Publicado hace 2 años por me_joneo_pensando_en_ti a actualidad.rt.com

La Corporación de Internet para la Asignación de Nombres y Números (ICANN) llevó a cabo a mediados de febrero la 42.ª 'ceremonia de firma de claves', un evento fundamental para mantener la seguridad de Internet. Este eventos normalmente tienen lugar cuatro veces al año, cada tres meses. Siete personas se reúnen en la costa este de EE.UU. y otras siete en la costa oeste para generar y llevarse consigo una nueva llave maestra, es decir, una nueva contraseña. Los dos grupos se reúnen de manera simultánea y en realidad solo son imprescindibles tres

Comentarios

Meinster

#2 Venía a ver quién lo había puesto... Pero que doblaje tan flojo (es la primera vez que lo veo doblado)

MoneyTalks

#2 Clavado, es lo que da a entender la noticia. Como si internet fuera algo que se puede controlar. Cualquiera se puede crear su propia red.

f

#14 "Como si internet [....] su propia red." .... notas que hay algo que no cuadra en tu comentario?

Kleshk

#2 Uno que sabe, mi positivo

D

Que seguridad? Si no hay mas que noticias de ataques y secuestros...

U

#3 Si fueran más habituales, no serían noticia. De todas formas se refiere a la verificación de dominios en internet (el famoso candadito) que certifica que cuando entras en el banco es la página del banco y no una trampa del vecino.

Stiller

Convences a 8 y lo tienes hecho.

f

#27 Puedo estar equivocado, porque todo esto me queda lejos (mis disculpas si digo algo que es incorrecto).... pero estoy casi seguro de que los servidores raiz no certifican nada. Esos servidores raiz tienen la tabla con las correspondencias nombre ==> ip (hacen mas cosas, pero basicamente es eso). A lo que tú te estas refiriendo es la infrastructura de certificados SSL, que sí es la responsable del mensaje que citas (la mayor parte de las veces porque el certificado ha caducado, por cierto), pero aunque el último depende del primero para funcionar, son cosas distintas.

U

#41 Cuando estudié sistemas me contaron que las certificadoras celebraban este tipo de reuniones, por lo que me imaginé que serían ellos. Pero no me extrañaría que los servidores raíz tuvieran el mismo protocolo de seguridad, en sistemas globales y críticos supongo que es lo normal. Así que podría ser cualquiera y francamente no explica ni qué hacen ni quiénes son ni por qué lo hacen así, suspenso en periodismo.

Lo de la fnmt, básicamente y simplificando mucho para que el navegador reconozca la conexión https como "de confianza" el certificado tiene que ser emitido por una certificadora (como por ejemplo verisign) o importarlo manualmente y bajo tu cuenta y riesgo. La Administración emite y usa sus propios certificados por lo que al navegar por sus webs no están verificados. Los desarrolladores de Firefox trataron de que se incluyeran en el navegador base, pero utilizan métodos obsoletos que no se consideran seguros por lo que nunca va a implementarse.
CC #33 Los raíz son varios pero tienen que mantener su consistencia. #37 No sé si son dns raíz o certificadoras, no me queda claro en la noticia.

D

Es controlar el grueso del flujo. Creo que aunque cualquiera puede montarse su propia red que se nutra de la infraestructura de internet para comunicarse no deja de ser mera anécdota. Técnicamente viable y de hecho ocurre pero irrelevante si hablamos de dinero y poder que es al final lo que importa cuando hablamos de control.

dick_laurence

#15 que no hombre que no, que si mañana los servidores DNs raíz desaparecen, aquí se montan en un ratito una red con validación y alcance internacional, y tú por la mañana cuando vayas a desayunar ya puedes encender la internet y leer el Marca tranquilito, sin darte cuenta de lo que ha pasado... lol lol

D

Coño, pues lacarmecarme ¿quien va a ser si no?

mecha

He visto esta noticia más de 1 y de 2 veces pero nunca he entendido que hacen realmente. ¿Acaso no existen muchos servidores DNS distintos? Estos señores ¿qué controlan exactamente? ¿Todos los servidores DNS se alimentan de uno solo para actualizarse o como va la cosa?

