Marco Mellia wrote:
Ciao Simone,
Ciao Marco,
Non c’e’ molto da indagare - e’ una cosa nota che Vodafone implementi il transparent DNS Proxy — ovvero tutto il traffico verso porta 53 viene mandato ai suoi server DNS, indipendentemente dal IP del server contattato. Basta una ricerca con google “Vodafone dns”. Bisogna mettersi d'accordo su cosa è interessante e su cosa si vuole indagare, altrimenti arriviamo a conclusioni divergenti.
Dal mio punto di vista: - posso usare il fatto di avere Vodafone per migliorare l'engine DNS di OONI per rilevare i proxy DNS trasparenti e per meglio distinguere questi casi da quelli che noi chiamiamo di DNS injection (i.e. i casi "man in the middle" dai casi "man on the side") - posso abilitare questo test di default (o in caso ci siano specifiche condizioni) affinché OONI esegua questo test in alcuni o in tutti gli ISP in cui eseguiamo misure di censura e net neutrality - posso magari identificare nuovi ISP in cui è implementato un proxy DNS trasparente anche se questa cosa non è documentata per tali ISP - posso informare gli utenti, facendo vedere che è deployato un proxy DNS trasparente e quali sono le implicazioni, suggerendo anche loro in quale modo possono bypassare questa restrizione - posso ottenere un ulteriore data point che penso sarà utile per caratterizzare le altre misure di censura che raccogliamo Spiegati questi punti, non penso si possa concludere che non ci sia molto da indagare. Inoltre, anche per Vodafone per cui è noto che sia implementata questa tecnologia, come abbiamo visto, la discussione su questa lista è stata utile per coinvolgere più persone alcune delle quali non erano a conoscenza di questa informazione, anche se stava a una ricerca su Google di distanza.
Tornando a DoH - dal punto di vista tecnico e’ una porcata immensa.
Prima di introdurre una metrica ("immensa", "piccole", etc.) sarebbe utile capire quale sia la tua definizione di porcata. Altrimenti, come nel caso sopra, rischiamo di arrivare a conclusioni divergenti perché partiamo da definizioni differenti :-). Assumo che si tenda in generale a definire porcata una cosa di cui non si capiscono appieno le finalità. Inoltre, una tecnologia può in generale non essere considerata una porcata, ma una sua implementazione in uno specifico contesto potrebbe sembrarlo. Parlando del proxy DNS trasparente, mi vengono in mente casi in cui può avere senso implementarlo, per esempio per impedire di evadere alcuni tipi di censura (o "policy") usando un tunnel DNS. Come dicevo in un thread precedente e come postulato anche da altri su forum che parlano del proxy trasparente di Vodafone, è possibile che una ragione tecnica per implementare un proxy DNS trasparente sia quella di rendere più facile l'accesso alla Vodafone station da browser agli utenti (via "voda.station") e quindi semplificare la configurazione. Tu per caso hai idea di quali potrebbero essere le ragioni tecniche per le quali Vodafone ha implementato questo tipo di policy? (Come utente internet, questa policy mi fa imbestialire perché sono abituato a poter configurare io manualmente, se lo desidero, il DNS; mi trovo quindi molto sorpreso se qualunque mio tentativo di configurazione di sistema viene ignorato dalla rete o da altri software.)
Per di piu’, in opzione “opt-out” e’ una di quelle cose che farà impazzire gli amministratori di rete. Mi chiedo se hanno previsto una qualche forma di on-boarding per informare l'utente dell'uso del DNS over HTTPS di Cloudflare.
Lato consumer, già vedo i forum pieni di “ho messo 8.8.8.8 come server dns, ma ancora non mi funziona con firefox”. In questo caso, però, uno può rispondergli sul forum dicendo "guarda, Johnny, che c'è un'opzione che puoi disabilitare".
Mi sembra più facile come problema, da gestire, rispetto al problema di bypassare il proxy trasparente di Vodafone, che è una cosa che si può implementare su Linux, stando a quello che leggo sui forum, installando e configurando dnsmasq oppure usando dnscrypt. Mi viene da ridere, BTW, se penso al cortocircuito di uno che risponde su un forum dicendo "guarda, per bypassare il DNS di Vodafone, puoi scaricare Firefox che usa direttamente un altro server DNS cifrato e non hai bisogno di sgozzare nessun gallo o avere Linux installato".
Lato business, tutte le precauzioni che si usano in ambito corporate che fanno leva sul DNS improvvisamente non funzioneranno più, con bella pace della sicurezza e policy. L'argomentazione che ho usato sopra ("mi stupisce che Vodafone ignori la mia configurazione DNS di sistema") si applica anche in questo caso: mi stupisce che Firefox ignori la mia configurazione DNS di sistema!
Sono però perplesso riguardo all'esistenza di corporation che hanno implementato "precauzioni che fanno leva sul DNS" e al tempo stesso non hanno un controllo centralizzato del software installato sulla flotta di macchine e sulla loro configurazione. In casi di questo tipo, in effetti, il problema principale non mi sembra sia questo cambiamento DNS introdotto da Firefox.
Non oso immaginare che cosa succederà quando i DNS di clodflare non funzioneranno a dovere. Per rispondere correttamente a questa domanda bisognerebbe vedere se, in tal caso, Firefox farà fallback sul DNS di sistema. Altrimenti la discussione rischia di essere basata più su speculazioni che su fatti.
