privacidad

La zona home.arpa, la privacidad y el AS112

El pasado 14 de Marzo de 2018, hace ya más de 4 años se delegó la zona home.arpa a los servidores del AS112, un sistema autónomo que cualquiera puede anunciar y que Tecnocrática empezó a anunciar hace ya dos o tres años, objetivo, que los datos que se envían ahí no salgan de España porque ya bastante tenemos como para que encima información de nuestras casas pueda andar alegremente circulando por Internet.

Mejorar la privacidad: ¿Qué es el AS112?

Muchos de nosotros tenemos en casa cositas que se conectan a Internet, asistentes personales, lavadoras, neveras, hornos, aspiradoras, relojes, interruptores, teléfonos, bombillas, incluso dispensadores de comida para animales.

La verdad es que no somos conscientes hasta que miramos en el servidor de DHCP de nuestra red la cantidad de cesiones de IPs que hay.

De todos los dispositivos que tenemos conectados muchos de ellos funcionan de forma autónoma, nosotros no controlamos la conexión a Internet de una bombilla o del famoso dispensador de alimentos para animales por poner sólo un par de ejemplos.

Estos cacharritos para conectarse a Internet utilizan, como todos, un servidor de DNS al que le hacen preguntas y a veces hacen preguntas sobre elementos de la LAN o se identifican ellos mismos como por ejemplo asistente_salon.home.arpa y claro, nuestro DNS no lo conoce, así que preguntará recursivamente para arriba hasta que llegue a los servidores de DNS de la zona home.arpa y claro, en esos servidores de DNS ahora se sabe que alguien con la IP (x.y.z.k) tiene algo llamado asistente_salon, y si te esperas un poco verás que también tiene un movil_ernesto y si sigues mirando pues sacar muchísimas cosas.

Quizás no parezca demasiado crítico, pero si podemos inferir que Fulanito de tal tiene 3 bombillas, 2 asistentes y 1 aspiradora seguro que podemos sacar más datos.

Obviamente esto es un problema para la privacidad, aunque no fue la privacidad el detonante de controlar esto, que va, el detonante fue la carga de los DNS, bajar la carga de los DNS tal y como dice en la RFC7534:

in order to reduce the load on the IN-ADDR.ARPA authoritative servers

Para bajar la carga de los servidores DNS se delegó la zona home.arpa a los servidores del AS112.

Los rangos a lo que esto afecta es a los asociados con las peticiones de PTR de RFC1918:

10.0.0.0/8
172.16.0.0/12 
169.254.0.0/16
192.168.0.0/16

En cuanto a los servidores utilizados para esas resoluciones tenemos los siguientes:

1.- Direcciones de Anycast para los servidores de DNS:

192.175.48.1 / 2620:4f:8000::1
192.175.48.6 / 2620:4f:8000::6
192.175.48.42 / 2620:4f:8000::42

2.- Direcciones de Anycast para DNAME.

El registro DNAME proporciona la redirección de una parte del árbol de nombres DNS a otra parte del árbol de nombres DNS.

192.31.196.0/24 / 2001:4:112::/48

Así que será necesario anunciar los siguientes prefijos en BGP:

192.31.196.0/24
192.175.48.0/24
2001:4:112::/48
2620:4f:8000::/48

Estos rangos y ese AS se permite que lo anuncie cualquiera por anycast.

¿Por qué Tecnocrática tiene los DNS del AS112 y anuncia los rangos del AS112?

Como os he comentado anteriormente en esas peticiones de DNS hay información que puede ser utilizada por empresas que puedan gestionar dicha información y que le puedan sacar partido. ¿Es nuestro caso? Pues me encantaría decir que sí, pero no es verdad, simplemente lo hacemos porque consideramos que esto deberían de hacerlo todos los operadores de red para que no llegue a esas empresas que luego pueden hacer con esto algo provechoso para ellos en contra de la privacidad de la gente.

Nosotros anunciamos el AS112 principalmente en puntos neutros de intercambio con otros operadores españoles para que esa información sea resuelta desde España y no salga fuera de España, es una especie de poner nuestro granito de arena para que la información de la gente que vive en España no salga fuera.

¿Qué hacemos nosotros con esa información?, la verdad es que nada, se contesta a la petición DNS recibida y ya está, ni guardamos peticiones ni hacemos ningún tipo de estudio de esos datos, bastante tenemos con lo nuestro, simplemente es algo que debería de hacer todo el Mundo, el proteger a sus usuarios y como no lo hacen, pues nosotros intentamos suplir esa carencia.

Estoy seguro que a nadie le apetece que ninguna empresa de Marketing se dedique a hacer estudios de cuantos cacharritos tiene cada uno para luego vender un perfil a ningún vendedor.

Porque esta información a lo mejor no os parece importante, pero no es el mismo perfil quien tiene 4 asistentes, 10 bombillas y 1 aspiradora que el que sólo tiene una bombilla.

Ojalá llegue el día en que todos los operadores de España lo anuncien y ya no tengamos que hacerlo nosotros.