por Claylson Martins
Vários especialistas, empresas e entidades nacionais manifestaram preocupações muito convincentes sobre o DoH e seus recursos.
O protocolo DNS sobre HTTPS (DoH) não é a panacéia de privacidade que muitos têm defendido nos últimos meses. Se quisermos ouvir especialistas em redes e segurança cibernética, o protocolo é inútil e causa mais problemas do que conserta. Além disso, as críticas vêm aumentando contra o DoH e aqueles que o promovem como um método viável de preservação da privacidade. Portanto, especialistas dizem que DNS sobre HTTPS causa mais problemas do que resolve..
O TL; DR é que a maioria dos especialistas acha que o DoH não é bom, e as pessoas devem concentrar seus esforços na implementação de melhores maneiras de criptografar o tráfego DNS – como DNS sobre TLS – em vez de DoH.
O QUE É DOH E UMA BREVE HISTÓRIA
O protocolo DNS sobre HTTPS é uma invenção recente. Foi criado há alguns anos e foi proposto como padrão da Internet em outubro passado (IETF RFC8484). Ele já é suportado no Android e está programado para ser lançado no Mozilla Firefox e no Google Chrome ainda este ano.
O protocolo em si funciona alterando o funcionamento do DNS. Até agora, as consultas DNS eram feitas em texto sem formatação, de um aplicativo a um servidor DNS, usando as configurações de DNS do sistema operacional local recebidas de seu provedor de rede – geralmente um provedor de serviços de Internet (ISP).
DoH muda esse paradigma. O DoH criptografa as consultas DNS, que são disfarçadas como tráfego HTTPS regular – daí o nome DNS sobre HTTPS. Essas consultas do DoH são enviadas para servidores DNS compatíveis com DoH (chamados resolvedores de DoH), que resolvem a consulta DNS dentro de uma solicitação de DoH e respondem ao usuário, também de maneira criptografada.
Por causa de tudo isso, as empresas e organizações que possuem produtos com capacidade para DoH têm anunciado o DoH como uma maneira de impedir que os ISPs rastreiem o tráfego da web dos usuários e como uma maneira de contornar a censura em países opressivos.
Mas muitas pessoas instruídas dizem que isso é mentira. Vários especialistas nas áreas de redes e segurança cibernética criticaram publicamente algumas das reivindicações que cercam o DoH e os esforços para promovê-lo em quase todos os lugares.
Eles dizem que o DoH não é a cura mágica para a privacidade do usuário que algumas empresas vêm envidando em seus esforços de marketing, a fim de aumentar sua imagem como organizações que priorizam a privacidade.
Especialistas dizem que essas empresas são irresponsáveis por promover um protocolo incompleto que na verdade não protege os usuários e causa mais problemas do que corrige, especialmente no setor empresarial.
A resposta à unção de DoH como uma importante solução de preservação da privacidade tem sido absolutamente ácida, em alguns casos. Os críticos adotaram o protocolo em diferentes planícies, que tentaremos organizar e categorizar abaixo:
O DoH não impede realmente o rastreamento de usuários de ISPsDoH cria estragos no setor empresarialDoH enfraquece a cibersegurançaDoH ajuda criminososDoH não deve ser recomendado a dissidentesO DoH centraliza o tráfego DNS em alguns resolvedores de DoH
Por que especialistas dizem que DNS sobre HTTPS causa mais problemas do que resolve?
Um dos principais pontos que os apoiadores do DoH têm comentado no ano passado é que o DoH impede que os ISPs rastreiem as solicitações de DNS dos usuários e, portanto, os impede de rastrear os hábitos de tráfego da web dos usuários.
Sim. O DoH impede que o ISP visualize as solicitações de DNS de um usuário.
No entanto, o DNS não é o único protocolo envolvido na navegação na web. Ainda existem inúmeros outros pontos de dados que os ISPs podem rastrear para saber para onde o usuário está indo. Qualquer pessoa que diga que o DoH impede os ISPs de rastrear usuários está mentindo ou não entende como o tráfego da Web funciona.
Se um usuário estiver acessando um site carregado via HTTP, o uso do DoH é inútil, pois o ISP ainda saberá qual URL o usuário está acessando, simplesmente observando as solicitações HTTP em texto sem formatação.
