Bilde: Getty Images/iStockphoto
Økonomien i overvåkningskapitalisme og en verden av paranoide apper vil transformere domenenavnsystemet (DNS), sier Geoff Huston , sjefforsker ved APNIC Labs, en del av Asia Pacific Network Information Center.
Å kjenne domenenavnene til nettstedene du besøker, eller servere som apper får tilgang til på dine vegne, er verdifull intelligens. DNS -trafikk er spesielt verdifull fordi den gjenspeiler hva brukerne gjør i sanntid.
“Navnene du ba om, og når du ber om dem, si fryktelig mye om deg,” sa Huston i sin presentasjon til APNIC 52 -konferansen onsdag.
“Nettverket forråder deg. Du setter store, skitne, gjørmete fotavtrykk på teppet, kompis. Vi kan se hvor du skal. Og det er problemet,” sa han.
“Sanntidsdata, akkurat her, akkurat nå. Ikke forrige uke, ikke forrige måned. Denne andre. Du kan ikke bli mer verdifull.”
Andre med mer edle motiver overvåker også DNS-trafikk og leter etter tegn på ondsinnet aktivitet, for eksempel de raskt endrede domenenavnene som brukes av botnett.
Og som Edward Snowden avslørte i 2013, signaliserer medlemmene av Five Eyes at etterretningsbyråer også er opptatt av å suge til seg all den DNS -trafikken.
“Alle slags folk sprer faktisk DNS -informasjon over alt,” sa Huston.
“Problemet er, det spiller ingen rolle hva som er motivene dine, gode eller dårlige. Sniffing er å snuse. En krenkelse av personvernet er krenkelse av personvernet, uavhengig av fargen på hatten du har på deg. Og dette er ikke bra. ”
Innføring av personvern på flere tiår gamle protokoller
Kjerne-DNS-protokollene dateres tilbake til 1980-tallet, og de er basert på en domenenavnsstruktur som ble utviklet på 1970-tallet. Alt skjer ute i det fri, ukryptert.
“Hvordan kan vi stoppe folkemengdene rundt det digitale eksosrøret som snuser på disse røykene?” spør Huston.
Det finnes metoder for å forhindre tredjeparter i å snuse på DNS -trafikken din, men de har ikke sett bred adopsjon.
En måte å gjøre DNS -overvåking vanskeligere på er å bruke en offentlig åpen DNS -server, for eksempel Googles 8.8.8.8, Cloudflares 1.1.1.1, OpenDNS eller Quad9 i stedet for din lokale ISPs servere – fordi Internett -leverandører har vært kjent for å selge DNS -loggene sine til annonsører.
Det kan kombineres med å bruke en kryptert DNS -tilkobling, for eksempel DNS over TLS, DNS over HTTPS (DoH), eller DNS over den mer lette QUIC -protokollen.
Hvis du gjør det, gjør du en “tålelig god jobb” med å gjemme seg i mengden, sa Huston.
“Men den første delen av handelen? Jeg må stole på Google. Ja. Jeg må stole på folk som er eksperter på å sette sammen profilen min.”
For å si det på en annen måte: Hvis vi må kompromittere personvernet vårt til en tredjepart, hvilken tredjepart representerer minst risiko for oss, både nå og i fremtiden? Det er et vanskelig valg.
Men vent. Kanskje vi ikke trenger å gå på kompromiss med personvernet vårt i det hele tatt.
Skriv inn Oblivious DNS, et kryptografisk privat DNS -navnerom
En innovativ løsning er Oblivious DNS, først skrevet opp som et utkast til ingeniørstandard i 2018 og et formelt papir [PDF] i 2019 .
“Konseptet er herlig enkelt,” skrev Huston i 2020, selv om noen kan argumentere med at han bruker ordet “enkelt” når de har lest forklaringen hans.
ODNS bruker en kjede av DNS -servere som samhandler via en rørledning med krypterte transaksjoner. Detaljene vil være fascinerende for DNS -entusiaster, men den overordnede strategien er lett å forklare.
DNS -serveren i nærheten av deg vet hvem du er, så den kan returnere svaret til deg, men ikke hva spørringen din var fordi den er kryptert.
