De DNS-over-HTTPS (DoH) – protocol is niet de privacy wondermiddel dat veel heeft ingezet in de afgelopen maanden.
Als we luisteren naar netwerken en cybersecurity-experts, het protocol is een beetje nutteloos en veroorzaakt meer problemen dan oplossingen, en kritiek is montage tegen DoH en degenen die het als een levensvatbare privacy-vriendelijke methode.
De TL;DR is dat de meeste deskundigen denken DoH is niet goed, en de mensen moeten hun inspanningen richten op het implementeren van betere manieren voor het coderen van DNS-verkeer — zoals de DNS-over-TLS-in plaats van DoH.
Wat is DoH en een korte geschiedenis
De DNS-over-HTTPS-protocol is een recente uitvinding. Het is gemaakt van een paar jaar terug, en werd voorgesteld als een internet standaard de laatste oktober (IETF RFC8484) Het is al ondersteund op Android en is gepland om uit te rollen in zowel Mozilla Firefox en Google Chrome later dit jaar.
Het protocol zelf werkt door het veranderen van hoe DNS werkt. Tot nu toe, DNS-query ‘ s werden gemaakt in de tekst van een app naar een DNS-server, met behulp van de DNS-instellingen van het lokale besturingssysteem ontvangen van haar netwerk provider — meestal een internet service provider (ISP).
DoH wijzigingen in dit paradigma. DoH codeert DNS-query ‘ s die zijn vermomd als gewone HTTPS-verkeer-vandaar de DNS-over-HTTPS naam. Deze DoH query ‘ s worden verzonden naar de speciale DoH-staat DNS-servers (de zogenaamde DoH resolvers), die het oplossen van de DNS-query binnen een DoH verzoek, en beantwoorden aan de gebruiker, ook in een versleutelde manier.
Vanwege al het bovenstaande, de bedrijven en organisaties die DoH-compatibele producten zijn reclame-DoH als een manier om te voorkomen dat Isp ‘ s van het bijhouden van de gebruikers het web verkeer in en als een manier om de censuur te omzeilen in onderdrukkende landen.
Maar veel geleerde mensen zeggen dat dit een leugen is. Verschillende experts op het gebied van netwerken en cybersecurity hebben openlijk kritiek op sommige van de vorderingen rondom DoH en de inspanningen te duwen bijna overal.
Ze zeggen DoH is niet de magische privacy van de gebruiker te genezen dat sommige bedrijven hebben geduwd in hun marketing inspanningen ter versterking van de positie van hun imago, privacy-eerste organisaties.
Experts zeggen dat deze bedrijven onverantwoordelijk zijn voor het duwen van een half-gebakken protocol dat eigenlijk niet beschermen gebruikers en veroorzaakt meer problemen dan oplossingen, vooral in het bedrijfsleven.
Het antwoord op DoH ‘ s zalving als een belangrijke privacy-vriendelijke oplossing is ronduit zuur, in sommige gevallen. Critici hebben genomen een prik in het protocol op verschillende vlaktes, die we zullen proberen te organiseren en te categoriseren hieronder:
DoH eigenlijk niet voorkomen dat Isp ‘ s de gebruiker trackingDoH zorgt voor ravage in de onderneming sectorDoH verzwakt cyber-securityDoH helpt criminalsDoH moet niet worden aanbevolen om dissidentsDoH centraliseert het DNS-verkeer op een paar DoH resolvers
DoH eigenlijk niet voorkomen dat Internetproviders gebruikers-tracking
Een van de belangrijkste punten die DoH supporters zijn verklappen over zijn in het afgelopen jaar is dat DoH voorkomt dat Isp ‘ s van het bijhouden van de gebruikers DNS-aanvragen, en dus voorkomt dat ze van het bijhouden van de gebruikers het web verkeer in gewoonten.
Ja. DoH voorkomt dat de ISP van het bekijken van een gebruiker DNS-verzoeken.
Echter, DNS is niet het enige protocol is betrokken bij het surfen op het web. Er zijn nog talloze andere punten dat Isp ‘ s konden bijhouden om te weten wanneer een gebruiker gaat. Iedereen zegt dat DoH voorkomt dat Isp ‘ s van het bijhouden van de gebruikers is liegen of niet begrijpt hoe het web verkeer werkt.