FWIW, posso documentare un molto frustrante incidente avvenuto a casa mia a Torino (dove, come dicevo, ho Vodafone) circa sei mesi fa, nel quale, per mezz'ora, ho avuto il DNS non funzionante e non potevo navigare, pur avendo connettività IP verso 8.8.8.8 e 1.1.1.1 che avevo (vanamente!) configurato come miei DNS di sistema. Come vedi, si tratta di problemi simmetrici e altrettanto frustranti. Tranne che, indipendentemente dal fatto che l'opzione sia opt-in o opt-out, mi posso immaginare lo scenario in cui tale opzione è abilitata, Firefox si accorge che il DNS di Cloudflare è giù, notifica l'utente, e gli chiede se per caso vuole usare un altro DNS o il DNS di sistema, magari informandolo dei rischi (visto che Mozilla sta usando l'argomentazione rischi per implementare questo servizio). Nel caso di Vodafone, invece, non vedo bene in quale modo la Vodafone Station mi poteva informare del problema del DNS giù.
Con buona pace del troubleshooting. Si. Come ho detto sopra, sia la soluzione di Vodafone sia la soluzione di Firefox pongono problemi perché deviano rispetto a quello che come utenti siamo abituati ad aspettarci (i.e. se vogliamo possiamo configurarlo noi, altrimenti c'è un qualche default).
Senza neanche citare i problemi per la magistratura quando dovrà indagare, o richiedere il blocco di qualche sito (che piaccia o no).
In Dungeons & Dragons, questo atteggiamento porta a identificare il tuo allineamento come legale. Io ho un altro allineamento per il quale preferisco che l'azione della magistratura sia un po' più difficile - avendo visto quello che fa la magistratura in altri paesi e essendo convinto che - dato abbastanza potere - "non ci sono poteri buoni". Questi sono punti di vista personali di cui potremmo discutere fino allo sfinimento ma che sono forse più adatti per una birra o forse più un paio di birre che per una discussione in mailing list :-).
Ultimo, dal punto di vista della privacy, mi chiedo perche’ google, cloudflare e altri siano così generosi da implementare ed offrire “gratis” un servizio DNS. Come sappiamo bene — se non paghi per un prodotto, il prodotto sei tu. Grazie al DNS, ora google sa anche quale shop online frequenti, quale sito porno preferisci, e se anche se usi duckduckgo come motore di ricerca. Per non parlare del potere che ha nel modificare a suo piacere quali server di quale CDN indirizzare il tuo traffico, e decidere se e quali servizi puoi accedere. Limito la mia risposta a Cloudflare e al servizio integrato in Firefox.
Sono andato a leggere qualcosa in più e, stando a quanto dicono loro, a questo servizio DNS non si applicano le privacy policy standard di Cloudflare, ma policy più restrittive che sono state negoziate apposta con Mozilla. Cito in blocco, visto che penso possa essere funzionale alla discussione: | As part of its agreement with Firefox, Cloudflare has agreed to | collect only a limited amount of data about the DNS requests that | are sent to the Cloudflare Resolver for Firefox via the Firefox | browser. Cloudflare will collect only the following information | from Firefox users: | | - Timestamp | - IP Version (IPv4 vs IPv6) | - Resolver IP address + Port the Query Originated From | - Protocol (TCP, UDP, TLS or HTTPS) | - Query Name | - Query Type | - Query Class | - Query Rd bit set | - Query Do bit set | - Query Size Query EDNS | - EDNS Version | - EDNS Payload | - EDNS Nsid | - Response Type (normal, timeout, blocked) | - Response Code | - Response Size | - Response Count | - Response Time in Milliseconds | - Response Cached | - DNSSEC Validation State (secure, insecure, bogus, indeterminate) | - Colo ID | - Server ID | | All of the above information will be stored briefly as part of | Cloudflare’s temporary logs, and then permanently deleted within 24 | hours of Cloudflare’s receipt of such information. In addition to | the above information, Cloudflare will also collect and store the | following information as part of its permanent logs. | | - Total number of requests processed by each Cloudflare | co-location facility | - Aggregate list of all domain names requested | - Samples of domain names queried along with the times of such queries | | Information stored in Cloudflare’s permanent logs will be anonymized | and may be held indefinitely by Cloudflare for its own internal | research and development purposes. Continua qui: https://developers.cloudflare.com/1.1.1.1/commitment-to-privacy/privacy-poli...
Parliamo di censura — ma qui mi viene voglia di parlare di grandissimo fratello! Nel caso specifico di Cloudflare per Firefox non mi sembra, nel senso che i dati che si tiene Cloudflare sembrano pochi.
Al netto del problema che sollevava Stefano Quintarelli (perché non permettere anche altri fornitori?), e che secondo me è sacrosanto, mi sembra che questo servizio di Firefox non abbia una brutta policy. Non so, forse è meglio usare Cloudflare via Firefox di configurare il DNS di Cloudflare come proprio resolver di sistema?
Internet e’ nata come una rete distribuita, e ora e’ diventata sempre piu’ il dominio di 3/4 grandi aziende. Gestiscono il traffico, controllano l’informazione, e ora, si impossessano anche del DNS. Senza che alcuno possa fare alcun controllo. Questo mi sembra un ottimo spunto per un'altra (lunga e super interessante) discussione, anche se mi sembra di aver capito leggendo e approfondendo che questo DNS di Firefox non sia probabilmente uno degli aspetti peggiori della centralizzazione in atto.
A presto, Simone