une "IUCANN" qui gère et diffuse ces tables. etc.
>
> Il est certain qu'en attaquant la confiance du DNS les USA ont tiré les
> seconds (les premiers sont les Chinois) et légitiment l'approche Inteplus
> qui non seulement reprend ces possibilités de base, mais ajoute toute une
> strate de possibilités ouvertes, par qui veut les proposer. La base étant
> seulement le ML-DNS et le concept et le parseur de netix. Après l'agression
> ICANN contre les IDNgTLD et la bêtise du "test" Fast Track qui consiste à
> vérifier que la technologie IDNA2003 mise au rebut par l'IETF marche bien,
> toutes les "recherches", comme dit l'IESG, sont légitimes pour assurer la
> stabilité, la sécurité et la sureté de l'expérience personnelle de
> l'internet par chacun.
>
> C'est pourquoi, plutôt que de patcher BIND, ou les autres
logiques DNS, j'ai
> pris l'option de disposer de ma propre logique Linux/Windows à partir d'un
> fork d'un excellent logiciel robuste, sûr et compact et de la mettre à
> disposition de tous (projet alfaDNS : http://alfadns.org - développeurs C,
> Windows et Linux bienvenus) un ensemble serveur ML-DNS, avec son
> environnement : tables de nommage, serveur NIC, documentation et doctrine
> pour l'opérance, la gouvernance et l'adminance d'un espace de nommage
> intertechnologies numériques.
>
> Il n'est donc pas sûr que ceci soit apprécié de nos amis américains. Un
> aspect qui est intéressant dans cette affaire est le détournement de
> courrier électronique qui doit bien être une félonie quelque part ?
>
> Dans tous les cas l'argument massue (et stupide, car qui sauf une agence
> gouvernementale serait assez stupide pour investir dans un projet à perdre
> de l'argent et en justice comme de créer un ".com" alternatif) pour un
> unique root : "sinon on ne sait pas à qui on envoie un mail et à qui
> appartient le site où on arrive", est maintenant documenté par le
> gouvernement américain lui-même.
>
> RFC 2826: http://www.rfc-editor.org/rfc/rfc2826.txt : "The requirement for
> uniqueness within a domain further implies that there be some mechanism to
> prevent name conflicts within a domain. In DNS this is accomplished by
> assigning a single owner or maintainer to every domain, including the root
> domain, who is responsible for ensuring that each sub-domain of that domain
> has the proper records associated with it. This is a technical
requirement,
> not a policy choice.".
>
> Nous avons donc la une violation technique fondamentale d'un des principes
> fondateurs de l'internet établi en un principe de droit par une autorité
> étrangère. Le DNS n'est donc plus hiérarchique, mais officiellement
> hétérarchique. Il est donc légitime et justifié de se protéger des dangers
> et de profiter des avantages de tout ordre qui peuvent en résulter.
>
> jfc
>
>
> At 12:54 29/11/2010, Kavé Salamatian wrote:
>
> Bonjour,
>
> Il semblerait (voir
>
http://www.lemonde.fr/technologies/article/2010/11/29/nouvelle-offensive-americaine-contre-le-telechargement-illegal_1446267_651865.html
> ) que la technique utilisé pour bloquer l'accès au sites de téléchargement
> illégal à consisté à faire un DNS Hijack. Ceci ouvre une perspective légale
> intéressante. Il est vrai que le DNS est gérée par le droit américain, mais
> je ne suis néanmoins pas sur de la légalité du DNS Hijack
effectué. D'autant
> plus que si celui-ci est légal, le DNS hijack effectué sur Baidu et sur
> Twitter en 2009 et 2010 l'est aussi ! Y'aurait il des juristes dans
> l'audience ?
>
> Finalement nous vivons une époque passionnante :-)
>
> Cordialement
>
> Kavé Salamatian
> _______________________________________________
> comptoir mailing list
> [email protected]
> http://cafedu.com/mailman/listinfo/comptoir_cafedu.com
>
> At 13:48 29/11/2010, Louis Pouzin wrote:
>
> Bonjour Kavé,
>
> Cette "saisie" de nom de domaine est relatée en plus détaillé dans un
> postage ci-dessous. Peut-être que les internautes vont commencer Ã
> comprendre l'importance de prendre un nom de domaine hors de portée du
> gouvernement US, et de ses émules. Passionnant, comme tu dis.
>
> Cordialement
> - - -
>
> From: parminder < [email protected]>
> Date: Mon, Nov 29, 2010 at 10:22 AM
> Subject: [governance] US gov's Domain seizing activities
> To: [email protected]
>
> (For some reason, domain seizing activities of governments of developing
> countries, done for IP enforcement, receives so much less attention that
> that of developing countries done for political and cultural reasons. See
> below.)
>
>
> The Background Dope on DHS Recent Seizure of Domains
>
>
>
>
http://rulingclass.wordpress.com/2010/11/28/the-background-dope-on-dhs-recent-seizure-of-domains/
>
> As has been reported, it looks like ICE, which is the principal
> investigative arm of DHS, has begun seizing domains under the pretext of IP
> infringement. But itâs actually not ICE who is executing the mechanics of
> the seizures. Itâs a private company, immixGroup IT Solutions. Here is
> what is going down.
>
> In May of this year, immixGroup IT Solutions is awarded a one year IT
> Services contract with DHS. The particulars of this contract:
Under this new
> contract, immixGroup will provide information technology operational
> services and support, implementation, and maintenance of DHS ICE C3's
> software applications, network and CyberSecurity systems, as well as the
> maintenance and enhancement of applications that support law enforcement
> activities.