Als een gebruiker de toegang tot een website geladen wordt via HTTP, met DoH is zinloos, als de ISP zal nog steeds weten welke URL de gebruiker toegang door gewoon kijken naar de tekst van HTTP-verzoeken.
Maar dit is ook waar, zelfs als gebruikers hebben toegang tot HTTPS-websites. De Isp ‘ s zal weten op welke site de gebruiker is het aansluiten omdat het HTTPS-protocol is niet perfect, en sommige delen van het HTTPS-verbinding niet versleuteld.
Experts zeggen dat de Isp ‘ s niet worden gehinderd door DoH, helemaal niet, omdat ze gemakkelijk kunnen kijken op deze HTTPS delen die niet zijn gecodeerd, zoals SNI velden en OCSP-verbindingen.
DoH codeert precies nul data die niet aanwezig is in gecodeerde vorm. Zoals het nu is, met DoH alleen biedt *extra* lekken van gegevens. SNI, IP-adressen, OCSP en de resterende HTTP-verbindingen nog steeds zorgen voor de rest. Het is nep privacy in 2019.
— Bert Hubert 🇪🇺 (@PowerDNS_Bert) 22 September 2019
Bovendien, Isp ‘ s alles weten over iedereen in het verkeer toch. Door het ontwerp, kunnen ze zien wat het IP-adres van de gebruiker aansluiten bij het openen van een website.
Dit IP-adres kan niet worden verborgen. Het kennen van de laatste IP-bestemming openbaart aan welke website een gebruiker een verbinding, zelfs als alles over zijn verkeer wordt versleuteld. Onderzoek gepubliceerd in augustus bleek dat een derde partij zich kan identificeren met 95% nauwkeurigheid tot welke websites gebruikers waren aansluiten door alleen te kijken naar IP-adressen.
Alle vorderingen die DoH voorkomt dat Isp ‘ s van het bijhouden van de gebruikers zijn oneerlijk en misleidend, experts beweren. DoH slechts ongemakken Isp ‘ s door verblindende ze een vector, maar ze hebben nog tal van anderen.
DoH omzeilt enterprise beleid
De tweede belangrijkste praten punt is DoH impact op het bedrijfsleven, waar het systeem beheerders gebruiken de lokale DNS-servers en DNS-gebaseerde software te filteren en monitoren van het lokale verkeer, om te voorkomen dat gebruikers de toegang tot niet-werk gerelateerde sites en malware domeinen.
Voor bedrijven, DoH is een nachtmerrie ooit, omdat het werd voorgesteld. DoH in principe maakt een mechanisme om het overschrijven van centraal opgelegde DNS-instellingen en werknemers de mogelijkheid biedt gebruik DoH te omzeilen alle DNS-gebaseerde verkeer filteren oplossingen.
Sinds vandaag is de DNS-servers niet ondersteund DoH query ‘ s, de apps die momenteel ondersteuning DoH komen met lijsten met geprogrammeerde DoH servers, effectief scheiden DoH van het besturingssysteem reguliere DNS-instellingen (een grote software design no-nee, dat is boos sommige ontwikkelaars al, zoals de OpenDNS-team).
Systeembeheerders nodig hebt om een oogje te houden op de DNS-instellingen in besturingssystemen om te voorkomen dat DNS-kapen-aanvallen. Honderden apps met hun eigen unieke DoH instellingen is een nachtmerrie, want het maakt het monitoren van DNS-kaping bijna onmogelijk.
Bovendien, het verkeer op bepaalde domeinen is geblokkeerd voor een bepaalde reden binnen ondernemingen.
Zodra DoH wordt het op grote schaal beschikbaar zijn, zullen worden alle werknemers favoriete methode voor het omzeilen van filters van de onderneming om toegang te krijgen tot inhoud die normaal gesproken wordt geblokkeerd op de werkplek.
Sommige kunnen het gebruiken om toegang te krijgen tot movie sites die streaming inhoud of inhoud voor volwassenen, maar zodra deze is ingeschakeld, DoH blijft ingeschakeld, en werknemers kunnen ook per ongeluk bezoek malware en phishing sites, die brengt ons naar het volgende punt…
DoH verzwakt cyber-security
Vele experts zeggen dat het protocol zet honderden van cyber-security-oplossingen, die zal nutteloos worden zodra de gebruiker begint met DoH in hun browsers, verblindende security tools zien wat de gebruikers aan het doen zijn.