ildefonso_arevalo

#5 No controlan una mierda, Internet es una red de redes. Para las enrutaciones tienes los protocolos RIP, por ejemplo. No necesitas DNS en realidad si sabes las IP. Las redes troncales no son unicas sino que estan distribuidas.

ccguy

#6 tú tienes a mano una lista de todas las IPs?

g

#13 No hace falta, generar toda la lista es super fácil

d

#6 Claro, si alguna vez pasa algo con los dns raiz, todo el mundo pondrá la ip de google para navegar y listo. Y si es la IPv6 mejor.

f

#6 Con el primer comentario cuñado del día me tomo un chupito de whisky! hoy ha llegado temprano!

David_VG

#36 no es un comentario cuñado.

f

#48 Decir que "no controlan una mierda" es bastante cuñado. Los DNS controlan el mapeo "nombre que puedes pronunciar --> IP", de manera que si esos no funcionan, no hay nadie que pueda usar internet.

David_VG

#49 Se de sobra lo que hacen las DNS y lo que ha dicho #6 no es falso en nada. Internet es mucho más que eso. Si esa gente se vuelve gilipollas en horas habrá unos nuevos servidores primarios y la gente se registrará en ellos y les hará peticiones y esos tios serán historia, por lo que la dependencia sobre ellos esprácticamente nula.

f

#54 en horas? Y quien se fiara de esos? Si es tan facil conseguir esa confiaza, por que no te montas uno? A nivel de software no tardas ni dos minutos, a partir de uno que este funcionando, pero no se va a fiar ni Dios...

David_VG

#55 Por que no es necesario. En el momento en el que haya un motivo de discrepancia se acabó.

ccguy

#54 y esos nuevos servidores primarios de donde sacan la información, para empezar?
Y cómo llegas a ellos?

David_VG

#59 Dependería de la disputa que motivase su existencia. Imagina por ejemplo una guerra mundial, estados unidos podría decidir que los dominios de sus enemigos no estuvieran visibles, ni en sus redes ni en las demás, sería previsible que sus enemigos sacasen un sistema de resolución de nombres equivalente con el sistema de registro equivalente. Es más, los entes contra los que te registras actualmente ya podrían de por si enviar el registro a esos nuevos entes y los proveedores de internet lanzar consultas o bien a los nuevos (por ser de otro bando o incluso a ambos a la vez si perteneces a un territorio neutral).

ccguy

#60 las IPs de los servidores raíz están fijas en todas partes. Son 13 por una limitación del diseño inicial de DNS.

Sin DNS internet no funciona por mucho que la red física esté intacta.

David_VG

#63 Se de sobra como funciona. Pero actualmente es como es solo por qué estamos en un status quo. Si estáis Unidos jugara esa carta eso dejaría de ser así.

ccguy

#65 cambiar las IPs de los DNS es imposible. Es así de fácil y de difícil.

Es un problema técnico.

David_VG

#66 Eso no es verdad.

Hace tiempo a nadie se le ocurría que la cocina pudiera ser una estancia diferenciada de tu dormitorio hasta que alguien se lo planteó. El día en el que la confianza sobre los DNS por necesidad se tendrá que replantear.

Para empezar podría haber montones de redes con sus dns con sus nodos raiz independientes con información completamente diferente que no sincroniza con las demás y despues porque en caso de necesidad. Si por ejemplo Estados unidos no permitiese que funcionasen los dominios .cn en poco tiempo romperían esa hegemonía y china en nada montaría su propia estructura separada. Si eso pasase te encontrarías que con tu ordenador no verías esos .cn a no ser que tu proveedor consultase a unos y a los otros a la vez, que para ti esa idea se salta el standard actual de DNS,... pues mira tu que bien.

ccguy

#67 Eso es verdad porque las IPs de los DNS están metidas a piñón en montones de sitios.

