Il DNS su HTTPS (DoH) protocollo non è la privacy panacea che molti sono state sostenendo in questi ultimi mesi.
Se dobbiamo ascoltare di networking e di esperti di sicurezza informatica, il protocollo è un po ‘ inutile e provoca più problemi di quanti ne risolve, e la critica è stata di montaggio contro DoH e quelle che promuovono come una valida privacy-preserving metodo.
TL;DR è che la maggior parte degli esperti ritiene DoH non è buona, e la gente dovrebbe essere concentrando i loro sforzi sulla realizzazione di modi migliori per crittografare il traffico DNS — come DNS-over-TLS — piuttosto che a DoH.
Che cosa è DoH e una breve storia
Il DNS su protocollo HTTPS è un’invenzione recente. E ‘ stato creato un paio di anni fa e che è stato proposto come standard internet lo scorso ottobre (IETF RFC8484) è già supportato su Android, ed è prevista per il roll-out sia in Mozilla Firefox e Google Chrome alla fine di quest’anno.
Il protocollo funziona modificando funzionamento di DNS. Fino ad ora, DNS query eseguite in chiaro, da un app ad un server DNS, utilizzando le impostazioni DNS del sistema operativo locale, ha ricevuto dal suo fornitore di rete — di solito un internet service provider (ISP).
DoH modifiche di questo paradigma. DoH crittografa le query DNS, che sono mascherati come regolare il traffico HTTPS — quindi il DNS su HTTPS nome. Questi DoH query vengono inviati speciali DoH capace di server DNS (chiamato DoH resolver), che risolve il DNS query all’interno di una DoH richiesta, e la risposta all’utente, anche in modo cifrato.
A causa di tutto quanto sopra, le aziende e le organizzazioni che hanno DoH-i prodotti in grado di pubblicità DoH come un modo per evitare che gli Isp dal tracciamento degli utenti traffico web e come un modo per bypassare la censura in oppressivo paesi.
Ma molti imparato dicono che questa è una bugia. Diversi esperti nel campo del networking e della sicurezza informatica hanno pubblicamente criticato alcune delle affermazioni circostante DoH e gli sforzi per spingere quasi ovunque.
Dicono DoH non è magica la privacy degli utenti, la cura che alcune aziende sono state spingendo i loro sforzi di marketing, al fine di migliorare la loro immagine di privacy-prime organizzazioni.
Gli esperti dicono che queste aziende sono irresponsabili per spingere un half-baked protocollo che in realtà non proteggere gli utenti e provoca più problemi di quanti ne risolve, soprattutto nel settore delle imprese.
La risposta a DoH dell’unzione, come una maggiore privacy-preserving soluzione è stata decisamente acido, in alcuni casi. I critici hanno preso un colpo al protocollo su diversi pianure, che cercheremo di organizzare e classificare qui di seguito:
DoH, che in realtà non impedire Isp utente trackingDoH crea scompiglio nell’impresa sectorDoH indebolisce cyber-securityDoH aiuta criminalsDoH non dovrebbe essere raccomandato per dissidentsDoH centralizza il traffico DNS a pochi DoH resolver
DoH, che in realtà non impedire Isp per il tracciamento degli utenti
Uno dei principali punti DoH sostenitori sono state parole circa l’anno scorso è che DoH impedisce Isp dal tracciamento degli utenti richieste DNS, e quindi impedisce il tracciamento degli utenti traffico web abitudini.
Sì. DoH impedisce che gli ISP visualizzazione di un utente, le richieste DNS.
Tuttavia, il DNS non è l’unico protocollo coinvolti nell’esplorazione del web. Non ci sono ancora innumerevoli altri punti di dati che gli Isp potrebbero traccia per sapere se un utente è in corso. Chiunque dicendo che DoH impedisce Isp dal tracciamento degli utenti è mentire o di non capire come traffico web funziona.