Mas isso também é verdade mesmo se os usuários estiverem acessando sites HTTPS. Os ISPs saberão em qual site o usuário está se conectando porque o protocolo HTTPS não é perfeito e algumas partes da conexão HTTPS não são criptografadas.
Especialistas dizem que os ISPs não serão incomodados pelo DoH, porque eles podem ver facilmente essas partes HTTPS que não são criptografadas – como campos SNI e conexões OCSP.
Além disso, os ISPs sabem tudo sobre o tráfego de todos. Por design, eles podem ver qual endereço IP o usuário está conectando ao acessar um site.
Este endereço IP não pode ser oculto. O conhecimento do destino final do IP revela a qual site um usuário está se conectando, mesmo que tudo sobre seu tráfego esteja criptografado. Uma pesquisa publicada em agosto mostrou que terceiros podem dentificar com precisão de 95% a quais sites os usuários estavam se conectando apenas olhando para endereços IP.
Quaisquer alegações de que o DoH impeça os ISPs de rastrear os usuários são falsas e enganosas, argumentam os especialistas. O DoH apenas incomoda os ISPs, cegando-os para um vetor, mas eles ainda têm muitos outros.
O DOH IGNORA POLÍTICAS CORPORATIVAS
O segundo ponto de discussão principal é o impacto do DoH no setor corporativo, onde os administradores de sistema usam servidores DNS locais e software baseado em DNS para filtrar e monitorar o tráfego local, para impedir que os usuários acessem sites não relacionados ao trabalho e domínios de malware.
Para as empresas, o DoH tem sido um pesadelo desde que foi proposto. O DoH basicamente cria um mecanismo para substituir as configurações de DNS impostas centralmente e permite que os funcionários usem o DoH para ignorar qualquer solução de filtragem de tráfego baseada em DNS.
Como os servidores DNS de hoje não oferecem suporte a consultas de DoH, os aplicativos que atualmente suportam o DoH vêm com listas de servidores de DoH codificados, separando efetivamente o DoH das configurações regulares de DNS do sistema operacional (um grande não-não de design de software que já irritou alguns desenvolvedores, como a equipe do OpenDNS ).
Os administradores de sistema precisam ficar de olho nas configurações de DNS nos sistemas operacionais para evitar ataques de seqüestro de DNS. Ter centenas de aplicativos com suas próprias configurações de DoH é um pesadelo, pois torna quase impossível o monitoramento de seqüestros de DNS.
Além disso, o tráfego para determinados domínios é bloqueado por um determinado motivo dentro das empresas.
Quando o DoH se tornar amplamente disponível, ele se tornará o método favorito de todos os funcionários para ignorar os filtros da empresa para acessar o conteúdo normalmente bloqueado em seus locais de trabalho.
Alguns podem usá-lo para acessar sites de streaming de filmes ou conteúdo adulto, mas uma vez ativado, o DoH permanece ativado e os funcionários também podem visitar acidentalmente sites de malware e phishing, o que nos leva ao próximo ponto …
DOH ENFRAQUECE A CIBERSEGURANÇA
Muitos especialistas dizem que o protocolo destrói centenas de soluções de segurança cibernética, que se tornarão inúteis quando os usuários começarem a usar o DoH em seus navegadores, impedindo as ferramentas de segurança de ver o que os usuários estão fazendo.
E tem havido muitos especialistas que alertaram sobre esse problema, cujas vozes foram afogadas por aqueles que afirmam que o DoH é a melhor coisa desde o pão fatiado.
Quando o protocolo DNS é criptografado, uma organização não pode mais usar os dados de uma consulta DNS (tipo de consulta, resposta, IP de origem etc.) para saber se um usuário está tentando acessar um domínio inválido conhecido, quanto mais desencadear um bloqueio ou redirecionamento, disse Andrew Wertkin, diretor de estratégia da BlueCat , à ZDNet por e-mail no início desta semana.
Em um artigo publicado no mês passado, o Instituto SANS, uma das maiores organizações de treinamento em segurança cibernética do mundo, disse que o uso não mitigado de DNS criptografado, principalmente o DNS sobre HTTPS, pode permitir que invasores e especialistas ignorem os controles organizacionais.