"Podría haber" no significa nada a nivel práctico. Cambiar todos los routers, switches, etc, que ya existen es imposible. Las decisiones de diseño originales condicionan el funcionamiento de internet, y aunque ahora sabríamos hacerlo mejor, la realidad es la que es. También ahora podríamos reemplazar TCP por algo mejor, etc... claro que no funcionaría nada salvo que cambiáramos un montón de hardware.

David_VG

#68 No es necesario cambiar todos los routers ni switches. La forma en la que se comunica un usuario final con los servidores DNS no es la misma que entre ellos, es mucho más simple. Fíjate como funciona por ejemplo un controlador de dominio en una empresa: resuelve en la empresa y si no consigue resolver escala la petición y todos los equipos que hay dentro de la empresa lo hacen contra esos controladores de dominio.

Por poner un ejemplo hay empresas en las que controladores de dominio se preguntan entre si sobre la resolución de nombres internos de empresas (por ejemplo pasaba en la Xunta entre AMTEGA y CIXTEC) y sin formar parte de la red pública los apartos de red propios son capaces de resolver de forma transparente nombres de ambas partes de la organización y a la vez del exterior.

ccguy

#69 no sé qué decirte. Literatura sobre esto hay muchisima. Los usuarios finales son irrelevantes.

En fin, si quieres busca referencias por ahí.

Las IPs de los DNS raíz no se pueden cambiar, hay muchísimo hardware imposible de cambiar o configurar, y pensar que porque alguien en la Xunta puede cambiar cosas todo el mundo puede hacerlo es muy inocente.

Eso sin contar que de alguna forma mágica tendrías que poder notificar a todo el mundo que usen otro DNS sin usar DNS. Es decir, no podrías ni mandar un correo.

David_VG

#70 Creo que lo quieres entender mal a propósito. Ni digo que la xunta tenga nada que arreglar. Yo me bajo del tren. Buenas noches.

mecha

#8 #27 Tenía entendido esto, que había servidores DNS raíz (no recordaba el nombre), pero son varios y no uno único. Por eso no entendía la utilidad de estos tipos para que funcione internet.

U

#5 Certifican que el sitio que estás visitando es quien dice ser, el dns te da la dirección, pero ellos verifican que tus datos se cifren con la clave correcta (y por lo tanto sólo su destinatario legítimo pueda leerlos).
Son los responsables del famoso mensaje de "entiendo los riesgos/sácame de aquí" en el navegador. Un dns puede contaminarse, pero si te dan el cambiazo de certificados te aparece el famoso mensaje.
Dns por cierto hay muchos, pero todos son réplica de unos pocos "principales".

a

#27 igual me estoy liando (entre otras cosas porque la noticia no explica nada) pero eso que tú dices tiene que ver con los certificados https y la entidades certificadoras.

¿Tiene algo que ver esta gente con las entidades certificadoras? ¿Son los responsables de que la fnmt no fuese entidad de confianza hasta hace bien poco?

manc0ntr0

#27 Lo que asegura que la página segura es el certificado y ese lo emiten las entidades certificadoras, no? No tiene nada que ver con los DNS. Por ejemplo, podrías ir a una web directamente vía IP, sin consultar DNS y seguirías usando el certificado https

Idomeneo

#57 Es un poco más complicado que lo que dices. El certificado SSL es para evitar ataques de man-in-the-middle (autenticando el servidor) y también para cifrar la información entre servidor y cliente. Lo emiten las entidades certificadoras, pero te dan el certificado previa comprobación de que el dominio es tuyo, para lo cual a menudo hay que usar el sistema de DNS ya existente (por ejemplo, el protocolo ACME de Let's Encrypt te pide que pongas una cookie en un cierto lugar de tu sitio web).

Sobre que puedes ir a una web poniendo el IP en lugar del dominio, eso no tiene por qué funcionar, porque el mismo servidor puede atender muchos dominios distintos en el mismo IP (lo que se llama a veces servidores virtuales) y no sabría cuál de ellos es el que quieres visitar.

manc0ntr0

#62 Gracias por la aclaración

m

#5 y si te descuidas, todos esos servidores raíz dependen de un único servidor madre que controla únicamente un listo o grupo de listos

d

Clikibait de libro

d

No parece que la comprensión lectora sea lo tuyo ¿eh? Pero en argumentos ad hominem e insultar parece que estás curtido.

