sicurezza

DNS-over-HTTPS causa più problemi di quanti ne risolva

/in /da
Tempo di lettura: 9 minuti

Il protocollo DNS-over-HTTPS (DoH) non è la panacea della privacy che molti hanno sostenuto negli ultimi mesi.

Se vogliamo ascoltare esperti di networking e cybersecurity, il protocollo è alquanto inutile e causa più problemi di quanti ne risolva, e le critiche sono aumentate nei confronti di DoH e di coloro che lo promuovono come un valido metodo per preservare la privacy.

Il TL; DR è che la maggior parte degli esperti ritiene che DoH non sia buono e le persone dovrebbero concentrare i propri sforzi sull’implementazione di modi migliori per crittografare il traffico DNS, come DNS-over-TLS , piuttosto che DoH.

COS’È DOH E UNA BREVE STORIA

Il protocollo DNS-over-HTTPS è un’invenzione recente. È stato creato alcuni anni fa ed è stato proposto come standard Internet lo scorso ottobre (IETF RFC8484) È già supportato su Android e dovrebbe essere lanciato su Mozilla Firefox e Google Chrome entro la fine dell’anno.

Il protocollo stesso funziona modificando il funzionamento del DNS. Fino ad ora, le query DNS sono state fatte in testo semplice, da un’app a un server DNS, utilizzando le impostazioni DNS del sistema operativo locale ricevute dal suo provider di rete, generalmente un provider di servizi Internet (ISP).

DoH cambia questo paradigma. DoH crittografa le query DNS, mascherate da traffico HTTPS normale, da cui il nome DNS su HTTPS. Queste query DoH vengono inviate a speciali server DNS compatibili con DoH (chiamati resolver DoH), che risolvono la query DNS all’interno di una richiesta DoH e rispondono all’utente, anche in modo crittografato.

Per tutto quanto detto sopra, le aziende e le organizzazioni che dispongono di prodotti compatibili con DoH hanno pubblicizzato DoH come un modo per impedire agli ISP di monitorare il traffico web degli utenti e come un modo per aggirare la censura nei paesi oppressivi.

Ma molte persone istruite affermano che questa è una bugia. Numerosi esperti nei settori del networking e della sicurezza informatica hanno criticato pubblicamente alcune delle affermazioni che riguardano il DoH e gli sforzi per spingerlo quasi ovunque.

Dicono che DoH non sia la cura magica per la privacy degli utenti che alcune aziende stanno spingendo nei loro sforzi di marketing, al fine di rafforzare la loro immagine di organizzazioni che si occupano della privacy.

Gli esperti affermano che queste aziende sono irresponsabili per aver spinto un protocollo semicorno che in realtà non protegge gli utenti e causa più problemi di quanti ne risolva, specialmente nel settore aziendale.

La risposta all’introduzione di DoH come importante soluzione per preservare la privacy è stata decisamente acida. I critici hanno evidenziato le problematiche del protocollo su diversi ambiti, che cercheremo di organizzare e classificare di seguito:

  • DoH in realtà non impedisce il tracciamento dell’utente ISP
  • DoH crea scompiglio nel settore delle imprese
  • DoH indebolisce la sicurezza informatica
  • DoH aiuta i criminali
  • DoH non dovrebbe essere raccomandato ai dissidenti
  • DoH centralizza il traffico DNS in alcuni resolver DoH

DOH IN REALTÀ NON IMPEDISCE IL TRACCIAMENTO DELL’UTENTE ISP

Uno dei punti principali su cui i sostenitori del DoH hanno blaterato l’anno scorso è che il DoH impedisce agli ISP di tracciare le richieste DNS degli utenti e quindi impedisce loro di tracciare le abitudini di traffico web degli utenti.

Sì. DoH impedisce all’ISP di visualizzare le richieste DNS di un utente.

Tuttavia, DNS non è l’unico protocollo coinvolto nella navigazione web. Ci sono ancora innumerevoli altri dati che gli ISP potrebbero tracciare per sapere dove sta andando un utente. Chiunque dica che DoH impedisce agli ISP di rintracciare gli utenti sta mentendo o non capisce come funziona il traffico web.

Se un utente accede a un sito Web caricato tramite HTTP, l’uso di DoH non ha senso, poiché l’ISP saprà comunque a quale URL accede l’utente semplicemente guardando le richieste HTTP in chiaro.

Ciò vale anche se gli utenti accedono ai siti Web HTTPS. Gli ISP sapranno a quale sito si sta connettendo l’utente perché il protocollo HTTPS non è perfetto e alcune parti della connessione HTTPS non sono crittografate.

