どちらのインターネットをお使いですか?

ISPのテレアポから電話

• 「どちらのインターネットをお使いですか?」
• 「え? インターネットって何ですか?」
• 「え?」
• 「え?」

インターネットって何

• WWW? メールは?
• IPリーチャビリティ? IPv4? IPv6?
• 何が疎通するとインターネット? HTTP? SMTP? DNS?
• ケータイはインターネット?
• どこからどこまでがインターネット?
• サーバが立てられなくてもインターネット?
• 接続形態やプロトコルじゃないなら何?
• RFC 4084 Terminology for Describing Internet Connectivity

Rise of the Stupid Network

単にビットを運ぼう、愚直に！
(JUST DELIVER THE BITS, STUPID)

エンドユーザ装置は自由に柔軟にふるまって良い．なぜなら，Stupid Network においてはデータが殿様であり，bit は本質的に自由であり，そして，データが単一のデータ速度やデータタイプであるといった仮定は存在しないからである。

Rise of the Stupid Network, August 1997
David Isenberg / 訳 佐藤正和

World of Ends

What the Internet Is and How to Stop Mistaking It for Something Else.

1. インターネットは複雑ではない
2. インターネットはものではない。合意である
3. インターネットは愚直(stupid)である
4. インターネットに価値を付加することは、 インターネットの価値を下げることである
5. インターネットの価値のすべては、その端で膨らむ
6. お金は中心から端の方へ移動する
7. 世界の終り？ いえ、終りの世界です
   (The end of the world? Nah, the world of ends.)
8. インターネットの3つの利点
   • 誰もそれを所有していない
   • 誰もがそれを使える
   • 誰でもそれを改善できる
9. インターネットがそんなにシンプルなら、 誰も失敗してないはずだが、、、
10. 止められるはずの間違いが進んでいる

インターネット技術はおんぼろ仕様

インターネットは進化している?

• TCP/IP (RFC 793/791) 1981年() ... IPv4アドレス枯渇 (2011)
• SMTP (RFC 821,822) 1982年() ... ほぼ崩壊 / spam 蔓延
• DNS (RFC 1034,1035) 1987年() ... 幻想が崩壊中 (後述)
• BGP4 (RFC 1654) 1994年() ... 経路ハイジャックが頻発
• IPv6 (RFC 1883) 1995年() ... いまだ普及せず (失敗したと言ってもいい)

インターネット技術は実装もおんぼろ

• バグだらけの DNS 実装 (繰り返される「BINDの夏」)
• 前世紀(1997,Kashpureff)の DNS は毒入れ放題だった
• 2008年(Kaminsky) まで毒入れ成功確率が高いまま放置された BIND
• BIND の内緒の脆弱性(カミンスキーバグ)にパッチが当たったのは2009年冬 / いまだに開発元から説明はなされていない
• いまだに大多数の DNS 実装で危険な脆弱性が放置状態 (後述)
• その他、今でも見つかる TCP/IP 実装の脆弱性など
• 2014 には OpenSSL, Bash, Android などにも危険な脆弱性がたくさん、、、

Vulnerabilities of BIND

https://kb.isc.org/article/AA-00913/0/BIND-9-Security-Vulnerability-Matrix.html より