Se un utente accede a un sito web caricato tramite HTTP, utilizzando DoH è inutile, come l’ISP ancora sapere cosa URL a cui l’utente accede semplicemente guardando il testo e le richieste HTTP.
Ma questo è anche vero, anche se gli utenti accedono a siti HTTPS. L’Isp sapere a quale sito l’utente si connette perché il protocollo HTTPS non è perfetto, e alcune parti della connessione HTTPS non sono crittografati.
Gli esperti dicono che gli Isp non essere disturbati da DoH a tutti, perché si può facilmente guardare questi HTTPS porzioni che non sono criptati — come SNI campi e OCSP connessioni.
DoH cifra proprio zero dati che non sono già presenti in forma crittografata. Come si trova, utilizzando DoH fornisce solo *ulteriori* perdite di dati. SNI, gli indirizzi IP, il protocollo OCSP e le restanti connessioni HTTP ancora fornire il resto. È falso privacy nel 2019.
— Bert Hubert 🇪🇺 (@PowerDNS_Bert) 22 Settembre 2019
Inoltre, gli Isp sapere tutto di tutti è comunque il traffico. Da progetto, loro si può vedere a quale indirizzo IP l’utente si connette quando si accede a un sito web.
Questo indirizzo IP non può essere nascosta. Sapendo il finale IP di destinazione rivela per quello che sito un utente si connette, anche se tutto ciò che riguarda il suo traffico è criptato. Una ricerca pubblicata questo mese di agosto ha mostrato che un terzo può identificare con il 95% di precisione di siti web in cui gli utenti sono stati connessione solo guardando gli indirizzi IP.
Eventuali reclami DoH impedisce Isp dal tracciamento degli utenti sono in malafede e fuorviante, gli esperti sostengono. DoH solo disagi Isp da accecante li per un vettore, ma hanno ancora un sacco di altri.
DoH ignora le politiche dell’impresa
Il secondo principale punto di parlare è DoH impatto sul settore enterprise, dove gli amministratori del sistema locale di utilizzo dei server DNS e DNS-based software per filtrare e monitorare il traffico locale, per impedire l’accesso non legate al lavoro e siti di malware domini.
Per le imprese, DoH è stato un incubo da quando è stato proposto. DoH fondamentalmente crea un meccanismo di sovrascrivere centrale-imposte impostazioni DNS e consente ai dipendenti di utilizzare DoH a ignorare qualsiasi DNS del traffico basato su soluzioni di filtraggio.
Da oggi, i server DNS non supportano DoH query, le app che supportano attualmente DoH venire con le liste di hardcoded DoH server, in modo efficace la separazione DoH del sistema operativo regolare le impostazioni DNS (un grande software design no-no che ha fatto arrabbiare alcuni sviluppatori già, come OpenDNS team).
Gli amministratori di sistema hanno bisogno di mantenere un occhio su impostazioni DNS sistemi operativi per prevenire DNS dirottare gli attacchi. Avere centinaia di app con il loro unico DoH impostazioni è un incubo, in quanto rende di monitoraggio per il DNS hijacking quasi impossibile.
Inoltre, il traffico a determinati domini è bloccato per un certo motivo all’interno delle imprese.
Una volta DoH diventa ampiamente disponibili, diventerà di tutti i dipendenti metodo preferito per bypassare enterprise filtri per l’accesso a contenuti che normalmente bloccati al loro luoghi di lavoro.
Alcuni possono utilizzare per l’accesso a film in streaming o siti con contenuti per adulti, ma una volta attivata, DoH rimane attivo e dipendenti possono anche accidentalmente visita malware e siti di phishing, il che ci porta al prossimo punto…
DoH indebolisce la cyber-sicurezza
Molti esperti dicono che il protocollo upends centinaia di cyber-security solutions, che diventerà inutile una volta che gli utenti di iniziare a utilizzare DoH all’interno del loro browser, accecante strumenti di sicurezza da vedere cosa stanno facendo gli utenti.