En er zijn veel experts die hebben gewaarschuwd over dit probleem, waarvan de stemmen zijn verdronken door degenen die beweren DoH is de grootste uitvinding sinds gesneden brood.
“Wanneer het DNS-protocol is versleuteld, kan een organisatie niet langer gebruik maken van een DNS-query’ s gegevens (type query, reactie, bron-IP, etc.) om te weten of een gebruiker toegang probeert te krijgen tot een bekende slechte domein, laat staan leiden tot een blokkering of het omleiden van actie op,” Andrew Wertkin, Chief Strategy Officer bij BlueCat, vertelde ZDNet via e-mail eerder deze week.
Rfc 8484 is een cluster eend voor veiligheid op het internet. Sorry regen op uw parade. De gevangenen hebben genomen over het asiel.
— Paul Vixie (@paulvixie) 20 oktober 2018
DNS via HTTPS #DoH is zeker een ding. Ik denk dat het zal invloed hebben op network security monitoring en detectie in een non-triviale manier. #dailypcap
Vrij rechttoe rechtaan, maar een aantal goede metingen:
1) https://t.co/RnSito66aK
2) https://t.co/vDOWEHbBog
3) https://t.co/hNnvLYGKdn pic.twitter.com/AEgM5H9wui— Steve Miller (@stvemillertime) oktober 24, 2018
In een artikel gepubliceerd in de laatste maand van het SANS Institute, een van ‘ s werelds grootste cyber-security training organisaties, zei dat “de regelrechte gebruik van gecodeerde DNS, DNS name via HTTPS, kan de aanvallers en de insiders te omzeilen organisatorische controles.”
Een soortgelijke waarschuwing kwam tot uiting vrijdag, 4 oktober, in een security advisory uitgegeven door de Nederlandse’ Nationale Cyber Security Centrum. De nederlandse ambtenaren gewaarschuwd dat organisaties met behulp van DNS-beveiliging op basis van monitoring oplossingen “zal waarschijnlijk te zien van hun zichtbaarheid afnemen in de tijd” en deze producten worden niet effectief.
“De trend is onmiskenbaar: DNS monitoring zal moeilijker te krijgen,” het nederlandse agentschap zei.
Het advies is dan ook dat bedrijven moeten kijken naar alternatieve methoden voor het blokkeren van uitgaande verkeer, oplossingen die niet alleen vertrouwen op DNS-gegevens. Het SANS Institute dringt er bij organisaties niet in paniek te raken, maar dit zal leiden tot een financiële inspanning en tijd om de update-systemen, iets dat veel organisaties niet bereid zijn te doen.
En ze moeten het snel doen, als malware auteurs hebben ook al besefte hoe nuttig DoH kan worden. Bijvoorbeeld, in juli, nieuws opgedoken van de eerste malware die gebruikt DoH om te communiceren met de command-en control-server ongehinderd door lokale netwerk monitoring oplossingen.
Maar de onderzoekers van de veiligheid en enterprise-beheerders niet daft. Zij begrijpen ook de noodzaak van het beschermen van DNS-query ‘ s snuffelen ogen.
Echter, als het zou worden aan hen, zij zou pleiten voor het duwen van DNSSEC en DNS-over-TLS (DoT), een protocol, vergelijkbaar met DoH, maar die voor het coderen van de DNS-verbinding ronduit, eerder dan het verbergen van DNS-verkeer in HTTPS.
DoH is een over de top bypass van de onderneming en andere privé-netwerken. Maar DNS is een onderdeel van de control plane, en netwerk operators moeten in staat zijn om te monitoren en te filteren. Gebruik een Punt, nooit DoH.
— Paul Vixie (@paulvixie) 21 oktober 2018
DoH is een ongelukkige antwoord op een ingewikkeld probleem. Persoonlijk geef ik de voorkeur DoT DNS (over TLS). Het plaatsen van een OS-niveau van de functie, zoals de naam resolutie in de handen van een aanvraag via DoH is een slecht idee. Zie wat @paulvixie te schrijven voor de meest geïnformeerde commentaar.
