
Immagine: Getty Images/iStockphoto
L'economia del capitalismo di sorveglianza e un mondo di app paranoiche trasformeranno il Domain Name System (DNS), afferma Geoff Huston , capo scienziato presso APNIC Labs, parte dell'Asia Pacific Network Information Center.
Conoscere i nomi di dominio dei siti Web che visiti o i server a cui le app accedono per tuo conto è un'intelligenza preziosa. Il traffico DNS è particolarmente prezioso perché riflette ciò che gli utenti stanno facendo in tempo reale.
“I nomi che hai chiesto, e quando li chiedi, dicono molto su di te”, ha detto Huston nella sua presentazione alla conferenza APNIC 52 di mercoledì.
“La rete ti tradisce. Stai lasciando impronte grandi, sporche e fangose sul tappeto, amico. Possiamo vedere dove stai andando. E questo è il problema”, ha detto.
“Dati in tempo reale, proprio qui, proprio ora. Non la settimana scorsa, non il mese scorso. Questo secondo. Non potresti essere più prezioso.”
Anche altri con motivazioni più nobili stanno monitorando il traffico DNS, alla ricerca di segni rivelatori di attività dannose, come i nomi di dominio in rapida evoluzione utilizzati dalle botnet.
E come ha rivelato Edward Snowden nel 2013, anche i membri delle agenzie di intelligence dei segnali Five Eyes sono entusiasti di assorbire tutto quel traffico DNS.
“Tutti i tipi di persone in realtà diffondono informazioni DNS ovunque”, ha detto Huston.
“Il problema è che non importa quali siano le tue motivazioni, buone o cattive. Annusare è annusare. Un'invasione della privacy è un'invasione della privacy, indipendentemente dal colore del cappello che indossi. E questo non va bene. ”
Innestare la privacy su protocolli vecchi di decenni
I principali protocolli DNS risalgono agli anni '80 e si basano su una struttura di nomi di dominio sviluppata negli anni '70. Tutto accade allo scoperto, in chiaro.
“Come possiamo fermare la gente che si accalca intorno al tubo di scappamento digitale annusando questi fumi?” chiede Huston.
Esistono metodi per impedire a terze parti di curiosare nel tuo traffico DNS, ma non hanno riscontrato un'ampia adozione.
Un modo per rendere più difficile la sorveglianza DNS è utilizzare un server DNS pubblico aperto, come 8.8.8.8 di Google, 1.1.1.1 di Cloudflare, OpenDNS o Quad9 anziché i server del tuo ISP locale, perché gli ISP sono noti per vendere i loro log DNS agli inserzionisti.
Ciò può essere combinato con l'utilizzo di una connessione DNS crittografata, come DNS su TLS, DNS su HTTPS (DoH) o DNS sul protocollo QUIC più leggero.
Se lo fai, stai facendo un “lavoro tollerabile” nel nasconderti tra la folla, ha detto Huston.
“Ma quella prima parte dell'accordo? Devo fidarmi di Google. Sì, giusto. Devo fidarmi delle stesse persone che sono esperte nell'assemblare il mio profilo.”
Per dirla in altro modo: se dobbiamo compromettere la nostra privacy con una terza parte, quale terza rappresenta il rischio minore per noi, sia ora che in futuro? È una scelta difficile.
Ma aspetta. Forse non dobbiamo assolutamente compromettere la nostra privacy.
Entra in Oblivious DNS, uno spazio dei nomi DNS crittograficamente privato
Una soluzione innovativa è Oblivious DNS, redatto per la prima volta come bozza di standard di ingegneria nel 2018 e documento formale [PDF] nel 2019
“Il concetto è deliziosamente semplice”, ha scritto Huston nel 2020, anche se alcuni potrebbero obiettare sul suo uso della parola “semplice” una volta letta la sua spiegazione.
ODNS utilizza una catena di server DNS che interagiscono tramite una pipeline di transazioni crittografate. I dettagli saranno affascinanti per gli appassionati di DNS, ma la strategia complessiva è facile da spiegare.
Il server DNS vicino a te sa chi sei, quindi può restituirti la risposta, ma non la tua richiesta perché è crittografato.
Il server DNS all'altra estremità sa quale query DNS deve risolvere, perché hai utilizzato la chiave pubblica di quel server per crittografare la transazione, ma non chi l'ha richiesta.
Un approccio simile chiamato Oblivious DoH (ODoH), descritto in una bozza di standard nel 2020, avvolge l'intera transazione DNS in una busta crittografata.
Il vantaggio di ODoH è che non cerca di stipare tutto nel formato del pacchetto DNS esistente, il che significa che può essere leggermente più elegante. Lo svantaggio è che richiede un'infrastruttura separata dal DNS esistente.
Ma perché qualcuno dovrebbe pagare per tutto questo?
Il futuro di Huston di app gonfie e paranoiche
“In termini economici, il DNS è una landa desolata”, ha detto Huston ad APNIC 52.
“Io non pago per le domande, non paghi per le domande. Chi finanzia tutto questo? Bene, il mio L'ISP ne finanzia molto. E in un certo senso viene fuori da quello che li pago”, ha detto.
Ciò significa che non c'è alcun incentivo per gli ISP a migliorare la privacy DNS.
“Per le tariffe dell'ISP, il DNS diventa una parte di Mr Cost, non è Mr Income, e quindi c'è molta resistenza a far crescere Mr Cost perché è così che fondamentalmente uccidi la tua attività.”
I server pubblici ci sono, ma chi li finanzia? E quanti utenti modificheranno comunque le proprie impostazioni DNS sui propri dispositivi?
“In un certo senso, migliorare il DNS è un lavoro d'amore. Non è un lavoro per la ricchezza e il profitto”, ha detto Huston.
“La maggior parte delle persone usa semplicemente il resolver del proprio ISP, perché è quello per cui stai pagando, ed è l'unica persona che ha effettivamente l'obbligo di farlo per te… Quindi, in generale, i resolver DNS aperti non sono davvero prenderò il DNS e scapperò per le colline.”
Huston pensa che ci sia un posto in cui i protocolli DNS a protezione della privacy potrebbero prendere piede, anche se non sarà a tuo vantaggio: all'interno delle app sui tuoi dispositivi.
L'app mobile di Facebook, ad esempio, pesa più di 200 megabyte perché contiene un intero sistema operativo, incluso un intero stack di rete.
“Facebook è paranoico per un certo numero di cose. È paranoico per la piattaforma che ci sta ficcando sopra. È paranoico per le altre applicazioni sulla stessa piattaforma che curiosano sull'app di Facebook”, ha detto Huston.
“Facebook è incredibilmente prezioso. Ha speso molto tempo e denaro per capirmi e per creare un mio profilo che possa vendere agli inserzionisti. L'ultima cosa che vuole fare è dare qualcosa di tutto ciò informazioni a chiunque altro. Sono i loro dati”, ha detto.
“Le applicazioni che si separano dall'infrastruttura DNS come la conosciamo sono un futuro inevitabile ea breve termine.”
Huston vede questa progressione come parte di ondate di cambiamento più ampie e storiche che “si sono giocate proprio ora davanti ai nostri occhi”.
Internet si è gradualmente trasformato da servizi incentrati sulla rete, a servizi incentrati sulla piattaforma, a servizi incentrati sulle applicazioni.
“Il DNS viene travolto con questo e quasi ogni singola parte del DNS cambia non appena il DNS viene risucchiato nello spazio dell'applicazione”, ha affermato.
“Singolo spazio dei nomi coerente? Nah, spazzatura storica. Perché l'intero spazio dei nomi diventa quindi incentrato sull'applicazione e diverse applicazioni avranno uno spazio dei nomi diverso per soddisfare le loro esigenze.”
Copertura correlata
I ricercatori di sicurezza avvertono dei difetti dello stack TCP/IP nei dispositivi tecnologici operativiOMIGOD: gli utenti di Azure che eseguono VM Linux devono essere aggiornati oraBitdefender rilascia il decryptor universale per le vittime REvil/Sodinokibi colpite prima del 13 luglioGoogle sta sostenendo revisioni della sicurezza di questi progetti chiave open sourceOWASP aggiorna la classifica delle prime 10 vulnerabilità per la prima volta dal 2017
Argomenti correlati:
Security Cloud Internet of Things Data Centers