DNS sobre HTTPS causa mais problemas do que resolve

por Claylson Martins

Vários especialistas, empresas e entidades nacionais manifestaram preocupações muito convincentes sobre o DoH e seus recursos.


O protocolo DNS sobre HTTPS (DoH) não é a panacéia de privacidade que muitos têm defendido nos últimos meses. Se quisermos ouvir especialistas em redes e segurança cibernética, o protocolo é inútil e causa mais problemas do que conserta. Além disso, as críticas vêm aumentando contra o DoH e aqueles que o promovem como um método viável de preservação da privacidade. Portanto, especialistas dizem que DNS sobre HTTPS causa mais problemas do que resolve..

O TL; DR é que a maioria dos especialistas acha que o DoH não é bom, e as pessoas devem concentrar seus esforços na implementação de melhores maneiras de criptografar o tráfego DNS – como DNS sobre TLS – em vez de DoH.


O QUE É DOH E UMA BREVE HISTÓRIA

O protocolo DNS sobre HTTPS é uma invenção recente. Foi criado há alguns anos e foi proposto como padrão da Internet em outubro passado (IETF RFC8484). Ele já é suportado no Android e está programado para ser lançado no Mozilla Firefox e no Google Chrome ainda este ano.

O protocolo em si funciona alterando o funcionamento do DNS. Até agora, as consultas DNS eram feitas em texto sem formatação, de um aplicativo a um servidor DNS, usando as configurações de DNS do sistema operacional local recebidas de seu provedor de rede – geralmente um provedor de serviços de Internet (ISP).

DoH muda esse paradigma. O DoH criptografa as consultas DNS, que são disfarçadas como tráfego HTTPS regular – daí o nome DNS sobre HTTPS. Essas consultas do DoH são enviadas para servidores DNS compatíveis com DoH (chamados resolvedores de DoH), que resolvem a consulta DNS dentro de uma solicitação de DoH e respondem ao usuário, também de maneira criptografada.

Por causa de tudo isso, as empresas e organizações que possuem produtos com capacidade para DoH têm anunciado o DoH como uma maneira de impedir que os ISPs rastreiem o tráfego da web dos usuários e como uma maneira de contornar a censura em países opressivos.


Mas muitas pessoas instruídas dizem que isso é mentira. Vários especialistas nas áreas de redes e segurança cibernética criticaram publicamente algumas das reivindicações que cercam o DoH e os esforços para promovê-lo em quase todos os lugares.

Eles dizem que o DoH não é a cura mágica para a privacidade do usuário que algumas empresas vêm envidando em seus esforços de marketing, a fim de aumentar sua imagem como organizações que priorizam a privacidade.

Especialistas dizem que essas empresas são irresponsáveis por promover um protocolo incompleto que na verdade não protege os usuários e causa mais problemas do que corrige, especialmente no setor empresarial.

A resposta à unção de DoH como uma importante solução de preservação da privacidade tem sido absolutamente ácida, em alguns casos. Os críticos adotaram o protocolo em diferentes planícies, que tentaremos organizar e categorizar abaixo:

O DoH não impede realmente o rastreamento de usuários de ISPsDoH cria estragos no setor empresarialDoH enfraquece a cibersegurançaDoH ajuda criminososDoH não deve ser recomendado a dissidentesO DoH centraliza o tráfego DNS em alguns resolvedores de DoH


Por que especialistas dizem que DNS sobre HTTPS causa mais problemas do que resolve?

Um dos principais pontos que os apoiadores do DoH têm comentado no ano passado é que o DoH impede que os ISPs rastreiem as solicitações de DNS dos usuários e, portanto, os impede de rastrear os hábitos de tráfego da web dos usuários.

Sim. O DoH impede que o ISP visualize as solicitações de DNS de um usuário.

No entanto, o DNS não é o único protocolo envolvido na navegação na web. Ainda existem inúmeros outros pontos de dados que os ISPs podem rastrear para saber para onde o usuário está indo. Qualquer pessoa que diga que o DoH impede os ISPs de rastrear usuários está mentindo ou não entende como o tráfego da Web funciona.