DNS -serveren i den andre enden vet hvilken DNS -spørring den må løse, fordi du brukte den serverens offentlige nøkkel til å kryptere transaksjonen, men ikke hvem som ba om den.
En lignende tilnærming kalt Oblivious DoH (ODoH), beskrevet i et utkast til standard i 2020, pakker inn hele DNS -transaksjonen i en kryptert konvolutt.
Fordelen med ODoH er at den ikke prøver å kramme alt inn i det eksisterende DNS -pakkeformatet, noe som betyr at det kan være litt mer elegant. Ulempen er at den krever separat infrastruktur fra eksisterende DNS.
Men hvorfor skulle noen betale for alt dette?
Hustons fremtid med oppblåste, paranoide apper
“Når det gjelder økonomi, er DNS en ødemark,” sa Huston til APNIC 52.
“Jeg betaler ikke for spørsmål, du betaler ikke for spørsmål. Hvem finansierer alt dette? Vel, min ISP finansierer mye av det. Og det kommer liksom ut av det jeg betaler dem, “sa han.
Det betyr at det ikke er noe incitament for Internett -leverandører å forbedre DNS -personvernet.
“For ISP -avgifter blir DNS en del av Mr Cost, det er ikke Mr Income, og det er derfor mye motstand mot å få Mr Cost til å vokse seg større fordi det er måten du i utgangspunktet dreper virksomheten din på.”
De offentlige serverne er der, men hvem finansierer dem? Og hvor mange brukere vil uansett endre DNS -innstillingene på enhetene sine?
“På noen måter er forbedring av DNS et kjærlighetsarbeid. Det er ikke et arbeid for rikdom og fortjeneste,” sa Huston.
“De fleste bruker ganske enkelt sin ISP -resolver, for det er den du betaler for, og det er den personen som faktisk har en forpliktelse til å gjøre dette for deg … Så i det store og hele er åpne DNS -resolvere egentlig ikke skal ta DNS og løpe bort over åsene. ”
Huston tror det er ett sted hvor de personvernbeskyttende DNS-protokollene kan ta grep, selv om det ikke vil være til din fordel: inne i appene på enhetene dine.
Facebooks mobilapp veier for eksempel mer enn 200 megabyte fordi den inneholder et helt operativsystem, inkludert en hel nettverksstabel.
“Facebook er paranoid om en rekke ting. Det er paranoid om plattformen som snoker på den. Det er paranoid om andre applikasjoner på den samme plattformen som snoker på Facebook -appen,” sa Huston.
“Facebook er utrolig verdifullt. Det har brukt mye tid og penger på å forstå meg, og sette sammen en profil av meg som den kan selge til annonsører. Det siste den vil gjøre er å gi noe av det informasjon bort til noen andre. Det er deres data, “sa han.
“Applikasjoner som skiller seg fra DNS-infrastrukturen slik vi kjenner den, er en uunngåelig og nær fremtid.”
Huston ser på denne utviklingen som en del av bredere, historiske endringsbølger som har “spilt ut akkurat nå foran øynene våre”.
Internett har gradvis transformert seg fra nettverkssentriske tjenester til plattformsentrerte tjenester til applikasjonssentriske tjenester.
“DNS blir feid opp med dette, og nesten hver eneste del av DNS endres så snart DNS blir sugd inn i applikasjonsområdet,” sa han.
“Enkelt sammenhengende navnerom? Nei, historisk søppel. Fordi hele navnerommet blir applikasjonssentrert, og forskjellige applikasjoner vil ha et annet navnerom som passer deres behov.”
Relatert dekning
Sikkerhetsforskere advarer om TCP/IP -stabelfeil i operasjonelle teknologienheterOMIGOD: Azure -brukere som kjører Linux -VM -er må oppdatere nå Bitdefender slipper universell dekrypterer for REvil/Sodinokibi -ofre rammet før 13. juli Google støtter sikkerhetsanmeldelser av disse viktige åpen kildekode -prosjekteneOWASP oppdaterer topp 10 sårbarhetsrangeringen for første gang siden 2017
Relaterte emner:
Security Cloud Internet of Things Datasentre 