I nomi a dominio

Il sistema dei nomi a dominio (Domanin Name System) è dato per scontato da molti utenti (e altrettanti tecnici), ma ha delle regole di funzionamento molto precise.

La gestione amministrativa dei nomi a dominio si divide in tre livelli:

  1. IANA gestisce i root name server
  2. I registrar rivendono i nomi, generalmente di secondo livello
  3. Le entità (persone, società, organizzazioni), acquistano (meglio sarebbe dire “affittano”) i nomi e ne fanno l’uso che credono.

Se dovessimo adottare un’analogia di mercato dei beni, IANA è il produttore o il grossista e i registrar sono i supermercati o i negozianti. È possibile che tra il registrar e il titolare finale del dominio ci siano uno o più intermediari.

Prima di addentrarci nella spiegazione della parte amministrativa è meglio spiegare come funziona tecnicamente il sistema dei nomi a dominio.

Il sistema dei nomi serve, principalmente (non solo, ma per lo scopo di questo articolo ci limitiamo a questo) a convertire un nome comprensibile dagli utenti come siamogeek.com in un indirizzo IP utilizzabile per l’accesso ai server. Risolvere è l’azione di convertire un nome in un indirizzo.

Per fare ciò è stato implementato un sistema di database gerarchico distribuito che si basa sul concetto di delega. Vedete il sistema gerarchico come le radici di un albero.

In cima ci sono i root DNS, ovvero i DNS che devono essere noti per poter risolvere un nome. Ogni server DNS che vuole risolvere un nome deve conoscere l’indirizzo IP (di certo non il nome…) di almeno un root DNS. IANA mantiene un elenco scaricabile in veri formati dei root DNS. Certo, per accedere al sito di IANA dovete avere un server DNS funzionante che vi risolve i nomi.

I root DNS non contengono l’elenco di tutti i possibili nomi a dominio attivi, ma solamente gli indirizzi dei DNS delegati per essere l’autorità (authoritative DNS) in merito ai domini di primo livello.

I livelli di un nome a dominio si leggono da destra verso sinistra, quindi i domini di primo livello sono quelli geografici (IT, UK, GR, US, JP, detti anche ccTLD) e quelli generici (COM, ORG, NET, INFO, ROCKS, ORIENTEXPRESS, detti anche gTLD).

A loro volta, i Registrar delegati per la gestione dei domini di primo livello avranno nel loro DNS, referenziato dai root DNS, gli indirizzi IP dei DNS delegati per la gestione di ciascun secondo livello. In questo caso, i DNS del Registrar contengono l’elenco di tutti i nomi a dominio di secondo livello registrati da loro.

I singoli gestori dei domini di secondo livello (siamogeek.com è un dominio di secondo livello) possono creare i nomi che vogliono al di sotto (ovvero a sinistra) del nome che hanno acquistato, quindi io posso creare pippo.siamogeek.com, jarjarabrams.siamogeek.com, chebruttoesempio.siamogeek.com, eccetera.

Come fa un computer su cui un utente scrive pippo.siamogeek.com a trovare l’indirizzo associato?

Il computer si rivolge ad un programma che si chiama server DNS o anche resolver; il programma può girare sul computer stesso, sul un altro computer della LAN, presso il provider di connettività, o presso uno dei fornitori pubblici di risoluzione nomi, per il momento non ci interessa dove sia, anche se ha una certa rilevanza per altre ragioni.

Il resolver accetta la richiesta “dimmi che IP ha pippo.siamogeek.com” e spezza il nome a partire da destra.

Il primo livello è COM, quindi il resolver interroga i root DNS per sapere l’IP del DNS autoritario per il primo livello COM.

Ottenuto quell’IP, il nostro resolver si collega all’autoritario di COM e chiede l’IP del DNS autoritario per SIAMOGEEK.COM.

Con in mano questa informazione, il resolver chiede al DNS di SIAMOGEEK.COM quale accidenti sia l’IP di PIPPO.SIAMOGEEK.COM (e si becca un errore di nome inesistente, Murphy sghignazza).

Fermi. No, non avviene tutto questo cinema per ogni singola risoluzione dei nomi, sennò sarebbe un macello.

Ad ogni richiesta (query) ai server DNS assieme all’informazione viene consegnato un numero espresso in secondi che rappresenta la durata (TTL, Time To Live) dell’informazione. Il resolver non dovrebbe ripetere la medesima richiesta se la durata non è scaduta. Ecco motivata la cosiddetta propagazione delle modifiche ad DNS.

Visto questo funzionamento del DNS, vien da sé che l’associazione di un indirizzo ad un nome è monodirezionale, ovvero quando viene indicato che pippo.siamogeek.com ha indirizzo 1.2.3.4 non è automatico l’inverso; per avere la risoluzione inversa (rDNS) si usa sì il DNS, ma in un altro modo, che vedremo in un altro articolo.