#	CVE Number	Short Description
91	2017-3143	An error in TSIG handling can permit unauthorized dynamic updates
90	2017-3142	An error in TSIG handling can permit unauthorized zone transfers
89	2017-3141	Windows service and uninstall paths are not quoted when BIND is installed
88	2017-3140	An error processing RPZ rules can cause named to loop endlessly after handling a query
87	2017-3139	[Red Hat] assertion failure in DNSSEC validation
86	2017-3138	named exits with a REQUIRE assertion failure if it receives a null command string on its control channel
85	2017-3137	A response packet can cause a resolver to terminate when processing an answer containing a CNAME or DNAME
84	2017-3136	An error handling synthesized records could cause an assertion failure when using DNS64 with "break-dnssec yes;"
83	2017-3135	Combination of DNS64 and RPZ Can Lead to Crash
82	2016-9778	An error handling certain queries using the nxdomain-redirect feature could cause a REQUIRE assertion failure in db.c
81	2016-9444	An unusually-formed DS record response could cause an assertion failure
80	2016-9147	An error handling a query response containing inconsistent DNSSEC information could cause an assertion failure
79	2016-9131	A malformed response to an ANY query can cause an assertion failure during recursion
78	2016-8864	A problem handling responses containing a DNAME answer can lead to an assertion failure
77	2016-2848	A packet with malformed options can trigger an assertion failure in ISC BIND versions released prior to May 2013 and in packages derived from releases prior to that date.
76	2016-2776	Assertion Failure in buffer.c While Building Responses to a Specifically Constructed Request
75	2016-2775	A query name which is too long can cause a segmentation fault in lwresd
74	2016-2088	A response containing multiple DNS cookies causes servers with cookie support enabled to exit with an assertion failure
73	2016-1286	A problem parsing resource record signatures for DNAME resource records can lead to an assertion failure in resolver.c or db.c
72	2016-1285	An error parsing input received by the rndc control channel can cause an assertion failure in sexpr.c or alist.c
71	2016-1284	A REQUIRE assertion failure in rdataset.c can be deliberately triggered in servers performing NXDOMAIN redirection
70	2015-8705	Problems converting OPT resource records and ECS options to text format can cause BIND to terminate
69	2015-8704	Specific APL data could trigger an INSIST in apl_42.c
68	2015-8461	A race condition when handling socket errors can lead to an assertion failure in resolver.c
67	2015-8000	Responses with a malformed class attribute can trigger an assertion failure in db.c
66	2015-5986	An incorrect boundary check can trigger a REQUIRE assertion failure in openpgpkey_61.c
65	2015-5722	Parsing malformed keys may cause BIND to exit due to a failed assertion in buffer.c
64	2015-5477	An error in handling TKEY queries can cause named to exit with a REQUIRE assertion failure
63	2015-4620	Specially Constructed Zone Data Can Cause a Resolver to Crash when Validating
62	2015-1349	A Problem with Trust Anchor Management Can Cause named to Crash
61	2014-8680	Defects in GeoIP features can cause BIND to crash
60	2014-8500	A Defect in Delegation Handling Can Be Exploited to Crash BIND
59	2014-3859	BIND named can crash due to a defect in EDNS printing processing
58	2014-3214	A Defect in Prefetch Can Cause Recursive Servers to Crash
57	2014-0591	A Crafted Query Against an NSEC3-signed Zone Can Crash BIND
56	2013-6230	A Winsock API Bug can cause a side-effect affecting BIND ACLs
55	2013-4854	A specially crafted query can cause BIND to terminate abnormally
54	2013-3919	A recursive resolver can be crashed by a query for a malformed zone
53	2013-2266	A Maliciously Crafted Regular Expression Can Cause Memory Exhaustion in named
52	2012-5689	BIND 9 with DNS64 enabled can unexpectedly terminate when resolving domains in RPZ
51	2012-5688	BIND 9 servers using DNS64 can be crashed by a crafted query
50	2012-5166	Specially crafted DNS data can cause a lockup in named
49	2012-4244	A specially crafted Resource Record could cause named to terminate
48	2012-3868	High TCP query load can trigger a memory leak
47	2012-3817	Heavy DNSSEC validation load can cause a "bad cache" assertion failure
46	2012-1667	Handling of zero length rdata can cause named to terminate unexpectedly

おんぼろでもやってこれた

• 運用でカバー!
  - Postel の法則 (送信側は厳しく、受信側は甘く)
• 皆でつくり、皆で運用してきた
• インターネットが何であるかわかっていたし、学ぶ場があった
  