Gli esperti affermano che gli ISP non saranno affatto disturbati dal DoH, poiché possono facilmente esaminare queste porzioni HTTPS che non sono crittografate, come i campi SNI e le connessioni OCSP .

Inoltre, gli ISP sanno comunque tutto sul traffico di tutti. In base alla progettazione, possono vedere a quale indirizzo IP l’utente si connette quando accede a un sito Web.

Questo indirizzo IP non può essere nascosto. Conoscere la destinazione IP finale rivela a quale sito Web si connette un utente, anche se tutto il suo traffico è crittografato. La ricerca pubblicata ad agosto ha mostrato che una terza parte può identificare con un’accuratezza del 95% a cui gli utenti di siti Web si connettevano semplicemente guardando gli indirizzi IP.

Qualsiasi affermazione secondo cui gli esperti DoH impediscono agli ISP di rintracciare gli utenti è vergognosa e fuorviante. DoH non fa altro che scomodare gli ISP, ma ce ne sono ancora molti altri.

DOH IGNORA LE POLITICHE AZIENDALI

Il secondo punto di discussione principale è l’impatto di DoH sul settore aziendale, in cui gli amministratori di sistema utilizzano server DNS locali e software basato su DNS per filtrare e monitorare il traffico locale, per impedire agli utenti di accedere a siti non correlati al lavoro e domini malware.

Per le imprese, DoH è stato un incubo da quando è stato proposto. DoH fondamentalmente crea un meccanismo per sovrascrivere le impostazioni DNS imposte centralmente e consente ai dipendenti di utilizzare DoH per bypassare qualsiasi soluzione di filtro del traffico basata su DNS.

Poiché i server DNS di oggi non supportano le query DoH, le app che attualmente supportano DoH vengono fornite con elenchi di server DoH codificati, che separano efficacemente DoH dalle normali impostazioni DNS del sistema operativo (un grande no alla progettazione software che ha già fatto arrabbiare alcuni sviluppatori, come il team OpenDNS ).

Gli amministratori di sistema devono tenere d’occhio le impostazioni DNS tra i sistemi operativi per prevenire attacchi di dirottamento DNS. Avere centinaia di app con le proprie impostazioni DoH uniche è un incubo, in quanto rende quasi impossibile il monitoraggio del dirottamento DNS.

Inoltre, il traffico verso determinati domini viene bloccato per un certo motivo all’interno delle aziende.

Una volta che DoH diventerà ampiamente disponibile, diventerà il metodo preferito da tutti i dipendenti per bypassare i filtri aziendali per accedere a contenuti normalmente bloccati nei loro luoghi di lavoro.

Alcuni possono usarlo per accedere a siti di streaming di film o contenuti per adulti, ma una volta abilitato, DoH rimane abilitato e i dipendenti possono anche visitare accidentalmente siti di malware e phishing, il che ci porta al punto successivo …

DOH INDEBOLISCE LA SICUREZZA INFORMATICA

Molti esperti affermano che il protocollo stravolge centinaia di soluzioni di sicurezza informatica, che diventeranno inutili quando gli utenti inizieranno a utilizzare DoH nei loro browser, impedendo agli strumenti di sicurezza di vedere cosa stanno facendo gli utenti.

E ci sono stati molti esperti che hanno avvertito di questo problema, le cui voci sono state annegate da coloro che affermano che il DoH è la cosa più grande da quando è stata inventata la ruota.

“Quando il protocollo DNS è crittografato, un’organizzazione non può più utilizzare i dati di una query DNS (tipo di query, risposta, IP di origine, ecc.) Per sapere se un utente sta tentando di accedere a un dominio danneggiato, per non parlare di innescare un blocco o reindirizzamento  su questo “, avverte Andrew Wertkin, Chief Strategy Officer presso BlueCat.

In un articolo pubblicato il mese scorso , il SANS Institute, una delle più grandi organizzazioni di formazione sulla sicurezza informatica del mondo, ha affermato che “l’uso non censurato del DNS crittografato, in particolare DNS su HTTPS, potrebbe consentire agli aggressori e agli addetti ai lavori di eludere i controlli organizzativi”.

Un avvertimento simile è stato ribadito venerdì 4 ottobre in un avviso di sicurezza emesso dal National Cyber ​​Security Centrum olandese. Funzionari olandesi hanno avvertito che le organizzazioni che utilizzano soluzioni di monitoraggio della sicurezza basate su DNS “probabilmente vedranno diminuire la loro visibilità nel tempo” e questi prodotti di sicurezza diventeranno inefficaci.