Ora che abbiamo capito come funziona tecnicamente la risoluzione dei nomi, torniamo alla parte amministrativa.

IANA è un’organizzazione americana senza fini di lucro che gestisce i domini di primo livello (TLD).

I TLD geografici (ccTLD) sono di due lettere latine ASCII secondo lo standard ISO 3166-1 alpha-2 oppure IDN di lunghezza variabile. Alcuni Registrar nazionali (si pensi a TO, TV, ME, PW…) hanno aperto la possibilità a tutti di registrare un dominio.

I TLD generici (gTLD) erano in origine COM, NET, ORG, INT, EDU, GOV, MIL a cui si aggiunge ARPA usato ora per usi tecnici della gestione del DNS.

Recentemente è stato ha deciso di aprire il mercato dei gTLD a chi vuole riservarne uno per sé o per rivenderlo. La lista (http, ftp) dei gTLD cambia molto rapidamente.

Per ora, IANA impone che i domini siano almeno di secondo livello e vieta l’utilizzo dei dotless domain.

Siamo arrivati alla fine del nostro calvario cammino: l’acquisto di un nome a dominio.

Come detto in apertura, tecnicamente si tratta più di un affitto o di una tariffa per un servizio che un passaggio definitivo di proprietà, ma lasciamo da parte i cavilli.

Un qualsiasi Signor Nessuno che voglia registrare il suo bel nome a dominio deve rivolgersi ad uno dei tanti Registrar, scegliere il nome che desidera (ovviamente non deve essere già registrato da altri), compilare i pochi (o tanti, dipende dal registrar) dati richiesti, pagare e… voilà! Dopo qualche minuto (o qualche ora, se state registrando un .IT) il vostro nome a dominio è online e noto a tutto il mondo.

Dal punto di vista del mero mantenimento del nome, vi dovete solo ricordare di rinnovare la registrazione prima della scadenza, applicare ogni ragionevole sicurezza al vostro account presso il Registrar (se vi rubano quello, vi rubano tutti i nomi a dominio associati) e non cadere nelle trappole delle mail di chi vi vuole rubare soldi per chiedervi fantomatiche “registrazioni”.

Le email ai tempi del ransomware

Credo che oramai più o meno tutti gli utenti un minimo esperti abbiano capito cosa è un ransomware e anche che non si clicca mai su link o files allegati a email che contengono informazioni inesatte (numeri di partita iva errati, codici cliente errati, ecc) o incomplete (nessuna indicazione del nome dell’azienda o della persona a cui è destinata la mail, per esempio, ma un semplice “Spett.le utente@dominio.tld, ecco la sua fattura in allegato”).

Leggi tutto “Le email ai tempi del ransomware”

Flightradar24 e voli in ritardo

Con la versione gratuita di Flightradar24 è possibile ottenere più informazioni sul ritardo di un volo rispetto a quelle che vengono normalmente fornite in aeroporto.

Lo scenario tipico è quello di una persona in aeroporto che ha già superato il controllo di sicurezza e vede il proprio volo in ritardo prima di 20 minuti e poi di 40 e si chiede cosa stia succedendo. Leggi tutto “Flightradar24 e voli in ritardo”

Tecnica anti-anti-phishing

Poco fa ho ricevuto una mail di phishing con l’aspetto di una comunicazione di una nota banca italiana.

Copio l’URL verso cui voleva farmi andare la mail, lo visito in incognito per verificare se sia già bloccato.

Visto che non era ancora bloccato, decido di segnalarlo a Google e a Netcraft. Leggi tutto “Tecnica anti-anti-phishing”

Per una politica che rispetti la scienza

Nel 2013, in vista delle elezioni politiche, avevo partecipato ad un interessante progetto, insieme agli amici Marco Camisani Calzolari e Walter Vannini, con lo scopo di monitorare le proposte delle forze politiche sul tema “digitale“.
Ora, in vista di altre elezioni guardo con ancora più interesse un nuovo progetto, ideato e realizzato con il supporto di Pro-Test Italia, sicuramente molto più ambizioso, che riguarda però il mondo della scienza: PagellaScientifica.it. Leggi tutto “Per una politica che rispetti la scienza”

Nuovi piani tariffari di GitHub

GitHub ha annunciato un cambio dei piani tariffari: in sostanza la tariffa ora si basa sugli utenti e non più sul numero di repository privati che si possono creare.

Per i singoli utenti o le piccole realtà questa è un’ottima notizia perché si può ora utilizzare GitHub per gestire tutti i progetti non pubblici e non solo quelli che, in qualche modo, giustificano i costi. Leggi tutto “Nuovi piani tariffari di GitHub”

Protocollo 1 di OpenSSH

Damien Miller ha annunciato il percorso di obsolescenza del protocollo 1 nel pacchetto OpenSSH, il software open del client e server SSH.