> The contract includes one base year, one 12-month option period, and two
> six-month option periods; covers all four divisions of C3 (Child
> Exploitation, Cyber Crimes, Computer Forensics, and Cyber Training); and is
> critical to C3's pursuit of criminal activity. immixGroupâs services in
> this effort include network maintenance, application development and
> support, forensic lab assistance, data storage maintenance, and information
> assurance.
>
> On November 24th, immixGroup IT Solutions registered the domain
> SEIZEDSERVERS.COM, and primary and secondary nameservers,
> NS1.SEIZEDSERVERS.COM, NS2.SEIZEDSERVERS.COM, with Network Solutions, which
> is the registrar for this domain. Since the DHS contract is provisionally
> for one year only, the domain was only registered for one year(expires in
> one year).
>
> immixGroup IT Solutions is using CaroNet to host their domain,
including the
> authoritative name servers(NS1.SEIZEDSERVERS.COM , NS2.SEIZEDSERVERS.COM)
> for this domain. They have setup a simple web page,
> http://seizedservers.com/ or http://74.81.170.110 which is the same
> âNotification of Seizureâ page you will get if you type in one of the
> seized domains in browser address bar(if youâre paranoid: yes, they are
> tracking using both Google analytics and piwik).
>
> ICE is not actually âseizingâ any servers or forcing hosting
companies to
> remove web content from their servers; what they are doing is using
> immixGroup IT Solutions to switch the authoritative name servers for these
> âseized domains.â But they are not doing it at the Registrar level(by
> contacting the registrar for the domain and forcing them to update the
> authoritative name server info to point to NS1.SEIZEDSERVERS.COM,
> NS2.SEIZEDSERVERS.COM), but rather through the agency who controls the top
> level domain. In this case, all the âseized domainsâ appear to be .com
> and the agency/company who has the ICANN contract for this TLD is
> VeriSign(which also controls .net TLD). The changes are being made at the
> top-level authoritative name servers for the .com TLD, which would be the
> [a-m].gtld-servers.net. These are controlled by VeriSign(note: these
> top-level name servers are also authoritative for .net and .edu TLDs).
>
> So, VeriSign, the owner of the .com TLD, is working in
cooperation with DHS,
> and it appears immixGroup IT Solutions has what we might call an âIT
> Support Ticket systemâ setup with VeriSign.
>
> That web servers are not being seized and web content not being deleted can
> easily be verified by clicking this link, http://208.101.51.57,
which is the
> original IP Address of a seized domain, torrent-finder.com.
Itâs still up,
> and it appears it has registered a new domain, torrent-finder.info, that
> resolves to the original IP address. This site is being hosted by SoftLayer
> Technologies in Dallas, TX. So, it is certainly within US
jurisdiction to be
> shut down if there was âa case to be made.â
>
> Now the .info TLD is not controlled by VeriSign; itâs controlled by
> Afilias. So, an interesting little experiment would be to see if the
> torrent-finder.info domain remains up. As of now, we can only conclude that
> there is back deal between DHS and VeriSign that makes any .com or .net
> domain subject to seizure by the actions of immixGroup IT Solutions.
>
> Lastly, there has been some speculation that this recent business of
> âdomain seizureâ portends the same tactics being used to seize the
> âwikileaks.orgâ domain. From a technical standpoint, understand that the
> .org TLD is not controlled by VeriSign; it is controlled by the Public
> Interest Registry. An interesting thing however: PIR has contracted out the
> technical operations to Afilias. So, if we were to see torrent-finder.info
> similarly seized, then this would mean that Afilias is also in cahoots with
> DHS, which could imply the .org TLD could be subject to the same type of
> âdomain seizures.â As of now, there is no evidence of that. And, it
> should be clear, these type of domain seizures are completely
different than
> the 2008 attempted shutdown of wikileaks.org by the US government. In that
> case, a U.S. District Court issued an injunction ordering
Dynadot, which was
> the registrar for the domain, to remove all traces of Wikileaks from its
> records. That didnât hold up.
>
> - - -
>
> 2010/11/29 Kavé Salamatian < [email protected]> Bonjour,
> Il semblerait (voirÂ
>
http://www.lemonde.fr/technologies/article/2010/11/29/nouvelle-offensive-americaine-contre-le-telechargement-illegal_1446267_651865.html
> ) que la technique utilisé pour bloquer l'accès au sites de
> téléchargement illégal à consisté à faire un DNS Hijack. Ceci ouvre
> une perspective légale intéressante. Il est vrai que le DNS est gérée
> par le droit américain mais je ne suis néanmoins pas sur de la légalité
> du DNS Hijack effectué. D'autant plus que si celui-ci est légal, le DNS
> hijack effectué sur Baidu et sur Twitter en 2009 et 2010 l'est aussi !
> Y'aurait il des juristes dans l'audience ?
> Finalement nous vivons une époque passionnante :-)
> Cordialement
>
> Kavé Salamatian _______________________________________________
> comptoir mailing list
> [email protected]
> http://cafedu.com/mailman/listinfo/comptoir_cafedu.com
>
> _______________________________________________
> comptoir mailing list
> [email protected]
> http://cafedu.com/mailman/listinfo/comptoir_cafedu.com
>
>
_______________________________________________
comptoir mailing list
[email protected]
http://cafedu.com/mailman/listinfo/comptoir_cafedu.com