— Richard Bejtlich (@taosecurity) September 10, 2019
DoT deelt een aantal van dezelfde nadelen met DoH, maar als de onderzoekers van de veiligheid moest kiezen tussen DoH en DoT, de laatste zou veroorzaken veel minder hoofdpijn, omdat het werk op de top van de bestaande DNS-infrastructuur, eerder dan het creëren van zijn eigen klasse van DoH-staat resolvers.
“Alle grote Isp’ s de implementatie van DoT en de belangrijkste besturingssystemen (OS) het ondersteunen van DoT zal aanzienlijk helpen bij het verbeteren van de privacy en de veiligheid en het handhaven van de decentralisatie,” zei Shreyas Zare, de schepper van de Technitium DNS-Server, die samengevat DoH ‘ s invloed op het bedrijfsleven in een blog post van vorige maand.
DoH criminelen helpt
Een andere belangrijke praten over DoH is de mogelijkheid omzeilen DNS-gebaseerde bloklijsten die zijn opgezet door onderdrukkende regeringen, en de mogelijkheid om gebruikers te helpen bypass online censuur.
Dat is niet van een onjuiste verklaring. Het is waar. Met behulp van DoH, gebruikers kunnen omzeilen DNS-op basis van het land of de ISP-breed firewalls.
Het probleem is dat DoH omzeilt ook DNS-gebaseerde bloklijsten voor legitieme redenen, zoals die tegen de toegang tot websites met kindermisbruik, terrorisme inhoud en websites met gestolen auteursrechtelijk beschermd materiaal.
Dit is de reden waarom zowel Mozilla en Google recent hebben gevonden zich in warm water met de autoriteiten in zowel het verenigd koninkrijk en de verenigde staten.
Medio Mei, Barones Thornton, parlementslid voor de Partij van de Arbeid, bracht de DoH protocol en de op handen zijnde de ondersteuning van browser-makers in een zitting van het lagerhuis, en noemde het een bedreiging voor de VERZENDING van de online veiligheid.
De GCHQ, de britse intelligence service, heeft ook kritiek op zowel Google en Mozilla, het claimen van de nieuwe protocol in de weg zou staan politie-onderzoeken en dat het ten koste zou kunnen gaan van de bestaande overheid, bescherming tegen schadelijke websites door het verstrekken van slechte acteurs met een manier om te omzeilen zijn internet-surveillance-systemen.
De Internet Watch Foundation (IWF), een Britse waakhond groep met een specifieke missie om het minimaliseren van de beschikbaarheid van online kinderpornografie, ook kritiek op zowel Google en Mozilla, het claimen van de browser makers waren verpest jaar werk in de bescherming van het Britse publiek uit onrechtmatige content door het verstrekken van een nieuwe methode voor toegang tot illegale content.
In juli, een BRITSE ISP genomineerd Mozilla voor een award van ‘2019 Internet Schurk’ voor haar plannen te ondersteunen DoH, onder vermelding van soortgelijke redenen als die van de IWF.
In September, de AMERIKAANSE House Judiciary Committee gestart met een onderzoek naar Google ‘ s plannen in te schakelen DoH, beweren dat DoH ondersteuning “kunnen interfereren op een grote schaal met kritische Internet-functies, alsmede verhoging van data-competitie problemen.”
Wanneer Google en Mozilla aangekondigd van plan te ondersteunen DoH als een anti-censuur oplossing, iedereen verwachtte dat de pushback te komen van onderdrukkende regimes, zoals China, Iran of Rusland; maar toch, de pushback kwam uit de meest onverwachte plaatsen.
En Mozilla al gekraakt onder druk. De organisatie vertelde ZDNet in juli dat het niet van plan om DoH standaard voor BRITSE gebruikers meer. Google, aan de andere kant, zei dat het ontworpen DoH ondersteuning in Chrome op een zodanige manier dat de verantwoordelijkheid valt strikt op de bedrijven met DNS-servers met alternatieve DoH resolvers.
DoH moet niet worden aanbevolen om dissidenten
En een ander groot probleem dat de meeste security experts hebben gehad met DoH zijn de recente claims dat het kan helpen degenen die wonen in onderdrukkende landen.