  参考:
  • 名大情報連携基盤センターニュース座談会
    「これからの学術ネットワークはどうあるべきか」前編,後編
  • 中京大学 IASAIニュース「学術ネットワークの行方」
• いや、なんとかやっていたというのはたぶん幻想
• 皆、鷹揚だっただけ

時代は変わり

• 自律と協調の喪失 (Postelの法則、電気通信事業法への甘え)
• インターネットは商品へ (RFC 4084)
• 失敗が許されない壁の内側で、学ぶ場を喪失
• ショートカット症候群が蔓延
  -「Java の開発者は?」 の課題に
  　「Multiple Inheritance さん」と答えるボット学生たち
    ...「Javaの設計者はmultiple inheritance:多重継承を許しませんでした。」と書かれたサイトがある
  - 自らの頭で考えない/考えてはいけない運用技術者たち (マニュアル偏重主義)
• 誤魔化しの常套句は「浸透をお待ちください」...浸透いうな!
  

そして運用もおんぼろに

間違った理解、間違った設定、出鱈目な運用、間違った解説が氾濫

• 「浸透をお待ちください」で客をごまかす業者たち
• バックスキャッタ (詐称アドレスへのエラーメール) の応酬 (ゴミは隣の庭へ)
• ルーティング・ループが原因の輻輳をルータの性能のせいにする業者
• ハイジャックや毒入れ可能な重要ドメインたち (VISAとかTLDも)
• 有り余るほどのオープンリゾルバやポート固定サーバたち
• 現場には技術者不在、基盤技術はボロボロ
• しかるに研究者はロマンを次々投入 (砂上の楼閣) ... そしてトラブル
• 身の丈に合わない技術で起きるのび太のテロ

こんな事態も

隠蔽される DNS の破綻

• 2014.02.15 前野年紀氏(元東工大/qmail.jp主宰)が CO.JP への毒入れを思いつく
  - その後、鈴木が各種実証実験
• 2014.03.13 JPRS の広報担当、技術担当が中京大学(鈴木)訪問 (協力要請)
• 2014.04.01 RFC 2181 の問題に気づき「移転インジェクション」で JP ゾーンに容易に毒入れできることを実証 (鈴木)
• 2014.04.01 ルートゾーンへの毒入れ実験成功 (鈴木)
• 2014.04.15 JPRS から緊急の注意喚起 (解説はなし)
• 2014.04.15 解説なしでは悪人だけ利すると判断し、同日午後に解説
  「キャッシュポイズニングの開いたパンドラの箱」を公開 (鈴木)

隠蔽されるDNSの破綻

• 2014.04.30 JPRS 「キャッシュDNSサーバー運用者向け―基本対策編」発表
• 2014.05.30 JPRS 「権威DNSサーバー運用者向け―基本対策編」発表
• 2014.06.05 IEICE 情報通信システムセキュリティ研究会で招待講演 (鈴木)
• 2014.06.xx 情報誌「ザ・ファクタ」に記事「打つ手なし『jpドメイン』攻撃」
• 2014.07.17 JANOG34 にて JPRS が「Security Issuesへの取り組みと対応―『ちゃんと』『きちんと』伝えるためにできること～キャッシュポイズニングの手法を題材に～」と題した言い訳
• 2014.09.28 SECCON 2014 での JPRS と私の対談は実現せず
• 2014.11.04 IPSJ 東海支部講演会で解説 (鈴木)
• その後、、、
  JPRS は約束した応用対策編を出さず、IPA も注意喚起を拒否
  一般へ向けた DNS の構造的脆弱性の解説と注意喚起は闇の中
• どういう風の吹きまわしか、先週 10/27 に IPA から届出受理、取扱い開始の連絡

DNS業界の闇

崩壊より恐い未来

• インターノットという商品あるいはインフラ幻想に求められる品質管理と責任
• 自律の喪失から規制強化へ
• 分散運用が立ち行かなくなり集中管理へ (ac.jpの状況)
• 協調の喪失から分断へ (メールはもう死に体)
• 生み出す力の喪失 (J.ジットレイン『インターネットが死ぬ日』)
• 自由からの逃亡 (安心のファシズム)
• 利便性と安全性の追求からプライバシーの喪失へ
  (偏見や差別や抑圧が無くなったうえでなければ民主主義の危機となる)
• インターネット(=自律分散協調)の崩壊
• インターノットも根幹が同じままで動き続けられるか?