Internet hoy en día NECESITA el sistema dns, lo cual no significa que sea bueno ni que no se pueda cambiar. Pero si ahora mismo quitas el sistema dns se produce un desastre, porque la gran mayoría de sistemas informáticos del mundo lo utilizan.

Los sistemas dns sin servidores raiz son muy bonitos, pero ya han robado cadenas de criptomonedas con un ataque de 51%.

Y por si no lo sabes, aunque supongo que si porque por tus explicaciones pareces muy listo, los sistemas autónomos también están gestionados por una serie de servidores centralizados gestionados por los RIRs. https://es.wikipedia.org/wiki/Registro_Regional_de_Internet

Yo sí que voy a ignorarte, no parece que seas capaz de mantener una conversación educada y no paras de confundir la realidad actual que expongo con tus deseos de libertad en internet. Como si discutir la realidad fuera a cambiarla.. En fin.

D

Sólo con leer el titular ya sabía que iban a hablar de las raíces del DNS.

Eso no es controlar Internet, pero bueno.
Cualquiera puede montarse su servidor DNS y asignar nombres a IP. Otra cosa es que esas asignaciones sean reconocidas a nivel global.

Los protocolos de enrutamiento utilizan direcciones de IP. Los nombres de dominio son una comodidad para seres humanos.

Y la asignación de bloques de direcciones IP también se hace por convención. Siempre puedes montarte tu red aparte.

Guifi.net es un ejemplo.

d

#22 Lo que es una risa es que creas que el p2p es internet.

Internet es mucho mas, y NECESITA un sistema de dominios centralizado. Si caen tu podrás seguir descargando lo que que quieras, durante un rato.. Hasta que empiecen a fallar en masa los servidores que no podrán conectar al servidor ntp, no podrán conectar al repositorio para las actualizaciones de seguridad, dejen de funcionar todos los servicios de los móviles, dejen de ir la mayoría de sistemas embebidos.. Sería un caos total si falla el sistema DNS.

Yo no he hablado de propiedades, he hablado de sistema reconocido por todo el mundo. El dinero del estado funciona porque lo reconocen sus ciudadanos, al igual que los nombres de dominio funcionan porque lo reconoce el mundo entero. Todo el mundo utiliza el sistema dns de un forma u otra, y los sistemas que comentas son sólo para unos pocos. No veo a mi madre instalando Tor para enviar por ahí las fotos en lugar de whatsapp.

D

#44 https://media.ccc.de/v/34c3-ffc-47-kadnode
Dicho suavemente, eres un ignorante.
Las redes no necesitan reconocimiento ni adhesión de nadie para funcionar. Es la gracia de ser un sistema autónomo. Internet es una serie de sistemas autónomos interconectados. Y no todos son enrutables por los motivos que sean (políticos, spam, malware, pesados como tú, sistemas que prefieren mantenerse inaccesibles, etc.). Vamos, que no todos los servidores del mundo son accesibles y no por ello dejan de ser útiles. Si cayeran los servidores raíz DNS se sustituirían por otra cosa sin mayor problema, como ya ocurre hoy día.

Y paso de comentar nada más. Al ignore.

d

#45 Sin mayor problema dice.. nada, que en un par de horitas te programas un sistema nuevo (uno solo eh? que no salgan varias opciones que si hay que decidirse entre varios es mas difícil https://xkcd.com/927/) y luego actualizas los 46.000 millones de dispositivos que usan dns.

Si llevamos años intentando pasar a ipv6 y no hay manera.. lol

Y ojo, que yo no estoy de acuerdo con que nada esté centralizado ni controlado por nadie, pero soy realista, internet no es lo que 4 gatos se monten en su garaje, sino lo que acaba siendo adoptado por la mayoría, y cambiar esos estándares que están desde el principio es MUY DIFICIL.