E ci sono stati molti esperti hanno messo in guardia su questo problema, le cui voci sono stati sommersi di coloro che dichiarano DoH è la cosa migliore dopo il pane a fette.
“Quando il DNS protocollo crittografato, un’organizzazione non è più possibile utilizzare una query DNS di dati (query tipo di risposta, IP di origine, ecc) per sapere se un utente tenta di accedere a un noto bad dominio, figuriamoci attivare un blocco o reindirizzare l’azione su di esso,” Andrew Wertkin, Chief Strategy Officer di BlueCat, ha detto a ZDNet via e-mail all’inizio di questa settimana.
Rfc 8484 è un cluster di anatra per la sicurezza in internet. Mi dispiace per piovere sulla tua parata. I detenuti hanno ripreso l’asilo.
— Paul Vixie (@paulvixie) 20 ottobre 2018
DNS su HTTPS #DoH è sicuramente una cosa del genere. Penso che influenzano la sicurezza della rete di rilevamento e di monitoraggio in un modo non banale. #dailypcap
Abbastanza dritto in avanti, ma alcune buone letture:
1) https://t.co/RnSito66aK
2) https://t.co/vDOWEHbBog
3) https://t.co/hNnvLYGKdn pic.twitter.com/AEgM5H9wui— Steve Miller (@stvemillertime) 24 ottobre 2018
In un articolo pubblicato il mese scorso, il SANS Institute, uno dei più grandi del mondo, sicurezza informatica, enti di formazione, ha detto che “l’assoluta utilizzo di DNS cifrato, in particolare DNS su HTTPS, potrebbe consentire ad aggressori e addetti ai lavori per il bypass organizzativa controlli”.
Un simile avviso è stato ripreso questo venerdì, 4 ottobre, in un security advisory rilasciato dall’olandese National Cyber Security Centrum. Le autorità olandesi ha avvertito che le organizzazioni che utilizzano DNS di sicurezza basati su soluzioni di monitoraggio “sarà probabilmente vedere i loro visibilità diminuire nel tempo” e questi prodotti per la sicurezza diventerà inefficace.
“La tendenza è inconfondibile: DNS di monitoraggio otterrà più difficile,” l’olandese ha detto l’agenzia.
Il consiglio è che le aziende hanno bisogno di guardare a metodi alternativi di bloccare il traffico in uscita, soluzioni che non si basano solo su dati DNS. Il SANS Institute sollecita le organizzazioni non farsi prendere dal panico, ma questo comporterà un impegno finanziario e di tempo per aggiornare i sistemi, qualcosa che molte organizzazioni non essere disposti a fare.
E hanno bisogno di farlo in fretta, come gli autori di malware hanno già reso conto di quanto sia utile DoH può essere. Per esempio, nel mese di luglio, notizie emerse di primo malware che utilizzato DoH per comunicare con il server di comando e controllo ostruita da rete locale di monitoraggio di soluzioni.
Ma i ricercatori di sicurezza e gli amministratori delle aziende non sono stupido. Hanno anche capire la necessità di proteggere le query DNS di snooping occhi.
Tuttavia, se si sarebbe fino a loro, direi per spingere DNSSEC e DNS su TLS (DoT), un protocollo simile a quello DoH, ma che consente di crittografare la connessione DNS addirittura, invece di nascondere il traffico DNS all’interno di HTTPS.
DoH è un bypass di impresa e altre reti private. Ma il DNS non è parte del piano di controllo e gli operatori di rete devono essere in grado di monitorare e filtrare. Utilizzare DoT, mai DoH.
— Paul Vixie (@paulvixie) 21 ottobre 2018
DoH è una triste risposta a un problema complicato. Io personalmente preferisco DoT (DNS su TLS). Mettere un sistema operativo a livello di funzione, come la risoluzione dei nomi nelle mani di un’applicazione tramite DoH è una cattiva idea. Vedere cosa @paulvixie ha scritto per i più informati commento.
