Google Public DNS
Varje gång Google släpper en ny tjänst börjar hela världen spekulera kring idéerna bakom och vad Googles motiv bakom tjänsten egentligen är. I förra veckan släppte Google en ny tjänst inom den delen av Internet som .SE verkar inom, nämligen en DNS-tjänst. Deras DNS-tjänst ”Google Public DNS”innebär att man kan konfigurera sin dator till att använda den här tjänsten för att få en ”snabbare och säkrare” Internet-upplevelse. Tjänsten ger kort och gott Internet-användare en möjlighet att använda en alternativ namnuppslagsningstjänst, om den man råkar använda inte beter sig tillräckligt bra.
Tyvärr har många Internetoperatörer inte sett DNS som en tjänst som måste vara säker
Men vad innebär då detta? Om jag får spekulera fritt så har Google uppenbarligen sett problem med Internetanvändares befintliga DNS-tjänster, tjänster som traditionellt sett Internetoperatörerna tillhandahållit. Tyvärr har många Internetoperatörer inte sett DNS som en tjänst som måste vara säker, stabil eller snabb, och ofta har den hanterats med vänsterhanden utan tydligt ansvar. Det har dessutom redan tidigare etablerats operatörer som till exempel OpenDNS på området, och som lyckats väl med att få användare som flytt Internetoperatörernas allt sämre DNS-tjänster.
OpenDNS ser naturligtvis det faktum att Google satsar på den här typen av tjänster som ett seriöst hot, eftersom Google är så pass mycket större och uthålligare än en liten spelare som OpenDNS. David Ulevitch, grundare av OpenDNS, kände sig naturligtvis nödgad att omedelbart bemöta Googles tillkännagivande av den här tjänsten i ett blogginlägg. Det finns nämligen några stora skillnader mellan dessa båda tjänster. OpenDNS försöker ge någon form av mervärde i det faktum att de kan manipulera DNS-trafiken, till exempel genom att erbjuda flera former av filtrering av DNS-uppslag. Det kan vara allt från att filtrera bort uppslag till domäner som erbjuder ”vuxet” material, till att förhindra phishing-sajter som försöker att på olika sätt försöker lura användaren på information eller pengar. Om en domän inte existerar (DNS-svaret blir NXDOMAIN, dvs det man försöker slå upp i DNS finns inte i DNS-trädet) så levererar OpenDNS en ”hjälp”-sida, naturligtvis med reklam. Detta beteende kan tyvärr ställa till oreda för andra protokoll än HTTP (som webben använder), som förlitar sig på korrekta NXDOMAIN-svar.
Google är nästan raka motsatsen till OpenDNS. Vad Google Public DNS erbjuder är inte en tjänst som ska ”hjälpa” användaren, utan vad Google vill göra är att få till en riktigt bra DNS-tjänst som användaren faktiskt vill använda. Detta innebär också att Google uttalat väljer att inte filtrera trafik eller skriva om NXDOMAIN. Dessutom kommer de använda sig av DNSSEC när det är ”universally implemented”, vilket jag läser in som att det betyder att de kommer att använda sig av rootens DNSSEC-nycklar när root är signerad, vilket är planerat till juli 2010.
Hur kommer det data om de DNS-uppslag man gör hanteras?
Farhågan är naturligtvis integritets-aspekterna. Hur kommer det data om de DNS-uppslag man gör hanteras? OpenDNS uppger att de lagrar informationen om DNS-frågorna i två veckor medan Google gör distinktionen mellan att lagra klientens IP-adress och data om de frågor man ställer – Google raderar klientens IP-adress efter ett dygn emedan resten av datat förmodligen sparas för evig analys. Man kan med ganska stor säkerhet anta att du med din vanliga ISP inte har en aning om hur de hanterar det data som passerar DNS-uppslagningstjänsten. Här har man åtminstone ett hum om hur de kommer att hantera det, även om de när som helst kan ändra sin policy. Det här betyder ju också att de faktiskt – när de har tillräckligt antal användare – faktiskt kan få för sig att skapa egna TLD:er eller överlag förändra detaljer i hur de hanterar DNS-katalogen. Både OpenDNS och Google (och andra operatörer, som din ISP) kan också när som helst få för sig att sälja statistiken över namnuppslagningar.
Google jobbar ju också på med sitt eget operativsystem Chrome OS. Kommer detta OS komma förkonfigurerat även med Googles DNS-tjänst? Sammanfattningsvis kan man säga att det är positivt att det kommer flera seriösa utmanare till Internetoperatörernas DNS-tjänster – detta kommer på sikt att öka kvaliteten på DNS-tjänsten markant. Vidare är det bra att användarna har möjlighet att använda sig av DNS på ett sätt denne önskar. Men min upplevelse av DNS är att jag vill köra DNS-uppslagning på mina egna maskiner och nät, då det blir absolut snabbast. Inser dock att jag kanske är en expert-användare eftersom detta i princip är mitt jobb.