“La tendenza è inconfondibile: il monitoraggio DNS diventerà più difficile”, ha affermato l’agenzia olandese.

Il consiglio è che le aziende devono cercare metodi alternativi per bloccare il traffico in uscita, soluzioni che non si basano solo sui dati DNS. L’Istituto SANS sollecita le organizzazioni a non farsi prendere dal panico, ma ciò comporterà uno sforzo finanziario e tempo per aggiornare i sistemi, cosa che molte organizzazioni non saranno disposte a fare.

E devono farlo rapidamente, poiché gli autori di malware hanno già capito quanto possa essere utile il DoH. Ad esempio, a luglio sono emerse notizie sul primo malware che utilizzava DoH per comunicare con il suo server di comando e controllo senza impedimenti dalle soluzioni di monitoraggio della rete locale.

Ma i ricercatori di sicurezza e gli amministratori di impresa non sono stupidi. Comprendono anche la necessità di proteggere le query DNS dagli occhi altrui.

Tuttavia, se dipendesse da loro, discuterebbero di spingere DNSSEC e DNS-over-TLS (DoT), un protocollo simile a DoH, ma che crittografa la connessione DNS, piuttosto che nascondere il traffico DNS all’interno di HTTPS.

DoT condivide alcuni degli stessi svantaggi con DoH, ma se i ricercatori della sicurezza dovessero scegliere tra DoH e DoT, quest’ultimo causerebbe molti meno mal di testa, poiché funzionerà sull’infrastruttura DNS esistente, piuttosto che creare la propria classe di DoH.

“Tutti i principali ISP che implementano DoT e i principali sistemi operativi (SO) che supportano DoT contribuiranno in modo significativo a migliorare la privacy e la sicurezza nonché a mantenere il decentramento”, ha affermato Shreyas Zare, il creatore del Technitium DNS Server, che ha sintetizzato l’impatto di DoH sul settore aziendale in un post sul blog il mese scorso .

DOH AIUTA I CRIMINALI

Un altro aspetto importante di DoH è stata la sua capacità di eludere le blocklist basate su DNS che sono state messe in atto da governi oppressivi e la sua capacità di aiutare gli utenti a bypassare la censura online.

Questa non è un’affermazione errata. È vero. Usando DoH, gli utenti possono bypassare i firewall basati su DNS o ISP.

Il problema è che DoH ignora anche le blocklist basate su DNS messe in atto per motivi legittimi, come quelli contro l’accesso a siti Web di abuso di minori, contenuti di terrorismo e siti Web con materiale rubato protetto da copyright.

Questo è il motivo per cui sia Mozilla che Google si sono recentemente trovati nei guai con le autorità sia nel Regno Unito che negli Stati Uniti.

A metà maggio, la baronessa Thornton, parlamentare del Partito laburista, ha introdotto il protocollo DoH e il suo imminente supporto da parte dei produttori di browser in una sessione della Camera dei Comuni , definendolo una minaccia alla sicurezza online del Regno Unito.

Il GCHQ, il servizio di intelligence britannico, ha anche criticato sia Google che Mozilla , sostenendo che il nuovo protocollo avrebbe impedito le indagini della polizia e che avrebbe potuto minare le sue attuali protezioni governative contro i siti Web dannosi fornendo agli attori cattivi un modo per aggirare i suoi sistemi di sorveglianza di Internet.

L’Internet Watch Foundation (IWF), un gruppo di controllo britannico con una missione dichiarata di ridurre al minimo la disponibilità dei contenuti con abusi sessuali su minori, anche criticato sia Google e Mozilla , sostenendo che i produttori di browser stavano rovinando anni di lavoro nel proteggere il pubblico britannico da contenuti abusivi fornendo un nuovo metodo per accedere a contenuti illegali.

A luglio, un ISP del Regno Unito ha nominato Mozilla per un premio di ” Internet Villain 2019 ” per i suoi piani di supporto al DoH, citando ragioni simili all’IWF.

A settembre, il comitato giudiziario della Camera degli Stati Uniti ha avviato un’indagine sui piani di Google di abilitare il DoH, sostenendo che il supporto del DoH “potrebbe interferire su vasta scala con le funzioni critiche di Internet, nonché sollevare problemi relativi alla concorrenza dei dati”.

