Ho da qualche tempo un invito per utilizzare FoolDns, un DNS alternativo e gratuito che si propone di limitare il tracciamento e la profilazione che avvengono tramite la pubblicità, oltre che la censura. Oggi ho deciso di smettere di usarlo sulla mia workstation (è la seconda macchina da cui lo rimuovo finora) e di tracciare un bilancio.

Perché usare un DNS alternativo: perché il DNS del proprio fornitore di connettività potrebbe funzionare male o fornire informazioni alterate. Quest’ultimo è il caso degli ISP italiani che devono applicare per legge forme di censura basate sul DNS.

I servizi aggiuntivi: una volta deciso di usare un DNS alternativo, ci si accorge che il DNS è un canale potente per fare delle altre cose con le richieste degli utenti (analogamente a come ha pensato di fare il censore). Operatori come OpenDNS avvertono quando si visita un sito di phishing e malware, correggono gli errori di battitura, fanno ricerche su Google quando non viene trovato un certo dominio.  FoolDns si concentra invece sulla protezione dalla profilazione, sulla lotta alla censura e sull’eticità del proprio operato: rimuove la pubblicità, gli script traccianti, è immune alla censura e si impegna (tramite il fondatore Matteo Flora) ad una gestione rispettosa della privacy dei suoi utilizzatori.

Il problema dei DNS alternativi in realtà è che si sostituisce un servizio decentrato (il DNS dell’operatore di rete del momento) con uno centralizzato,concentrando in un unico punto le attività DNS di molti utenti e rendendo possibili attività che in un contesto decentrato sarebbero più difficili:

• manipolazione del traffico: ciascun operatore alternativo che offra “servizi aggiuntivi” fa traffic hijacking, manipola cioé le richieste DNS fornendo risposte diverse da quelle intese e richieste. FoolDns manipola le richieste a fornitori di pubblicità e risponde al posto loro, eliminando contenuti traccianti e pubblicitari (cosa che probabilmente dà un beneficio all’utente) e inserendo propri contenuti pubblicitari o informativi soggetti a un codice deontologico (cosa di per se di interesse per l’utente). Anche OpenDNS, manipola il traffico redirigendolo a propri “servizi” nei casi in cui lo ritenga necessario, in modo molto più invadente e alterante.
• profilazione: la natura centralizzata di un DNS alternativo rende possibili tecnicamente operazioni di profilazione del traffico e quindi in potenza, una riduzione o violazione della riservatezza degli utenti. Quali siti vengono richiesti? da chi? per quali aree geografiche, ore del giorno, tipi di utenze? OpenDNS effettua una intensa profilazione degli utenti tramite i servizi di Google, e vende spazi pubblicitari sempre di Google. FoolDns fa profilazione, anche se in forma aggregata e anonima nel rispetto della privacy degli utenti, in piena trasparenza. Dal sito web:

Guadagnamo mediante due differenti linee di Business: Mediante concessione a terzi dei dati aggragati [sic] anonimi (non abbiamo gli IP, ricordate) delle statistiche di eliminazione e di richeste DNS che otteniamo: [...] possiamo dare dati precisi sui siti più richiesti al nostro server DNS.[...] Inoltre forniremo a pagamento dati di Auditel del web dettagliati e in forma anonima. Non abbiamo gli IP, ricordate?

• centralizzazione della debolezze: è l’effetto “signore degli anelli”, in cui tutte le forze e le debolezze n vengono concentrate in un unico punto. Basta che un attaccante intervenga sul gestore del DNS alternativo per influenzare numerosi utenti in una volta sola. 

Diversi scenari e diversi utilizzatori di FoolDns: quanto esposto sopra permette di fare un bilancio costi/benefici che sarà ovviamente diverso a seconda del tipo d’uso che si fa del servizio. A mio giudizio gli scenari d’uso sono tutti legati alla presenza diretta di utenti finali, ed i bilanci sono questi:

• Un utente singolo sul proprio pc si troverà probabilmente più a suo agio intervenendo sulle applicazioni, ad esempio usando il plugin AdBlock Plus per Firefox, o utilizzando Tor + Torbutton per il massimo anonimato, senza intervenire più a fondo sul sistema.
• In una workstation con più utenti o ovunque si debbano gestire più macchine come in un’aula informatica, una biblioteca, un laboratorio, una rete aziendale etc,  FoolDns è una utile scorciatoia per risolvere molti problemi con una singola impostazione. Si imposta il DNS e non ci si deve preoccupare di installare estensioni firefox a tutti gli utenti, spiegare come funzionano, sorvegliarne l’uso. Scrivo che FoolDns è una scorciatoia perché se agli utenti va dato un servizio DNS vero probabilmente si finirà per installare un proprio DNS invece di rivolgersi all’esterno.
• In un server FoolDns è una pessima idea. Si passano informazioni DNS alterate a servizi che falliranno in modi imprevisti e sottili. Non ci sono utenti finali diretti, ma servizi che si affidano a una interpretazione standard dei protocolli e dei servizi in internet.

Le alternative: se si vuole mantenere il controllo sugli standard ed allo stesso tempo evitare la censura, l’unica è installare un proprio DNS server locale che faccia cache. La cosa non è alla portata di tutti, ma non è per nulla difficile.

Il giudizio finale su FoolDns: buona idea, il servizio funziona bene, i suoi banner sono lo stesso fastidiosi, dopo un po’ smetti di usarlo e passi a gestire il tuo dns server direttamente.

Il giudizio su OpenDNS: stare alla larga. 

Per approfondimenti è interessante leggere le osservazioni, in gran parte negative, di Matteo Moro. E naturalmente, il sito ufficiale di FoolDns.

Segnala presso: