Afbeelding: Getty Images/iStockphoto
De economie van surveillancekapitalisme en een wereld van paranoïde apps zullen het domeinnaamsysteem (DNS) transformeren, zegt Geoff Huston , hoofdwetenschapper bij APNIC Labs, onderdeel van het Asia Pacific Network Information Centre.
Het kennen van de domeinnamen van de websites die u bezoekt, of servers waartoe apps namens u toegang hebben, is waardevolle informatie. DNS-verkeer is vooral waardevol omdat het weerspiegelt wat gebruikers in realtime doen.
“De namen waar je om vroeg, en als je ernaar vraagt, zeggen heel veel over jou”, zei Huston woensdag in zijn presentatie op de APNIC 52-conferentie.
“Het netwerk verraadt je. Je laat grote, smerige, modderige voetafdrukken achter op het tapijt, maat. We kunnen zien waar je heen gaat. En dat is het probleem,” zei hij.
“Realtime gegevens, hier en nu. Niet vorige week, niet vorige maand. Deze seconde. Waardevoller kun je niet worden.”
Anderen met meer nobele motieven houden ook het DNS-verkeer in de gaten, op zoek naar de veelbetekenende tekenen van kwaadaardige activiteit, zoals de snel veranderende domeinnamen die door botnets worden gebruikt.
En zoals Edward Snowden in 2013 onthulde, willen de leden van de Five Eyes-signaalinlichtingendiensten ook al dat DNS-verkeer opzuigen.
“Allerlei soorten mensen verspreiden DNS-informatie eigenlijk overal”, zei Huston.
“Het probleem is dat het niet uitmaakt wat je motieven zijn, goed of slecht. Snuiven is snuiven. Een inbreuk op de privacy is een inbreuk op de privacy, ongeacht de kleur van de hoed die je draagt. En dit is niet goed. ”
Privacy enten op decennia-oude protocollen
De belangrijkste DNS-protocollen dateren uit de jaren tachtig en zijn gebaseerd op een domeinnaamstructuur die in de jaren zeventig is ontwikkeld. Alles gebeurt in de open lucht, onversleuteld.
“Hoe kunnen we voorkomen dat mensen zich verdringen rond de digitale uitlaatpijp die deze dampen opsnuift?” vraagt Huston.
Er zijn methoden om te voorkomen dat derden in uw DNS-verkeer snuffelen, maar deze zijn nog niet breed toegepast.
Een manier om DNS-surveillance moeilijker te maken, is door een openbare open DNS-server te gebruiken, zoals Google 8.8.8.8, Cloudflare 1.1.1.1, OpenDNS of Quad9 in plaats van de servers van uw lokale ISP — omdat ISP's het is bekend dat ze hun DNS-logboeken verkopen aan adverteerders.
Dat kan worden gecombineerd met het gebruik van een versleutelde DNS-verbinding, zoals DNS via TLS, DNS via HTTPS (DoH) of DNS via het lichtere QUIC-protocol.
Als je dat doet, doe je het “aanvaardbaar goed” om je te verstoppen in de menigte, zei Huston.
“Maar dat eerste deel van de afspraak? Ik moet Google vertrouwen. Ja, ja. Ik moet de mensen vertrouwen die experts zijn in het samenstellen van mijn profiel.”
Anders gezegd: als we onze privacy moeten compromitteren aan een derde, welke derde partij vormt dan het minste risico voor ons, nu en in de toekomst? Het is een moeilijke keuze.
Maar wacht. Misschien hoeven we onze privacy helemaal niet in gevaar te brengen.
Voer Oblivious DNS in, een cryptografisch privé DNS-naamruimte
Een innovatieve oplossing is Oblivious DNS, voor het eerst geschreven als een concept-engineeringstandaard in 2018 en een formele paper [PDF] in 2019
“Het concept is heerlijk eenvoudig”, schreef Huston in 2020, hoewel sommigen zijn gebruik van het woord “eenvoudig” misschien tegenspreken als ze zijn uitleg lezen.
ODNS maakt gebruik van een keten van DNS-servers die met elkaar communiceren via een pijplijn van versleutelde transacties. De details zullen fascinerend zijn voor DNS-liefhebbers, maar de algemene strategie is eenvoudig uit te leggen.
De DNS-server bij u in de buurt weet wie u bent, dus deze kan u het antwoord terugsturen, maar niet wat uw vraag was, omdat deze versleuteld is.
De DNS-server aan de andere kant weet welke DNS-query hij moet oplossen, omdat u de openbare sleutel van die server hebt gebruikt om de transactie te versleutelen, maar niet wie erom heeft gevraagd.
Een vergelijkbare aanpak genaamd Oblivious DoH (ODoH), beschreven in een conceptstandaard in 2020, verpakt de volledige DNS-transactie in een versleutelde envelop.
Het voordeel van ODoH is dat het niet probeert alles in het bestaande DNS-pakketformaat te proppen, wat betekent dat het iets eleganter kan zijn. Het nadeel is dat het een aparte infrastructuur vereist van de bestaande DNS.
Maar waarom zou iemand dit allemaal betalen?
Hustons toekomst van opgeblazen, paranoïde apps
“In economisch opzicht is de DNS een woestenij”, vertelde Huston aan APNIC 52.
“Ik betaal niet voor vragen, jij niet voor vragen. Wie financiert dit allemaal? Nou, mijn ISP financiert er veel van. En het komt een beetje voort uit wat ik ze betaal, “zei hij.
Dat betekent dat er geen prikkel is voor ISP's om de DNS-privacy te verbeteren.
“Voor ISP-kosten wordt de DNS een onderdeel van Mr Cost, het is niet Mr Income, en dus is er veel weerstand om Mr Cost groter te laten worden, want dat is de manier waarop je in feite je bedrijf kapot maakt.”
De publieke servers zijn er, maar wie financiert ze? En hoeveel gebruikers zullen hun DNS-instellingen op hun apparaten überhaupt wijzigen?
“In sommige opzichten is het verbeteren van de DNS een liefdeswerk. Het is geen werk voor rijkdom en winst”, zei Huston.
“De meeste mensen gebruiken gewoon de resolver van hun ISP, want dat is degene waarvoor je betaalt, en dat is de enige persoon die dit echt voor je moet doen… Dus over het algemeen zijn open DNS-resolvers niet echt gaan de DNS nemen en wegrennen over de heuvels.”
Huston denkt dat er één plek is waar de privacybeschermende DNS-protocollen hun intrede kunnen doen, hoewel het niet in je voordeel zal zijn: in de apps op je apparaten.
De mobiele app van Facebook weegt bijvoorbeeld meer dan 200 megabyte omdat hij een heel besturingssysteem bevat, inclusief een hele netwerkstack.
“Facebook is paranoïde over een aantal dingen. Het is paranoïde over het platform dat erop snuffelt. Het is paranoïde over andere applicaties op hetzelfde platform die op de Facebook-app snuffelen,” zei Huston.
“Facebook is ongelooflijk waardevol. Het heeft veel tijd en geld gestoken in het begrijpen van mij en het samenstellen van een profiel van mij dat het aan adverteerders kan verkopen. Het laatste wat het wil is dat informatie weg naar iemand anders. Het zijn hun gegevens, “zei hij.
“Applicaties die zich losmaken van de DNS-infrastructuur zoals we die kennen, is een onvermijdelijke toekomst op korte termijn.”
Huston ziet deze progressie als onderdeel van bredere, historische golven van verandering die zich “nu voor onze ogen hebben afgespeeld”.
Het internet is geleidelijk aan getransformeerd van netwerkgerichte diensten naar platformgerichte diensten naar toepassingsgerichte diensten.
“De DNS wordt hiermee meegesleept en bijna elk onderdeel van de DNS verandert zodra de DNS in de applicatieruimte wordt gezogen”, zei hij.
“Enkele coherente naamruimte? Nee, historische onzin. Omdat de hele naamruimte dan toepassingsgericht wordt en verschillende toepassingen een andere naamruimte hebben om aan hun behoeften te voldoen.”
Gerelateerde dekking
Beveiligingsonderzoekers waarschuwen voor fouten in de TCP/IP-stack in apparaten met operationele technologieOMIGOD: Azure-gebruikers met Linux-VM's moeten nu updaten Bitdefender brengt universele decryptor uit voor REvil/Sodinokibi-slachtoffers die vóór 13 juli worden getroffen Google ondersteunt beveiligingsbeoordelingen van deze belangrijke open source-projectenOWASP werkt de top 10 van kwetsbaarheidsranglijst bij voor het eerst sinds 2017
gerelateerde onderwerpen:
Security Cloud Internet of Things-datacenters