Billede: Getty Images/iStockphoto
Overvågningskapitalismens økonomi og en verden af paranoide apps vil transformere domænenavnesystemet (DNS), siger Geoff Huston , chefforsker ved APNIC Labs, en del af Asia Pacific Network Information Center.
At kende domænenavne på de websteder, du besøger, eller servere, som apps får adgang til på dine vegne, er værdifuld intelligens. DNS -trafik er især værdifuld, fordi den afspejler, hvad brugerne gør i realtid.
“De navne, du bad om, og når du beder om dem, skal du sige frygtelig meget om dig,” sagde Huston i sin præsentation til APNIC 52 -konferencen onsdag.
“Netværket forråder dig. Du efterlader store, beskidte, mudrede fodspor på gulvtæppet, makker. Vi kan se, hvor du går hen. Og det er problemet,” sagde han.
“Data i realtid, lige her, lige nu. Ikke i sidste uge, ikke i sidste måned. Dette sekund. Du kunne ikke blive mere værdifuld.”
Andre med mere ædle motiver overvåger også DNS-trafik og leder efter de tegn på ondsindet aktivitet, f.eks. de hurtigt skiftende domænenavne, der bruges af botnets.
Og som Edward Snowden afslørede i 2013, signalerer medlemmerne af Five Eyes, at efterretningstjenester også er opsatte på at suge al den DNS -trafik til sig.
“Alle slags folk spreder faktisk DNS -oplysninger overalt,” sagde Huston.
“Problemet er, det er ligegyldigt, hvad dine motiver er, gode eller dårlige. Sniffing er at snuse. En krænkelse af privatlivets fred er invasion af privatlivets fred, uanset hvilken farve hatten du har på. Og det er ikke godt. ”
Overdragelse af privatlivets fred på årtier gamle protokoller
De centrale DNS-protokoller dateres tilbage til 1980'erne, og de er baseret på en domænenavnsstruktur, der blev udviklet i 1970'erne. Alt sker ude i det fri, ukrypteret.
“Hvordan kan vi stoppe folkemængden omkring det digitale udstødningsrør, der snuser på disse dampe?” spørger Huston.
Der er metoder til at forhindre tredjeparter i at snuse på din DNS -trafik, men de har ikke oplevet bred accept.
En måde at gøre DNS -overvågning vanskeligere på er at bruge en offentlig åben DNS -server, f.eks. Googles 8.8.8.8, Cloudflares 1.1.1.1, OpenDNS eller Quad9 frem for din lokale ISPs servere – fordi internetudbydere har været kendt for at sælge deres DNS -logfiler til annoncører.
Det kan kombineres med at bruge en krypteret DNS -forbindelse, f.eks. DNS over TLS, DNS over HTTPS (DoH) eller DNS over den mere lette QUIC -protokol.
Hvis du gør det, gør du et “tåleligt godt stykke arbejde” med at gemme sig i mængden, sagde Huston.
“Men den første del af handlen? Jeg er nødt til at stole på Google. Ja rigtigt. Jeg er nødt til at stole på de folk, der er eksperter i at sammensætte min profil.”
For at sige det på en anden måde: Hvis vi skal kompromittere vores privatliv med en tredjepart, hvilken tredjepart udgør den mindst risiko for os, både nu og i fremtiden? Det er et svært valg.
Men vent. Måske behøver vi slet ikke at gå på kompromis med vores privatliv.
Indtast Oblivious DNS, et kryptografisk privat DNS -navnerum
En innovativ løsning er Oblivious DNS, der først blev skrevet som et udkast til teknisk standard i 2018 og et formelt papir [PDF] i 2019 .
“Konceptet er dejligt enkelt,” skrev Huston i 2020, selvom nogle måske argumenterer med hans brug af ordet “enkelt”, når de læste hans forklaring.
ODNS bruger en kæde af DNS -servere, der interagerer via en pipeline af krypterede transaktioner. Detaljerne vil være fascinerende for DNS -interesserede, men den overordnede strategi er let at forklare.
DNS -serveren tæt på dig ved, hvem du er, så den kan returnere svaret til dig, men ikke hvad din forespørgsel var, fordi den er krypteret.
DNS -serveren i den anden ende ved, hvilken DNS -forespørgsel den skal løse, fordi du brugte serverens offentlige nøgle til at kryptere transaktionen, men ikke hvem der bad om den.
En lignende tilgang kaldet Oblivious DoH (ODoH), beskrevet i et udkast til standard i 2020, indpakker hele DNS -transaktionen i en krypteret konvolut.
Fordelen ved ODoH er, at den ikke forsøger at samle alt i det eksisterende DNS -pakkeformat, hvilket betyder, at det kan være lidt mere elegant. Ulempen er, at det kræver separat infrastruktur fra den eksisterende DNS.
Men hvorfor skulle nogen betale for alt dette?
Hustons fremtid med oppustede, paranoide apps
“Med hensyn til økonomi er DNS en ødemark,” sagde Huston til APNIC 52.
“Jeg betaler ikke for forespørgsler, du betaler ikke for forespørgsler. Hvem finansierer alt dette? Nå, min ISP finansierer meget af det. Og det kommer lidt ud af, hvad jeg betaler dem, “sagde han.
Det betyder, at der ikke er noget incitament for internetudbydere til at forbedre DNS -privatlivets fred.
“For ISP -gebyrer bliver DNS en del af Mr Cost, det er ikke Mr Income, og der er derfor meget modstand mod at få Mr Cost til at vokse sig større, fordi det er den måde, du i grunden dræber din virksomhed på.”
De offentlige servere er der, men hvem finansierer dem? Og hvor mange brugere vil alligevel ændre deres DNS -indstillinger på deres enheder?
“På nogle måder er forbedring af DNS et kærlighedsarbejde. Det er ikke et arbejde for rigdom og fortjeneste,” sagde Huston.
“De fleste mennesker bruger simpelthen deres internetudbyderes resolver, for det er den, du betaler for, og det er den eneste person, der faktisk har en forpligtelse til at gøre dette for dig … Så i det store og hele er åbne DNS -resolvere ikke rigtig vil tage DNS og løbe væk over bakkerne. ”
Huston mener, at der er ét sted, hvor de privatlivsbeskyttende DNS-protokoller kan tage fat, selvom det ikke vil være til din fordel: inde i apps på dine enheder.
Facebooks mobilapp vejer for eksempel mere end 200 megabyte, fordi den indeholder et helt operativsystem, inklusive en hel netværksstak.
“Facebook er paranoid om en række ting. Det er paranoid om platformen, der snoker på den. Det er paranoid om andre applikationer på den samme platform, der snoker på Facebook -appen,” sagde Huston.
“Facebook er utrolig værdifuld. Det har brugt meget tid og penge på at forstå mig og sammensætte en profil af mig, som den kan sælge til annoncører. Det sidste, den vil gøre, er at give noget af det information væk til andre. Det er deres data, “sagde han.
“Applikationer, der skiller sig fra DNS-infrastrukturen, som vi kender den, er en uundgåelig og nær fremtid.”
Huston ser denne udvikling som en del af bredere, historiske bølger af forandringer, der “har spillet sig ud lige nu foran vores øjne”.
Internettet har gradvist ændret sig fra netværkscentrerede tjenester til platformcentrerede tjenester til applikationscentrerede tjenester.
“DNS bliver fejet op med dette, og næsten hver eneste del af DNS ændres, så snart DNS bliver suget ind i applikationsrum,” sagde han.
“Enkelt sammenhængende navnerum? Næ, historisk skrald. Fordi hele navnerummet derefter bliver applikationscentreret, og forskellige applikationer vil have et andet navnerum, der passer til deres behov.”
Relateret dækning
Sikkerhedsforskere advarer om TCP/IP -stakfejl i operationelle teknologiske enhederOMIGOD: Azure -brugere, der kører Linux -VM'er, skal opdatere nu Bitdefender frigiver universel dekrypter til REvil/Sodinokibi -ofre ramt før 13. juli Google støtter op om sikkerhed sikkerhedsanmeldelser af disse centrale open source -projekterOWASP opdaterer top 10 sårbarhedsrangering for første gang siden 2017
Relaterede emner:
Security Cloud Internet of Things Datacentre 