— Richard Bejtlich (@taosecurity) 10 settembre 2019
DoT azioni di alcuni svantaggi con DoH, ma se i ricercatori di sicurezza hanno dovuto scegliere tra DoH e DoT, quest’ultimo potrebbe causare molti meno mal di testa, poiché si lavorerà sulla parte superiore dell’infrastruttura DNS esistente, piuttosto che creare una propria classe di DoH-capace di sistemi di risoluzione.
“Tutti i più importanti Isp distribuzione di DoT e i principali Sistemi Operativi (OS) sostenere DoT significativamente contribuire a migliorare la privacy e la sicurezza, nonché mantenere il decentramento”, ha detto Shreyas Zare, il creatore del Technitium Server DNS, che riassunti DoH impatto sul settore enterprise in un post sul blog il mese scorso.
DoH aiuta i criminali
Un altro importante parlare DoH è stata la sua capacità di bypassare DNS-based blocklist che sono stati messi in atto dai governi oppressivi, e la sua capacità di aiutare gli utenti a bypass censura online.
Non è una dichiarazione non corretta. È vero. Utilizzando DoH, gli utenti possono ignorare DNS-based paese o ISP-ampia firewall.
Il problema è che DoH ignora inoltre DNS-based block list mettere in atto per motivi legittimi, come quelli contro l’accesso abuso di siti web, il terrorismo di contenuti e siti web con furto di materiale protetto da copyright.
Questo è il motivo per cui sia Mozilla e Google hanno recentemente trovati in acqua calda con le autorità del regno UNITO e gli stati UNITI.
A metà Maggio, la Baronessa Thornton, deputato per il Partito Laburista, ha portato in alto il DoH protocollo e la sua imminente supporto da produttori di browser in una sessione di House of Commons, definendola una minaccia per il regno UNITO online di sicurezza.
La GCHQ, gran Bretagna, dei servizi di intelligence ha anche criticato Google e Mozilla, sostenendo che il nuovo protocollo avrebbe ostacolato le indagini della polizia e che potrebbe minare il suo governo protezioni contro i siti web dannosi, fornendo cattivi attori con un modo per bypassare internet, sistemi di sorveglianza.
L’Internet Watch Foundation (IWF), un Britannico gruppo di controllo con una dichiarata missione di ridurre al minimo la disponibilità online di abusi sessuali su minori il contenuto, anche criticato Google e Mozilla, sostenendo i produttori di browser sono state rovinando anni di lavoro nel proteggere il pubblico Britannico dal contenuto offensivo, fornendo un nuovo metodo per l’accesso a contenuti illegali.
Nel mese di luglio, un ISP BRITANNICO nominato Mozilla per un premio di ‘2019 Internet Cattivo’ per i suoi piani di sostegno DoH, citando ragioni simili a quelle IWF.
Nel mese di settembre, la camera la Commissione giustizia ha avviato un’indagine in Google i piani per consentire DoH, sostenendo che il DoH supporto “potrebbe interferire su una scala di massa critica le funzioni di Internet, così come raccogliere i dati-problemi di concorrenza.”
Quando Google e Mozilla hanno annunciato i piani per il supporto DoH come un anti-censura soluzione, tutti si aspettavano il pushback a venire da regimi oppressivi come la Cina, l’Iran o la Russia; tuttavia, il ritardo è venuto dai luoghi più inaspettati.
Mozilla ha già incrinato sotto pressione. L’organizzazione ha detto ZDNet nel mese di luglio, che non ha un piano per consentire DoH per impostazione predefinita per gli utenti del regno UNITO più. Google, d’altra parte, ha detto che ha progettato DoH supporto a Chrome, in modo che la responsabilità ricade unicamente su una società che forniscono server DNS alternativi DoH resolver.
DoH non dovrebbe essere raccomandato per i dissidenti
E un altro grande problema che la maggior parte esperti di sicurezza hanno avuto con DoH sono le recenti affermazioni che possono aiutare coloro che vivono in oppressivo paesi.