El smtp, otro ejemplo. Llevamos años intentando buscar soluciones para evitar el spam, y ahí sigue, el mismo protocolo de siempre, con algún que otro encapsulado para ssl/tls, dkim y spf y poco mas.

D

#46
Pero qué turras eres, hijo mío.
Al menos ya has pasado de decir que Internet NECESITA un sistema de dominios centralizado, algo que no existe, a que se puede prescindir de ello y utilizar otra cosa. Nota: lo que existe es un sistema de resolución de dominios. Y por definición es un sistema distribuido, y además recursivo. Hay DNS de zonas, hasta llegar a la red privada de tu casa para resolver los nombres de red local. Internet->WAN->MAN->LAN. Y el P2P DNS es totalmente descentralizado, haciendo desaparecer los servidores DNS raíz.

El SMTP funciona sobre IP. Las listas negras de correo basura son de direcciones de IP, no de nombres de dominio.

IPv6 lo puedes utilizar cuando te dé la gana, nadie te lo impide. Ya hay servicios conectados mediante IPv6. Los ISP también son capaces de enrutar tráfico IPv6.

Está claro que para los vagos como tú todo es inamovible, está grabado en piedra y la innovación es un animal mitológico que necesita del permiso de todos para existir y funcionar.

Fua, pues no sé qué pensarás de las redes oportunistas. Otro animal mitológico.

Hasta nunca.

R

#47 Llevas un cacao importante, amigo roll.

Ya otro día si eso te lo explico, que hoy me viene mal.

D

#51
Será eso, que el cacao lo tengo yo y que a ti te viene mal roll

No soy amigo tuyo.

#19 precisamente eso a saltado por las criptos

D

#19 Siempre puedes montarte tu república aparte.

Como ha quedado demostrado recientemente.

sillycon

Rt también de las trae.
No es Internet, son los DNSs raíces.
Están cifrados gracias a Dan Kaminsky, que en paz descanse.

A

#17 Y no olvidemos a John Postel. Hubo un tiempo en que el DNS mundial era él y un folio plegado en su bolsillo donde apuntaba las altas y asignaba IP con bolígrafo.

xiscosoft

#17 Ni siquiera eso, es DNSSEC (que es sólo una parte de DNS, puedes configurar el servidor para ignorarlo si todo se va al pedo) https://www.icann.org/en/blogs/details/the-problem-with-the-seven-keys-13-2-2017-en

Y por cierto, Dan Kaminsky era una de esas "14" personas: https://www.iana.org/dnssec/tcrs

camvalf

Pues, a mí en mi casa me llaman papá todopoderoso, porque controlo internet, lo puedo cortar si están mucho tiempo conectados y no hacen un artículo troll:

MasterChof

¿Pero entonces, si alguno de estos, un día se pone malo o se le pegan las sábanas, nos quedamos sin Internet?
¡Pues vaya gracia!

Idomeneo

Nota curiosa: En el minuto 0:12 del vídeo sale El Arquitecto de Matrix, o sea, Vint Cerf:

https://www.flickr.com/photos/silvery/3295590288

Idomeneo

#_47 El SMTP funciona sobre IP. Las listas negras de correo basura son de direcciones de IP, no de nombres de dominio.

Eso no es cierto. Hay listas negras de las dos clases, de IPs y de dominios. Las de dominios se llaman RHSBL, de "Right Hand Side Blacklist".

https://es.wikipedia.org/wiki/Lista_negra#Terminolog%C3%ADa

editado:
Este comentario era para PatatasTraigo que todavía me tiene en su ignore, él sabrá por qué.

Imag0

Ostia esto da para temazo de Helloween de 15 minutos 🙌

D

#39 O Gamma Ray.

d

Este comentaro era respuesta para 47 , al ponerle en ignore parece que no se ha puesto como réplica.

c

Estoy seguro que aparte de esas hay otra, la llave Maestra que gobierna a todas, en manos del Señor de la darkweb.

D

14 payasos que no hacen bien su trabajo. me paso día y noche reiniciando el rutre por culpa de los jraques