Um aviso semelhante foi repetido nesta sexta-feira, 4 de outubro, em um comunicado de segurança emitido pelo National Cyber Security Centrum, da Holanda. As autoridades holandesas alertaram que as organizações que usam soluções de monitoramento de segurança baseadas em DNS “provavelmente verão sua visibilidade diminuir com o tempo” e esses produtos de segurança se tornarão ineficazes.
A tendência é inconfundível: o monitoramento do DNS ficará mais difícil, disse a agência holandesa.
Conselhos
O conselho é que as empresas precisam procurar métodos alternativos para bloquear o tráfego de saída, soluções que não dependem apenas de dados DNS. O Instituto SANS insta as organizações a não entrar em pânico, mas isso exigirá esforço e tempo financeiros para atualizar os sistemas, algo que muitas organizações não estarão dispostas a fazer.
E eles precisam fazer isso rapidamente, pois os autores de malware também já perceberam o quão útil o DoH pode ser. Por exemplo, em julho, surgiram notícias do primeiro malware que usava o DoH para se comunicar com seu servidor de comando e controle, sem impedimentos pelas soluções de monitoramento de rede local.
Mas pesquisadores de segurança e administradores corporativos não são idiotas. Eles também entendem a necessidade de proteger as consultas DNS dos olhos bisbilhoteiros.
No entanto, se dependesse deles, eles argumentariam por enviar DNSSEC e DNS-over-TLS (DoT), um protocolo semelhante ao DoH, mas que criptografa a conexão DNS diretamente, em vez de ocultar o tráfego DNS dentro do HTTPS.
O DoT compartilha algumas das mesmas desvantagens do DoH, porém, se os pesquisadores de segurança tivessem que escolher entre o DoH e o DoT, esse último causaria muito menos dores de cabeça, pois funcionaria sobre a infraestrutura DNS existente, em vez de criar sua própria classe de DoH resolvedores compatíveis.
Todos os principais ISPs que implantam o DoT e os principais sistemas operacionais (OS) que suportam o DoT ajudarão significativamente a melhorar a privacidade e a segurança, além de manter a descentralização, disse Shreyas Zare, criador do Technitium DNS Server, que resumiu o impacto do DoH no setor corporativo. em uma postagem no blog no mês passado .
DOH AJUDA CRIMINOSOS?
Outro assunto importante sobre o DoH tem sido sua capacidade de ignorar listas de bloqueio baseadas em DNS que foram criadas por governos opressores e sua capacidade de ajudar os usuários a ignorar a censura online.
Essa não é uma afirmação incorreta. É verdade. Usando o DoH, os usuários podem ignorar os firewalls do país ou do ISP com base no DNS.
O problema é que o DoH também ignora as listas de bloqueio baseadas em DNS criadas por razões legítimas, como aquelas contra o acesso a sites de abuso infantil, conteúdo de terrorismo e sites com material protegido por direitos autorais roubado.
É por isso que a Mozilla e o Google se encontraram recentemente em apuros com autoridades do Reino Unido e dos EUA.
DNS sobre HTTPS causa mais problemas do que resolve
Em meados de maio, a Baronesa Thornton, deputada do Partido Trabalhista, apresentou o protocolo do DoH e seu apoio iminente dos fabricantes de navegadores em uma sessão da Câmara dos Comuns , chamando-o de ameaça à segurança online do Reino Unido.
O GCHQ, serviço de inteligência da Grã-Bretanha, também criticou o Google e a Mozilla, alegando que o novo protocolo impediria as investigações policiais e que poderia prejudicar suas proteções governamentais existentes contra sites maliciosos, fornecendo aos maus atores uma maneira de contornar seus sistemas de vigilância na Internet.
A Internet Watch Foundation (IWF), um grupo de vigilância britânico com a missão declarada de minimizar a disponibilidade de conteúdo de abuso sexual infantil online, também criticou o Google e a Mozilla, alegando que os fabricantes de navegadores estavam arruinando anos de trabalho para proteger o público britânico de abusos. conteúdo, fornecendo um novo método para acessar conteúdo ilegal.
Em julho, um ISP do Reino Unido indicou a Mozilla para o prêmio de ‘2019 Internet Villain‘ por seus planos de apoiar o DoH, citando razões semelhantes às da IWF.