まずは皆が現実を直視することから

• インターノットはインフラか?
• 上層が変容してもインターネット技術の根幹は変わっていない
• インターネットが何であるかを利用者に説明してこなかったネット事業者たち
  技術者の矜持? 「気づかれずに IPv6に移行するのがベスト」?
• 意識高い「立派な技術者」たちだけがんばってもだめ
• ガバナンスを皆で考えるとき (IGF or IGCJ or ?)
• 砂上の楼閣である現実を直視し、崩壊について皆で考える必要がある
  • 崩壊シナリオA: 機能不全
  • 崩壊シナリオB: 管理ネットワーク/管理社会 (自律分散協調の敗北)
• どういうネットワーク、どういう社会にしたいのか? (現状は哲学不在)
• 管理される社会か、自律・分散(選択の自由)・協調できる社会か、、、
• Small is Beautiful

ハイテク中毒

Dostoevsky once wrote that
"in the end they will lay their freedom at our feet and say to us,
'Make us your slaves, but feed us.' "
His prophecy is relevant when examining the modern Information Age

Richard Forno http://www.theregister.co.uk/2003/09/15/hightech_heroin/

テクノロジー失業

1936年 ジョン・メイナード・ケインズ 『雇用・利子および貨幣の一般理論』

「我々がいま苦しんでいる新たな病の名前を聞いたことのない読者もおられようが、そのような方々でも今後数年のうちには幾度となくその名を耳にするにちがいない。 “テクノロジー失業”という病がそれである。これは我々が、労働力の新しい利用方法を見い出す以上に速いペースでその労働力の利用を倹約してしまう手段を発見したがゆえに生じた失業を意味している」

Internet IS for everyone

RFC3271

Internet IS for everyone
- but it won't be unless WE make it so.

2002, V.Cerf

イリイチに学ぼう

人々は物を手に入れる必要があるだけではない。暮らしを可能にしてくれる物を作り出す自由、それに自分の好みに従って形を与える自由、他人をかまったり世話をしたりするのにそれを用いる自由を必要とするのだ。

豊める国々の囚人はしばしば、彼らの家族よりも多くの品物やサービスが利用できるが、品物がどのように作られるかということに発言権を持たないし、その品物をどうするかということも決められない。彼らの刑罰は、私のいわゆるコンヴィヴィアリティを剥奪されていることに存する。彼らは単なる消費者の地位に降格されているのだ。

イヴァン・イリイチ「コンヴィヴィアリティのための道具」より

THE CHOICE BETWEEN LIVING AND DYING

われわれが，新たな Stupid Network の付加価値提供として何を見いだそうとも，私の仕事の前提は，インテリジェントなエンドユーザ装置と，インテリジェントな顧客と，そのインテリジェンスが企業の資産として評価されるような従業員と，そして学ぶことのできる企業を基盤としたものになろう．

August 1997
David Isenberg / 訳 佐藤正和

THE CHOICE BETWEEN LIVING AND DYING

われわれが，新たな Stupid Network の付加価値提供として何を見いだそうとも，私の仕事の前提は，インテリジェントなエンドユーザ装置と，インテリジェントな顧客と，そのインテリジェンスが企業の資産として評価されるような従業員と，そして学ぶことのできる企業を基盤としたものになろう．

August 1997
David Isenberg / 訳 佐藤正和

... The End's

参考情報

• インターネット崩壊について考えるためのページ
• インターネットの哲学
• インターネット崩壊序説 (名古屋大学講義「計算機と社会」より)
• 著者ブログ