Queste affermazioni sono state ampiamente ridicolizzato, con alcuni esperti di sicurezza chiamata DoH sostenitori come irresponsabile per mettere la vita delle persone a rischio, dando loro un falso senso di sicurezza se si utilizza DoH.
Questo perché DoH non protegge gli utenti da monitorare. Come è stato spiegato sopra, DoH nasconde solo il traffico DNS, ma tutto il resto è ancora visibile.
In un post sul blog il mese scorso, PowerDNS descritto gli sforzi per spingere l’idea che DoH può aiutare gli utenti in paesi pericolosi come “un ‘techbro’ cosa fare” provenienti da persone che non capiscono fino in fondo la situazione.
“È strumentale per vedere DoH come ‘molto parziale VPN che consente di crittografare i pacchetti DNS, ma lascia tutti gli altri pacchetti non modificato,” PowerDNS detto.
Invece, gli esperti come Zare e PowerDNS consiglia agli utenti in oppressivo paesi utilizzano DoH-capace applicazioni in combinazione con Tor o Vpn, piuttosto che utilizzando DoH solo. Dice alla gente che può completamente fare affidamento su DoH è solo fuorviante.
DoH centralizza il traffico DNS a pochi DoH resolver
E c’è il problema della DoH dell’impatto su tutto il DNS ecosistema, una rete decentrata di server.
Il più grande critico di questa mossa è stata l’Asia-Pacifico Centro di Informazione della Rete APNIC (), che, in un post del blog di questa settimana, ha criticato l’idea di inviare DoH traffico per un paio DoH sistemi di risoluzione, piuttosto che utilizzando l’attuale ecosistema di server DNS.
Essi sostengono che la crittografia del traffico DNS dovrebbe essere fatto su l’infrastruttura attuale, piuttosto che creare un altro (inutile) strato di DoH resolver, che poi si siede sulla parte superiore del DNS esistente strato.
“Centralizzato DoH è attualmente privacy netto negativo, in quanto chiunque potrebbe vedere il tuo metadati possono ancora vedere i metadati quando il DNS è trasferita a terzi,” APNIC, ha detto. “Inoltre, il terzo in poi si fa un resoconto completo al dispositivo di tutte le query DNS, in modo che può anche essere monitorati attraverso gli indirizzi IP.
“Crittografia DNS è buono, ma se questo poteva essere fatto senza il coinvolgimento di ulteriori soggetti, che sarebbe meglio,” APNIC aggiunto.
***
L’idea generale è che il DNS su HTTPS non è quello che molti hanno pensato. In realtà, non di proteggere gli utenti da avere il loro traffico web curiosato, e non è realmente utile per i dissidenti in paesi pericolosi.
Gli utenti che vogliono nascondere il loro traffico web deve ancora guardare Vpn e Tor come soluzioni più sicure, con DoH come un ulteriore livello di protezione, quando disponibili.
Le imprese dovranno investire in nuove modalità di monitoraggio e filtraggio del traffico, come era di DNS sistemi basati sembra essere volgendo al termine, e soluzioni ibride con TLS-intercettazione funzionalità necessarie. Tali sistemi esistono già, ma sono costosi, e il motivo principale per cui molte aziende si affidano a DNS sistemi basati su fino ad ora.
Sicurezza
Linux per ottenere kernel ‘lockdown’ caratteristica
Google di guerra di deepfakes: Come elezione telai, condivide tonnellata di AI-finto video
La maggior parte malspam contiene un URL maligno in questi giorni, non di file allegati
Ransomware: Perché pagare il riscatto è una cattiva idea per tutti nel lungo periodo (ZDNet YouTube)
Migliore di sicurezza domestica del 2019: monitoraggio Professionale e fai da te (CNET)
Maggior parte delle aziende Fortune 500 ancora opachi sulle misure di sicurezza (TechRepublic)
Argomenti Correlati:
Enterprise Software
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati