Waarom de aanstaande DoH-update van Mozilla Firefox een vergissing kan zijn

17-10-2018

Een paar weken geleden doorkruiste een Tweet met een poll van Bert Hubert van PowerDNS mijn tijdlijn. PowerDNS is een van de mainstream DNS-recursor / Authoritative Name Server-toepassingen. In de Tweet verklaarde hij dat hij 'weggeblazen' is door Mozilla die alle Firefox DNS-vragen als standaardinstelling aan CloudFlare wil geven.

Auteur: Hilmar Burghgraaff

De Tweet verklaarde dat Mozilla DNS naar HTTP over DNS (DoH) verplaatst met hulp van zijn partner CloudFlare.

Ik vind de gelijkenis met Homer's 'Doh!' Opvallend, omdat naar mijn mening DoH niet echt een echt probleem oplost. Integendeel, het creëert een probleem. In deze blog zal ik ingaan op de mogelijke risico's van het verplaatsen van DNS naar HTTP via DNS.

Wat is DNS?

Stel je voor dat je de Fox-website wilt bezoeken om meer te weten te komen over Homer en de rest van de Simpson-familie. https://www.fox.com/the-simpsons/. Aangezien het internet is opgebouwd rond IP-nummers in plaats van namen, moet de naam van de website worden vertaald om de juiste server te bereiken.

'Achter de schermen' gebeuren de volgende acties:

  • Browser vraagt je OS-resolver waar je www.fox.com (het IP-adres) kan vinden: OS resolver kijkt in zijn lokale opslag, vindt het niet en vraagt een geconfigureerde resolver om hetzelfde:
  • Geconfigureerde resolver kijkt in de lokale opslag, vindt het niet en vraagt de root-TLD om hetzelfde:
  • Root TLD antwoordt waar de hoofdresolver van .com te vinden is
  • Geconfigureerde resolver zal de hoofdresolver van .com vragen waar www.fox.com (AUTH DNS) te vinden is.
  • .com's TLD reageert waar de resolver van fox.com te vinden is (AUTH DNS)
  • De geconfigureerde resolver zal de resolver van fox.com vragen waar hij www.fox.com kan vinden
  • fox.com's TLD antwoordt waar www.fox.com (zijn IP-adres) te vinden is
  • Geconfigureerde resolver slaat dit op in zijn lokale opslag en retourneert het IP-adres naar je browser
  • Browser zet een TCP-sessie op naar het geretourneerde IP op poort 443 (https) en begint met onderhandelen voor een beveiligde verbinding

Infradata stat1

Eigenlijk is DNS niets anders dan een middel om het IP-adres van een website te vinden.

DNS over HTTP: de verschuiving naar profilering en 'gepersonaliseerde' inhoud

Volgens verschillende bronnen wordt het volgende probleem aangepakt, voornamelijk als gevolg van problemen in de VS en andere landen, waar geen wetgeving bestaat om het knoeien met en / of het verzamelen van DNS-verzoeken om verkeer te monetariseren te voorkomen.

In deze landen en regio's voegt uw DNS-verzoek toe aan de schatkist van ISP's door een profiel van u te verkopen op basis van uw DNS-verzoeken, of door 'gepersonaliseerde' inhoud te tonen op pagina's op basis van dit verzoek en een profiel dat is gemaakt van uw eerdere DNS-aanvraaggeschiedenis.

Hoe je geprofileerd zou kunnen worden als een hacker

Wanneer u websites bezoekt om informatie te vinden over bijvoorbeeld cyberbeveiliging, zoals Infosecurity, Hackerspace en Blackhat, kan de combinatie van die websitebezoeken en verzamelde informatie ervoor zorgen dat u wordt gemarkeerd als een hacker. Die informatie kan dan worden verkocht aan sites die lock-picking kits leveren of andere bedrijven die hackers als doelgroep hebben.

Het probleem is: het aanvragen van een IP is privacygevoelig

Terug naar het bezoeken van de fox.com-website.

Wanneer u het IP-adres van een website aanvraagt, is de naam van die website bekend bij het besturingssysteem, de geconfigureerde resolver (s), netwerken voor de traverses, Root TLD, meer specifieke root-TLD (.com) en domein-TLD (fox.com).

Al deze instellingen hebben de mogelijkheid om bij te houden waar uw verzoek voor dit websitebezoek vandaan kwam. Dit betekent dat ze allemaal een keuze hebben om deze informatie te verkopen, of het te gebruiken als 'data-voor-gebruiker-profilering', evenals voor advertentiedoeleinden.

Ze kunnen ook in staat zijn om het antwoord te wijzigen en u naar een andere locatie te leiden. Een goed voorbeeld voor een dergelijke omleiding is de portal voor bedrijfsdebatten, die u vertelt dat u XYZ niet kunt bezoeken, omdat dit tegen het bedrijfsbeleid is.

Ik vroeg Infoblox, kernpartner van Infradata en een specialist in beveiligde DNS-, DHCP- en IPAM-oplossingen (DDI), wat hun gedachten zijn over het DNS over HTTP-onderwerp.

Infoblox heeft zijn bezorgdheid geuit over de beveiliging van de laatste kilometer, terwijl het huidige DoH-voorstel in feite standaard lijkt te zijn op CloudFlare. Wat (nog) geen deel uitmaakt van de laatste kilometer en ze alle opties biedt om op een gecentraliseerde manier met profileren te beginnen.

Afgezien van de implicaties van gegevenslekken en beveiligingsdetectie, lijkt dit ook een fundamenteel deel van het internet te centraliseren, waardoor het kwetsbaarder wordt voor buitenlandse agentschappen om in te grijpen.

Ik kan me echter wel vinden in de drang naar een veiligere manier van communiceren tussen client en DNS-server; Vandaar dat DoT (DNS over TLS) ook een goed alternatief zou kunnen zijn voor DoH. Het draait allemaal om gecentraliseerd vs gedecentraliseerd, gebruikerskeuze en gebruikersbewustzijn.

Wie vertrouw je?

In een peiling gedeeld door Bert Hubert op Twitter, vroeg hij wie gebruikers meer vertrouwen als het gaat om het leveren van een private en neutrale DNS-service. Met meer dan 240 stemmen zijn de resultaten duidelijk. De meeste respondenten vertrouwen hun serviceprovider meer dan CloudFlare.

Infradata stat2

Welke partijen zijn hier dus betrokken als het gaat om het gebruik van dergelijke profileringsmogelijkheden:

  • Uw browserleverancier
  • Uw OS-leverancier
  • Uw bedrijf
  • Uw ISP
  • Transit- en Peering-providers
  • ISP die de website host
  • ICANN root-TLD
  • ICANN / VERISIGN Meer specifieke root-TLD (.com)

Om de vraag van Bert Hubert te herhalen: hoeveel vertrouwt u elk van deze partijen met uw verzoek om informatie om fox.com te bereiken?

Bescherming tegen knoeien / injecteren van inhoud

Partijen knoeien met uw verzoeken om inhoud in uw webpagina's in te voegen. Dit gebeurt vooral in de VS, maar in de EU is er nu een wet tegen dergelijke praktijken die de wet van 'netneutraliteit' wordt genoemd.

Aangezien DNS wordt gebruikt om de locatie van inhoud te vinden, kunt u ook DNS gebruiken om het element 'bereiken' van deze inhoud op naam te blokkeren of door een alternatieve pagina te bieden.

Een voorbeeld zijn de captive portals die u vindt in restaurants, hotels, treinstations, etc. Om hun gratis service te gebruiken, moet u ermee instemmen om uzelf te gedragen wanneer u naar websites navigeert.

Omdat het DoH-protocol DNS gebruikt om de DoH-resolverende server te vinden, zal deze Captive-portal of Pay-wall nog steeds functioneren zoals hiervoor. Het blokkeren van inhoud op DNS-naam wordt voorkomen nadat de betaalmuur of captive portal u al toegang heeft verleend.

Houd er rekening mee dat er nog steeds geknoeid kan worden met het DNS dat werd gebruikt om naar de DoH-server te zoeken en dat deze kon worden omgeleid naar een vergelijkbare server die wordt uitgevoerd door de partijen die al proberen verkeer van u af te leiden.

Wat zit erin voor de gebruiker?

Welnu, uw DNS-verkeer wordt ergens anders omgeleid. Dit kan worden omgeleid naar de DNS-resolver van uw bedrijf, de resolver van uw ISP, open resolvers zoals Cloudflare / OpenDNS / Google of via DNS via HTTP naar CloudFlare.

Uw mechanismen voor het voorkomen van bedreigingen werken mogelijk niet zo goed nadat dit DoH-protocol standaard is ingeschakeld, omdat sommigen hiervan afhankelijk zijn.

Vanuit het perspectief van een netwerkingenieur zou ik niet vertrouwen op de standaard DoH-instellingen. Het stuurt ook interne DNS-verzoeken naar deze buitenlandse partijen. In plaats daarvan zou ik u ook aanbevelen:

  • Herconfigureer uw browser-beleid
  • Leid deze bekende URL's door naar uw eigen DoH-server met behulp van dnsdist, bijvoorbeeld de OpenSource-resolver van PowerDNS. In het geval u zich dit afvraagt, betekent dit dat het hebben van meer of minder privacy met deze oplossing een omstreden onderwerp is, afhankelijk van de schaal van uw organisatie.
  • Blokkeer deze URL's op uw netwerkrand

Wanneer vindt de adoptie van DoH door Firefox plaats?

Volgens Mozilla zal Firefox de implementatie en acceptatie van DoH leiden. In feite is het al beschikbaar in hun nachtschade en zal het mainstream zijn in release nr. 63, die automatisch zal worden ingezet rond 23 oktober.

Tot nu toe zijn er nog geen details gedeeld over de vraag of deze functie standaard wordt ingeschakeld, maar de toon is ingesteld om dat te doen, door een DoH-handler bij jou in de buurt te selecteren waarvan Mozilla vindt dat die goed voor je is. Het punt is: u moet zelf bepalen wie u vertrouwt en uw Mozilla Firefox-instellingen configureren volgens uw zakelijke (en ethische) beleid, evenals in overeenstemming met de privacyregels van uw land.


Dit artikel is ook te vinden in het dossier Informatiebeveiliging

bron: Infradata.nl

Van onze partners

Examentraining CIPP / E Certified Information Privacy Professional Europe

→ Lees meer

Examentraining CIPM / Certified Information Privacy Manager

→ Lees meer

Cursus: werken aan een privacybewuste organisatie

Na deze afwisselende en interactieve cursus kunnen deelnemers een privacybewustzijnsproces in hun eigen organisatie initiëren.

→ Lees meer

Nieuwsbrief

Blijf op de hoogte van het laatste nieuws over privacy, cybersecurity en data. Abonneer op onze gratis nieuwsbrief.

Abonneer