Bild: Getty Images/iStockphoto
Övervakningskapitalismens ekonomi och en värld av paranoida appar kommer att förändra domännamnssystemet (DNS), säger Geoff Huston , chefsvetare vid APNIC Labs, en del av Asia Pacific Network Information Center.
Att känna till domännamnen på de webbplatser du besöker, eller servrar som appar får åtkomst för dina räkning, är värdefull intelligens. DNS -trafik är särskilt värdefull eftersom den speglar vad användare gör i realtid.
“Namnen du bad om, och när du frågar efter dem, säger fruktansvärt mycket om dig”, sa Huston i sin presentation till APNIC 52 -konferensen på onsdagen.
“Nätverket förråder dig. Du lämnar stora, smutsiga, leriga fotspår på mattan, kompis. Vi kan se vart du ska. Och det är problemet”, sa han.
“Realtidsdata, just här, just nu. Inte förra veckan, inte förra månaden. Den här andra. Du kan inte bli mer värdefull.”
Andra med mer ädla motiv övervakar också DNS-trafik och letar efter de tydliga tecknen på skadlig aktivitet, till exempel de snabbt förändrade domännamnen som används av botnät.
Och som Edward Snowden avslöjade 2013, signalerar medlemmarna i Five Eyes att underrättelsetjänster också är sugna på att suga upp all den DNS -trafiken.
“Alla typer av folk sprider faktiskt DNS -information överallt”, sa Huston.
“Problemet är, det spelar ingen roll vad dina motiv är, bra eller dåliga. Sniffning är att sniffa. En kränkning av integriteten är intrång i integriteten, oavsett färg på hatten du har på dig. Och det här är inte bra. ”
Införande av sekretess på decennier gamla protokoll
Kärn-DNS-protokollen går tillbaka till 1980-talet och de är baserade på en domännamnsstruktur som utvecklades på 1970-talet. Allt händer ute i det öppna, okrypterade.
“Hur kan vi sluta folk trängas runt det digitala avgasröret som sniffar på dessa ångor?” frågar Huston.
Det finns metoder för att förhindra att tredje part snokar på din DNS -trafik, men de har inte sett någon bred användning.
Ett sätt att göra DNS -övervakning svårare är att använda en offentlig öppen DNS -server, till exempel Googles 8.8.8.8, Cloudflares 1.1.1.1, OpenDNS eller Quad9 snarare än din lokala ISP: s servrar – eftersom ISP: er har varit kända för att sälja sina DNS -loggar till annonsörer.
Det kan kombineras med att använda en krypterad DNS -anslutning, till exempel DNS över TLS, DNS över HTTPS (DoH) eller DNS över det lättare QUIC -protokollet.
Om du gör det gör du ett “acceptabelt bra jobb” med att gömma sig i mängden, sa Huston.
“Men den första delen av fyndet? Jag måste lita på Google. Ja, jag måste lita på folk som är experter på att sätta ihop min profil.”
För att uttrycka det på ett annat sätt: Om vi måste äventyra vår integritet till en tredje part, vilken tredjepart representerar minst risk för oss, både nu och i framtiden? Det är ett svårt val.
Men vänta. Kanske behöver vi inte äventyra vår integritet alls.
Ange Oblivious DNS, ett kryptografiskt privat DNS -namnutrymme
En innovativ lösning är Oblivious DNS, som först skrevs som ett utkast till teknisk standard 2018 och ett formellt dokument [PDF] 2019 .
“Konceptet är härligt enkelt”, skrev Huston 2020, även om vissa kanske argumenterar för att han använder ordet “enkelt” när de läst hans förklaring.
ODNS använder en kedja av DNS -servrar som interagerar via en pipeline av krypterade transaktioner. Detaljerna kommer att vara fascinerande för DNS -entusiaster, men den övergripande strategin är lätt att förklara.
DNS -servern nära dig vet vem du är, så den kan returnera svaret till dig, men inte vad din fråga var eftersom den är krypterad.
DNS -servern i andra änden vet vilken DNS -fråga den måste lösa, eftersom du använde den serverns offentliga nyckel för att kryptera transaktionen, men inte vem som bad om den.
Ett liknande tillvägagångssätt som kallas Oblivious DoH (ODoH), som beskrivs i ett utkast till standard 2020, omsluter hela DNS -transaktionen i ett krypterat kuvert.
Fördelen med ODoH är att den inte försöker krama in allt i det befintliga DNS -paketformatet, vilket betyder att det kan vara något mer elegant. Nackdelen är att den kräver separat infrastruktur från befintlig DNS.
Men varför skulle någon betala för allt detta?
Hustons framtid för uppsvällda, paranoida appar
“När det gäller ekonomi är DNS en ödemark”, sa Huston till APNIC 52.
“Jag betalar inte för frågor, du betalar inte för frågor. Vem finansierar allt detta? Tja, min ISP finansierar mycket av det. Och det kommer liksom ur vad jag betalar dem, säger han.
Det betyder att det inte finns något incitament för Internetleverantörer att förbättra DNS -integriteten.
“För ISP -avgifter blir DNS en del av Mr Cost, det är inte Mr Income, så det finns mycket motstånd mot att få Mr Cost att växa sig större eftersom det är så du i princip dödar ditt företag.”
De offentliga servrarna finns, men vem finansierar dem? Och hur många användare kommer ändå att ändra sina DNS -inställningar på sina enheter?
“På vissa sätt är förbättring av DNS ett kärleksarbete. Det är inte ett arbete för rikedom och vinst”, sa Huston.
“De flesta använder helt enkelt sin ISP: s resolver, för det är den du betalar för, och det är den som faktiskt har en skyldighet att göra detta åt dig … Så i stort sett är öppna DNS -upplösare inte riktigt ska ta DNS och springa över kullarna. ”
Huston tror att det finns ett ställe där de integritetsskyddande DNS-protokollen kan få fäste, även om det inte kommer att vara till din fördel: inne i apparna på dina enheter.
Facebooks mobilapp till exempel väger mer än 200 megabyte eftersom den innehåller ett helt operativsystem, inklusive en hel nätverksstack.
“Facebook är paranoid om ett antal saker. Det är paranoid om att plattformen snokar på den. Det är paranoid om andra applikationer på samma plattform som snokar på Facebook -appen,” sa Huston.
“Facebook är otroligt värdefullt. Det har spenderat mycket tid och pengar att förstå mig och sätta ihop en profil på mig som den kan sälja till annonsörer. Det sista den vill göra är att ge något av det information bort till någon annan. Det är deras data, sa han.
“Applikationer som skiljer sig från DNS-infrastrukturen som vi känner den är en oundviklig och kortsiktig framtid.”
Huston ser denna utveckling som en del av bredare, historiska vågor av förändring som “har spelat ut just nu framför våra ögon”.
Internet har gradvis förvandlats från nätverkscentrerade tjänster till plattformscentrerade tjänster till applikationscentrerade tjänster.
“DNS sopas upp med detta, och nästan varenda del av DNS ändras så snart DNS sugs in i applikationsutrymme”, sa han.
“Enstaka sammanhängande namnrymd? Nja, historiskt skräp. Eftersom hela namnutrymmet då blir applikationscentrerat och olika applikationer kommer att ha ett annat namnutrymme som passar deras behov.”
Relaterad täckning
Säkerhetsforskare varnar för TCP/IP -stackfel i driftstekniska enheterOMIGOD: Azure -användare som kör Linux -virtuella datorer måste uppdatera nu Bitdefender släpper ut universell dekrypterare för REvil/Sodinokibi -offer som drabbats före 13 juli Google stödjer säkerhetsgranskningar av dessa viktiga öppen källkodsprojektOWASP uppdaterar topp 10 -sårbarhetsrankningen för första gången sedan 2017
Relaterade ämnen:
Security Cloud Internet of Things Datacenter 