Quando Google e Mozilla hanno annunciato l’intenzione di supportare DoH come soluzione anti-censura, tutti si aspettavano che il respingimento provenisse da regimi oppressivi come Cina, Iran o Russia; tuttavia, il pushback è arrivato dai luoghi più inaspettati.

E Mozilla ha già rotto sotto pressione. L’organizzazione ha dichiarato a luglio che non prevede più di abilitare DoH per impostazione predefinita per gli utenti del Regno Unito. Google, d’altra parte, ha affermato di aver progettato il supporto DoH in Chrome in modo tale che la responsabilità ricada esclusivamente sulle società che forniscono server DNS con resolver DoH alternativi.

DOH NON DOVREBBE ESSERE RACCOMANDATO AI DISSIDENTI

E un altro grande problema che la maggior parte degli esperti di sicurezza ha avuto con il DoH sono le recenti affermazioni secondo cui può aiutare chi vive in paesi oppressivi.

Queste affermazioni sono state ampiamente ridicolizzate, con alcuni esperti di sicurezza che hanno definito i sostenitori del DoH irresponsabili per mettere a rischio la vita delle persone dando loro un falso senso di sicurezza se usano il DoH.

Questo perché DoH non protegge gli utenti dal tracciamento. Come è stato spiegato sopra, DoH nasconde solo il traffico DNS, ma tutto il resto è ancora visibile.

In un post sul blog, PowerDNS ha descritto gli sforzi per spingere l’idea che DoH può aiutare gli utenti in paesi pericolosi come ” una cosa molto” tecnologica “da parte di persone che non comprendono appieno la situazione.

“È fondamentale vedere DoH come una” VPN molto parziale “che crittografa solo i pacchetti DNS, ma lascia tutti gli altri pacchetti non modificati”, ha affermato PowerDNS.

Invece, esperti come Zare e PowerDNS raccomandano agli utenti di paesi oppressivi di utilizzare app compatibili con DoH in combinazione con Tor o VPN, anziché utilizzare solo DoH. Dire alle persone su cui possono fare pieno affidamento DoH è solo fuorviante.

DOH CENTRALIZZA IL TRAFFICO DNS IN ALCUNI RESOLVER DOH

E c’è il problema dell’impatto di DoH sull’intero ecosistema DNS, una rete decentralizzata di server.

Il più grande critico di questa mossa è stato il Centro informazioni di rete Asia-Pacifico (APNIC), che, in un post di blog questa settimana , ha criticato l’idea di inviare il traffico DoH a pochi risolutori DoH, piuttosto che utilizzare l’ecosistema esistente di server DNS .

Sostengono che la crittografia del traffico DNS dovrebbe essere eseguita sull’infrastruttura corrente, piuttosto che creare un altro livello (inutile) di resolver DoH, che si colloca al di sopra del livello DNS esistente.

“Il DoH centralizzato è attualmente un netto negativo per la privacy poiché chiunque possa vedere i tuoi metadati può ancora vedere i tuoi metadati quando il DNS viene spostato su una terza parte”, ha affermato APNIC. “Inoltre, quella terza parte ottiene quindi un registro completo per dispositivo di tutte le query DNS, in un modo che può anche essere monitorato attraverso gli indirizzi IP.

“La crittografia del DNS è buona, ma se fosse fatto senza coinvolgere altre parti, sarebbe meglio”, ha aggiunto APNIC.

Gli utenti che desiderano nascondere il proprio traffico Web dovrebbero comunque considerare VPN e Tor come soluzioni più sicure, con DoH come ulteriore livello di protezione, quando disponibile.

Le imprese dovranno investire in nuovi modi di monitorare e filtrare il traffico, poiché l’era dei sistemi basati su DNS sembra volgere al termine e saranno necessarie soluzioni ibride con funzionalità di intercettazione TLS. Tali sistemi esistono già, ma sono costosi e il motivo principale per cui molte aziende hanno fatto affidamento su sistemi basati su DNS fino ad ora.

Fonte

Potrebbero interessarti
virus android Il nuovo malware xHelper “inamovibile” per android
avviso fbi L’FBI avverte di attacchi che aggirano l’autenticazione a più fattori (MFA)
avast Avast afferma che gli hacker hanno violato la rete interna
nordvpn NordVPN conferma che è stato violato
cybersicurezza Cybersicurezza set.35-2019
Furto credenziali internet Come possono rubarti internet senza che tu te ne renda conto
Huawei La Gran Bretagna prende la decisione finale su Huawei
Linux Malware Skidmap resta non rilevato Skidmap il nuovo malware per Linux