Kommentarer
Patrik, hur ser du på det faktum att alla DNS-uppslag som görs mot Googles resolvrar passerar rikets gräns och därmed är föremål för FRA-analys? Det betyder ju att FRA på detta sätt får veta i princip allt du surfar/mailar/chattar/telnettar/gophrar till, oavsett om det är inom Sverige eller inte.
Bryr man sig om sin personliga integritet på den nivån så ska man nog inte använda sig av några alls av Googles tjänster.
Glöm inte bort att du förmodligen avlyssnas också av andra länders säkerhetstjänster. Och om du får för dig att göra olämpliga saker så har nog de flesta större tjänsteleverantörer färdiga metoder för att lämna ut information om sina användare till både höger och vänster. (Se till exempel det som läckte från Yahoo för ett par dagar sedan.
Så om man har foliehatten på – hur går man till väga för att undvika att ens DNS-uppslag loggas, lagras och delas med diverse underrättelsetjänster? Hjälper det ens att ha en egen resolver?
Med en egen resolver har man givetvis störst kontroll över sina DNS-frågor (och det som ligger i cachen!). Men frågor till utländska namnservrar går givetvis fortfarande över den svenska gränsen. Och du förmodligen inte att svenska webbsidor/tjänster kanske beror på utländska namnservrar heller.
Och när jag sedan läser sådana här uttalanden från Google själva blir jag lite ledsen… Google chief: only miscreants worry about net privacy … Dvs, den klassiska retoriken om att ha rent mjöl i påsen.
”If you have something that you don’t want anyone to know, maybe you shouldn’t be doing it in the first place”
Mmmm, men Internet känner inte till begreppet landsgränser – faktiskt. Och inte google heller. Att du använder google som resolver innebär inte automatiskt att det är servrar utanför landet som används. Google har ju serverfarmer lite här och där… :-)
En intresant aspekt blir väl om dom distribuerade farmerna också lever upp till det lokala landets lagar och hur kollar man iså fall det? T.ex lämnar google ut data till NSA från en svensk serverfarm är det ju riktigt allvarligt.
Hittade just den här programvaran, som kan vara trevlig för den som har svårt att välja DNS-tjänst (om man bara ser till prestandan):
http://code.google.com/p/namebench/
För den som har Windows (eller Wine) rekommenderar jag https://www.grc.com/dns/benchmark.htm
Level3 och Google Public DNS är bland de snabbaste.
För att experimentera med olika dns-servrar (försvinner vid omstart) skriv följande på kommandoraden:
netsh interface ipv4 set dnsserver name=”Trådlös nätverksanslutning” static 8.8.8.8 primary
Patrik: du glömde nämna att Google publicerar vilka modifieringar de gjort så att andra DNS-servrar kan apa efter alla bra lösningar. (Och ett tveksamt rykte att deras DNS-mjukvara ska bli open source.)
Uttalandet av Schmidt — kanske han inte har tänkt igenom demokratiaspekten. Kanske Schmidth menade att det är huvudsakligen omöjligt att vara hemlig, den som har tid och resurser kan alltid spåra i den fysiska världen. Citatet verkar ha redigerats i artikeln, åtminstone för att få till en inflammerande artikelrubrik.
tor och i2p tros vara i praktiken ospårbara och därmed ett gott alternativ för den som behöver källskydd i nivå med vad vi hade för 10 år sedan.
Du har rätt Patrik i det du skriver om ”Google uppenbarligen sett problem med Internetanvändares befintliga DNS-tjänster” och min erfarenhet är att det framför allt är mindre operatörer som har dålig koll på sin DNS prestanda och säkerhet.
Efter SKA-tester av ett öppet stadsnät i Norrbotten visar det sig att fem av fem operatörer inte validerar .se med DNSSEC. Efter påtryckningar aktiverade Bredband2 det snabbt
medan det går trögt i kommunikationen med de övriga operatörerna.
En DNS med IP-adressen 8.8.8.8, är det bara jag som får ”Ulla Bella min sekreterare”-rysningar? :)
/Tobbe
Sitter med en gammal router.. och blir nedstängd rätt som det är och kör med isp:ens dns-servrar.. Rätt som det är så är det nertid i nån timme sen efter omstarter ur och i med strömkabel så fungerar det igen….Är rädd att isp:ens dns-servrar har blivit lite infekterade då vi kör med en hostad variant av epost… Sen bytte vi till google-dns och allt sånt där med nertid är bara borta???? Vad väljer man?.. Jo prova google-dns …VIdare så är det ju din internetleverantörs ipnr som måste ge ut uppgifter vid en polisanmälan ..enligt lagen om FRA.. ..Vissa isp:er som vår går efter det gamla systemet…..och google-dns sparar endast uppgifter i upp till 3-4 dar sen raderas allt..