Deze claims zijn alom bespot, met sommige beveiligingsexperts roepen DoH supporters als onverantwoordelijk voor het zetten van het leven van mensen in gevaar, door hen een vals gevoel van veiligheid als ze gebruik maken van DoH.
Dit is omdat DoH niet voorkomen dat gebruikers tracking. Als het was hierboven, DoH alleen verbergt DNS-verkeer, maar alles is nog steeds zichtbaar.
In een blogpost van vorige maand, PowerDNS beschreven de inspanningen om het idee dat DoH kan gebruikers helpen in gevaarlijke landen als “een zeer ‘techbro’ ding om te doen” komt van mensen die niet volledig begrijpen van de situatie.
“Het is belangrijk om te zien DoH als een ‘zeer gedeeltelijke VPN’ dat alleen codeert DNS-pakketten, maar laat alle andere pakketten ongewijzigde,” PowerDNS zei.
In plaats daarvan, experts, zoals Zare en PowerDNS raden gebruikers in onderdrukkende landen gebruiken DoH-staat-apps in combinatie met Tor of Vpn ‘ s, in plaats van met DoH alleen. Om mensen te vertellen dat ze volledig kunnen vertrouwen op DoH is gewoon misleidend.
DoH centraliseert het DNS-verkeer op een paar DoH resolvers
En dan is er het probleem van het DoH ‘ s invloed hebben op de hele DNS-ecosysteem, een gedecentraliseerd netwerk van servers.
De grootste criticus van deze beweging is de Asia-Pacific Network Information Centre (APNIC), die in een blog post deze week, kritiek op de idee van het verzenden van DoH verkeer naar een paar DoH resolvers, in plaats van het bestaande ecosysteem van DNS-servers.
Zij betogen dat het versleutelen van DNS-verkeer moet worden gedaan op de huidige infrastructuur, eerder dan het maken van een andere (nutteloze) laag DoH resolvers, die vervolgens ligt op de top van de bestaande DNS-laag.
“Centraal DoH is momenteel een privacy netto negatief omdat iedereen dat kon zien uw metadata kan nog steeds zie je metadata als DNS is verplaatst naar een derde partij,” APNIC zei. “Bovendien, dat de derde partij krijgt dan een compleet logboek per toestel van alle DNS-query’ s, op een manier die zelfs kunnen worden bijgehouden over IP-adressen.
“Het versleutelen van DNS is goed, maar als dit kan worden gedaan zonder het betrekken van meer partijen, dat zou beter zijn,” APNIC toegevoegd.
***
Het algemene idee is dat de DNS-over-HTTPS is niet wat velen denken. Het maakt eigenlijk niet voorkomen dat gebruikers met hun web verkeer snoop, en het is niet echt bruikbaar voor dissidenten in gevaarlijke landen.
Gebruikers die zich willen verbergen hun web verkeer moet nog steeds kijken naar Vpn ‘ s en Tor als veiliger oplossingen, met DoH als een extra laag van bescherming, indien beschikbaar.
Bedrijven zullen moeten investeren in nieuwe manieren van controle en het filteren van verkeer, als het tijdperk van DNS-systemen lijkt tot een einde te komen, en hybride oplossingen met TLS onderschepping voorzieningen nodig zijn. Dergelijke systemen bestaan al, maar ze zijn duur, en de belangrijkste reden waarom veel bedrijven hebben te vertrouwen op DNS-systemen tot nu toe.
Veiligheid
Linux te krijgen kernel ‘lockdown’ functie
Google ‘s oorlog op deepfakes: Als de verkiezingen kijkt, het aandelen ton van AI-nep-video’ s
De meeste malspam bevat een kwaadaardige URL van deze dagen, niet bestand bijlagen
Ransomware: de reden Waarom het betalen van het losgeld is een slecht idee om iedereen op de lange termijn (ZDNet YouTube)
Beste home security 2019: Professionele monitoring en DIY (CNET)
De meeste Fortune 500-bedrijven nog steeds ondoorzichtig over veiligheidsmaatregelen (TechRepublic)
Verwante Onderwerpen:
Enterprise Software
Beveiliging TV
Data Management
CXO
Datacenters