In questo momento ci sono due protocolli SSH. SSH-1 è il protocollo originale creato nel 1995 da Tatu Ylönen; SSH-2 è un protocollo adottato a partire dal 2006 ed è incompatibile con SSH-1. Leggi tutto “Protocollo 1 di OpenSSH”

Cos’è il genio /21

Ok, hai messo in piedi una piattaforma per la gestione di sondaggi.
Non è una piattaforma gratuita, ma ha un costo per licenza certamente non molto economico.
Fornisci un buon sistema di integrazione a CRM esterni come, ad esempio, SalesForce.Com. Leggi tutto “Cos’è il genio /21”

Ci risiamo: ecco #DROWNAttack

Sono passati dodici mesi da quando il cosiddetto FREAK Attack ha scatenato il panico su internet: oggi parliamo di un altro rischio nella sicurezza di portata simile.

Si chiama DROWNAttack, ovvero Decrypting RSA with Obsolete and Weakened eNcryption, è un attacco che sfrutta una debolezza nella versione 2 del protocollo SSL. Questa debolezza non è frutto di un errore, ma di una scelta progettuale dovuta alle restrizioni esistenti negli anni ’90 sulla esportazione di tecnologie crittografiche dagli USA verso l’estero. La storia di come queste restrizioni siano state concepite e di quale danno abbiano provocato dovrebbe essere già noto a tutti, segnalo comunque al lettore interessato la esaustiva pagina su Wikipedia.

Il funzionamento di DROWN è spiegato in questo documento tecnico completo, tuttavia riassumeremo qui di seguito il suo modus operandi a grandi linee. Leggi tutto “Ci risiamo: ecco #DROWNAttack”

La Stampa in Creative Commons

Da oggi i contenuti del quotidiano online La Stampa sono distribuiti con licenza Creative Commons BY NC ND.

Un’altra prima tra i maggiori quotidiani nazionali dopo che due anni fa l’edizione online aveva assunto lo stesso nome di quella cartacea. Leggi tutto “La Stampa in Creative Commons”

Certificato di XBOXLIVE.COM compromesso

Microsoft ha comunicato di aver inavvertitamente divulgato la chiave privata del certificato wildcard *.xboxlive.com

Il certificato può essere utilizzato per validare connessioni TLS, ma non può essere utilizzato per firmare altri certificati o firmare dei programmi, quindi il rischio è limitato alla validità dei certificati di tutti gli host di xboxlive.com

È, quindi, necessario prestare particolare attenzione ai siti del dominio xboxlive.com che presentano un certificato apparentemente valido e firmato da Microsoft. Leggi tutto “Certificato di XBOXLIVE.COM compromesso”

Let’s Encrypt

Let's EncryptIeri è partita la beta pubblica di Let’s Encrypt.

Il sito rilascia gratuitamente, senza se e senza ma, certificati TLS firmati da una CA riconosciuta dalla PKI, con l’eccezione di Windows XP.

In altre parole, i certificati di Let’s Encrypt sono riconosciuti dai browser, possono essere utilizzati senza problemi dalle società e se ne possono prendere un numero arbitrario. Leggi tutto “Let’s Encrypt”

Poi non diamo la colpa agli utenti

Ogni giorno scriviamo megabyte di articoli e spendiamo ore per spiegare agli utenti l’importanza di una password sicura.

Anzi, spieghiamo che bisogna passare dal concetto di password (parola d’ordine) a quello di passphrase (frase d’ordine), ovvero mettere una frase relativamente lunga, che, in questo momento, è facile da ricordare e difficile da attaccare con metodi di forza bruta o con rainbow table.

Poi sbatti il naso contro questo: Leggi tutto “Poi non diamo la colpa agli utenti”

La doppia truffa del click

La diffusione di pagine acchiappa click (clickbait in gergo) è oramai un fatto verificabile.

All’inizio erano pagine di gruppi di persone truffaldine o di singoli con il miraggio del guadagno facile.

Ora, come ha rilevato Paolo Attivissimo, il comportamento è diventato sistemico e viene adottato anche da società che dovrebbero avere al loro servizio dei professionisti con una deontologia stabilita per legge. Leggi tutto “La doppia truffa del click”

Cambio politiche di AVG

avgIl prossimo 15 ottobre cambierà la politica del trattamento dei dati dell’antivirus gratuito AVG.

Volendo fare una sintesi imprecisa e molto succinta, da giovedì prossimo la società di Brno utilizzerà i dati non personali per scopi commerciali.

Per il nostro diritto un dato personale è quello che identifica una persona. Leggi tutto “Cambio politiche di AVG”

Cambiare la foto del profilo non aiuta nessuno.

Arriva l’autuno e molta gente è costretta a stare a casa e ha troppo tempo per pensare (male) e lanciare una nuova catena di Sant’Antonio facebookiana chiedendo agli utenti di cambiare la propria immagine del profilo con quella di un cartone animato per “riempire facebook di cartoni animati, per la settimana della lotta contro i tumori infantili“.

A dire il vero Leggi tutto “Cambiare la foto del profilo non aiuta nessuno.”