Em setembro, o Comitê Judiciário da Câmara dos EUA iniciou uma investigação sobre os planos do Google para permitir o DoH, alegando que o suporte ao DoH “poderia interferir em grande escala com funções críticas da Internet, além de levantar questões de concorrência de dados”.
Quando o Google e a Mozilla anunciaram planos de apoiar o DoH como uma solução anticensura, todos esperavam que a reação viesse de regimes opressivos como China, Irã ou Rússia; no entanto, a reação veio dos lugares mais inesperados.
E a Mozilla já rachou sob pressão. A organização disse em julho que não planeja mais ativar o DoH por padrão para usuários do Reino Unido. O Google, por outro lado, disse que projetou o suporte ao DoH no Chrome de forma que a responsabilidade recai estritamente nas empresas que fornecem aos servidores DNS resolvedores de DoH alternativos.
DOH NÃO DEVE SER RECOMENDADO A DISSIDENTES
E outra questão importante que a maioria dos especialistas em segurança teve com o DoH são as recentes alegações de que ele pode ajudar aqueles que vivem em países opressivos.
Essas alegações foram amplamente ridicularizadas, com alguns especialistas em segurança chamando os apoiadores de DoH de irresponsáveis por colocar a vida das pessoas em risco, dando a elas uma falsa sensação de segurança se elas usarem o DoH.
Isso ocorre porque o DoH não protege os usuários do rastreamento. Como foi explicado acima, o DoH oculta apenas o tráfego DNS, porém, todo o resto ainda está visível.
Em uma postagem no blog no mês passado, o PowerDNS descreveu os esforços para impulsionar a idéia de que o DoH pode ajudar usuários em países perigosos como “uma coisa muito ‘tecnológica’ a ser feita“, vinda de pessoas que não entendem completamente a situação.
É fundamental ver o DoH como uma ‘VPN muito parcial’ que criptografa apenas pacotes DNS, mas deixa todos os outros pacotes não modificado”, afirmou o PowerDNS.
Em vez disso, especialistas como Zare e PowerDNS recomendam que usuários de países opressores usem aplicativos compatíveis com DoH em combinação com Tor ou VPNs, em vez de usar apenas o DoH. Dizer às pessoas em quem podem confiar plenamente no Ministério da Saúde é, portanto, enganoso.
O DOH CENTRALIZA O TRÁFEGO DNS
E há o problema do impacto do DoH em todo o ecossistema DNS, uma rede descentralizada de servidores.
O maior crítico desse movimento foi o Centro de Informações de Rede da Ásia-Pacífico (APNIC), que, em uma postagem no blog recentemente, criticou a idéia de enviar tráfego de DoH para alguns resolvedores de DoH, em vez de usar o ecossistema existente de servidores DNS.
Eles argumentam que a criptografia do tráfego DNS deve ser feita na infraestrutura atual, em vez de criar outra camada (inútil) de resolvedores de DoH, que fica na parte superior da camada DNS existente.
O DoH centralizado é atualmente um negativo líquido de privacidade, já que qualquer pessoa que possa ver seus metadados ainda pode vê-los quando o DNS é movido para terceiros, disse a APNIC. Além disso, esse terceiro obtém um log completo por dispositivo de todas as consultas DNS, de uma maneira que pode até ser rastreada nos endereços IP.
Criptografar o DNS é bom, mas se isso puder ser feito sem a participação de outras partes, seria melhor, acrescentou APNIC.
Portanto, DNS sobre HTTPS causa mais problemas do que resolve
A idéia geral é que o DNS sobre HTTPS não é o que muitos pensam. Na verdade, ele não protege os usuários de espionar seu tráfego na Web, e não é tão útil para dissidentes em países perigosos.
Os usuários que desejam ocultar o tráfego da web ainda devem considerar as VPNs e o Tor como soluções mais seguras, com o DoH como uma camada extra de proteção, quando disponível.
As empresas precisarão investir em novas maneiras de monitorar e filtrar o tráfego, já que a era dos sistemas baseados em DNS está chegando ao fim e serão necessárias soluções híbridas com recursos de interceptação TLS. Esses sistemas já existem, mas são caros, e a principal razão pela qual muitas empresas dependem de sistemas baseados em DNS até agora.
Fonte: ZDNet