Episode Details

El pasado 14 de Marzo de 2018, hace ya más de 4 años se delegó la zona home.arpa a los servidores del AS112, un sistema autónomo que cualquiera puede anunciar y que Tecnocrática empezó a anunciar hace ya dos o tres años, objetivo, que los datos que se envían ahí no salgan de España porque ya bastante tenemos como para que encima información de nuestras casas pueda andar alegremente circulando por Internet.

https://tecnocratica.net/mejorar-privacidad-que-es-as112/

Muchos de nosotros tenemos en casa cositas que se conectan a Internet, asistentes personales, lavadoras, neveras, hornos, aspiradoras, relojes, interruptores, teléfonos, bombillas, incluso dispensadores de comida para animales.

La verdad es que no somos conscientes hasta que miramos en el servidor de DHCP de nuestra red la cantidad de cesiones de IPs que hay.

De todos los dispositivos que tenemos conectados muchos de ellos funcionan de forma autónoma, nosotros no controlamos la conexión a Internet de una bombilla o del famoso dispensador de alimentos para animales por poner sólo un par de ejemplos.

Estos cacharritos para conectarse a Internet utilizan, como todos, un servidor de DNS al que le hacen preguntas y a veces hacen preguntas sobre elementos de la LAN o se identifican ellos mismos como por ejemplo asistente_salon.home.arpa y claro, nuestro DNS no lo conoce, así que preguntará recursivamente para arriba hasta que llegue a los servidores de DNS de la zona home.arpa y claro, en esos servidores de DNS ahora se sabe que alguien con la IP (x.y.z.k) tiene algo llamado asistente_salon, y si te esperas un poco verás que también tiene un movil_ernesto y si sigues mirando pues sacar muchísimas cosas.

Quizás no parezca demasiado crítico, pero si podemos inferir que Fulanito de tal tiene 3 bombillas, 2 asistentes y 1 aspiradora seguro que podemos sacar más datos.

Obviamente esto es un problema para la privacidad, aunque no fue la privacidad el detonante de controlar esto, que va, el detonante fue la carga de los DNS, bajar la carga de los DNS tal y como dice en la RFC7534:

in order to reduce the load on the IN-ADDR.ARPA authoritative servers

Para bajar la carga de los servidores DNS se delegó la zona home.arpa a los servidores del AS112.

Los rangos a lo que esto afecta es a los asociados con las peticiones de PTR de RFC1918:

10.0.0.0/8
172.16.0.0/12 
169.254.0.0/16
192.168.0.0/16

En cuanto a los servidores utilizados para esas resoluciones tenemos los siguientes:

1.- Direcciones de Anycast para los servidores de DNS:

192.175.48.1 / 2620:4f:8000::1
192.175.48.6 / 2620:4f:8000::6
192.175.48.42 / 2620:4f:8000::42

2.- Direcciones de Anycast para DNAME.

El registro DNAME proporciona la redirección de una parte del árbol de nombres DNS a otra parte del árbol de nombres DNS.

192.31.196.0/24 / 2001:4:112::/48

Así que será necesario anunciar los siguientes prefijos en BGP:

192.31.196.0/24
192.175.48.0/24
2001:4:112::/48
2620:4f:8000::/48

Estos rangos y ese AS se permite que lo anuncie cualquiera por anycast.

¿Por qué Tecnocrática tiene los DNS del AS112 y anuncia los rangos del AS112?

Como os he comentado anteriormente en esas peticiones de DNS hay información que puede ser utilizada por empresas que puedan gestionar dicha información y que le puedan sacar partido. ¿Es nuestro caso? Pues me encantar