När DNS ljuger

Man kan väl minst sagt konstatera att DNS hamnat i fokus den senaste veckan, inte minst i ljuset av Verisigns ompekningar av ett större antal domäner, men också Wikileaks problem med att vara tillgängliga. Senast ut med Wikileaks är att deras DNS-tjänst som sköttes av EveryDNS plockade bort wikileaks.org från sina namnservrar. Anledningen är att namnservrarna utsattes för en DDoS-attack, vilket skulle få nästan vilken leverantör som helst att ta bort det domännamn som är orsaken till problemet, eftersom detta går ut över alla andra kunder.

Företaget Renesys, känt för sina rapporter om olika aspekter av Internet, mer eller mindre bra, har i en bloggpost skissat på ett litet betygssystem för hur DNS hanteras i olika länder. Vi vet ju att man från operatörshåll i Sverige filtrerar visst innehåll. Så hur illa är detta i Renesys betygssystem? Först listar jag detta betygsystem här:

★★★★★

Entirely safe. Providers in this country respect DNS integrity and never rewrite DNS responses. Even if you mistype a domain, you get an obvious non-existent domain (NXDOMAIN) error message and not an advertisement. When asking questions you always receive the intended answers.

★★★★

Mostly safe. Providers in this country are allowed to rewrite queries to unknown domains to make money, but otherwise they leave DNS alone.

★★★

Use caution. In this country, DNS providers may be required to modify the recursive resolver responses in order to enforce local content laws.

★★

Strong caution. In this country, ISPs may be required to modify the recursive resolver responses in flight in order to enforce local content laws. In other words, ISPs listen in on your requests and alter the responses, no matter which server you query.

Danger. In this country, root server responses as well as recursive responses may be modified in flight, without warning, by any infrastructure providers.

Så var hamnar Sverige på betygsskalan? Den filtrering som görs sker ju på frivillig basis, men där Rikskriminalen tar fram blocklistorna. Dessa blocklistor är dock inte offentliga. Jag skulle nog påstå att Sverige får ★★★★. Men detta kan ju snabbt ändras. Vi har ju inga lagar om att innehåll måste blockeras av operatörerna genom DNS.

Men som vanligt, kör din egen DNS om du inte litar på hur andra gör. Och använd DNSSEC för att detektera omskrivningar av DNS-svar. Vid DNSSEC-validering måste man dessvärre signera sina domäner med DNSSEC, och till en utbredd användning här har vi en bit kvar.

03
Dec 2010
POSTED BY
POSTED IN DNS Säkerhet
DISCUSSION 3 Comments
TAGS

3 Responses to : När DNS ljuger

  1. slippy says:

    Ursäkta? Sverige gör just det här: “In this country, DNS providers may be required to modify the recursive resolver responses in order to enforce local content laws.”

  2. slippy says:

    Med insticket att om inte marknaded “sköter sig” så kommer lagstiftningen. I realiteten har vi en statligt sanktionerad och påbjuden förgiftning av dns, resten är bara hårklyverier.