Se um usuário estiver acessando um site carregado via HTTP, o uso do DoH é inútil, pois o ISP ainda saberá qual URL o usuário está acessando, simplesmente observando as solicitações HTTP em texto sem formatação.

Mas isso também é verdade mesmo se os usuários estiverem acessando sites HTTPS. Os ISPs saberão em qual site o usuário está se conectando porque o protocolo HTTPS não é perfeito e algumas partes da conexão HTTPS não são criptografadas.

Especialistas dizem que os ISPs não serão incomodados pelo DoH, porque eles podem ver facilmente essas partes HTTPS que não são criptografadas – como campos SNI e conexões OCSP.

Além disso, os ISPs sabem tudo sobre o tráfego de todos. Por design, eles podem ver qual endereço IP o usuário está conectando ao acessar um site.

Este endereço IP não pode ser oculto. O conhecimento do destino final do IP revela a qual site um usuário está se conectando, mesmo que tudo sobre seu tráfego esteja criptografado. Uma pesquisa publicada em agosto mostrou que terceiros podem dentificar com precisão de 95% a quais sites os usuários estavam se conectando apenas olhando para endereços IP.

Quaisquer alegações de que o DoH impeça os ISPs de rastrear os usuários são falsas e enganosas, argumentam os especialistas. O DoH apenas incomoda os ISPs, cegando-os para um vetor, mas eles ainda têm muitos outros.


O DOH IGNORA POLÍTICAS CORPORATIVAS

O segundo ponto de discussão principal é o impacto do DoH no setor corporativo, onde os administradores de sistema usam servidores DNS locais e software baseado em DNS para filtrar e monitorar o tráfego local, para impedir que os usuários acessem sites não relacionados ao trabalho e domínios de malware.

Para as empresas, o DoH tem sido um pesadelo desde que foi proposto. O DoH basicamente cria um mecanismo para substituir as configurações de DNS impostas centralmente e permite que os funcionários usem o DoH para ignorar qualquer solução de filtragem de tráfego baseada em DNS.

Como os servidores DNS de hoje não oferecem suporte a consultas de DoH, os aplicativos que atualmente suportam o DoH vêm com listas de servidores de DoH codificados, separando efetivamente o DoH das configurações regulares de DNS do sistema operacional (um grande não-não de design de software que já irritou alguns desenvolvedores, como a equipe do OpenDNS ).

Os administradores de sistema precisam ficar de olho nas configurações de DNS nos sistemas operacionais para evitar ataques de seqüestro de DNS. Ter centenas de aplicativos com suas próprias configurações de DoH é um pesadelo, pois torna quase impossível o monitoramento de seqüestros de DNS.

Além disso, o tráfego para determinados domínios é bloqueado por um determinado motivo dentro das empresas.

Quando o DoH se tornar amplamente disponível, ele se tornará o método favorito de todos os funcionários para ignorar os filtros da empresa para acessar o conteúdo normalmente bloqueado em seus locais de trabalho.


Alguns podem usá-lo para acessar sites de streaming de filmes ou conteúdo adulto, mas uma vez ativado, o DoH permanece ativado e os funcionários também podem visitar acidentalmente sites de malware e phishing, o que nos leva ao próximo ponto …


DOH ENFRAQUECE A CIBERSEGURANÇA

Muitos especialistas dizem que o protocolo destrói centenas de soluções de segurança cibernética, que se tornarão inúteis quando os usuários começarem a usar o DoH em seus navegadores, impedindo as ferramentas de segurança de ver o que os usuários estão fazendo.

E tem havido muitos especialistas que alertaram sobre esse problema, cujas vozes foram afogadas por aqueles que afirmam que o DoH é a melhor coisa desde o pão fatiado.


Quando o protocolo DNS é criptografado, uma organização não pode mais usar os dados de uma consulta DNS (tipo de consulta, resposta, IP de origem etc.) para saber se um usuário está tentando acessar um domínio inválido conhecido, quanto mais desencadear um bloqueio ou redirecionamento, disse Andrew Wertkin, diretor de estratégia da BlueCat , à ZDNet por e-mail no início desta semana.


Em um artigo publicado no mês passado, o Instituto SANS, uma das maiores organizações de treinamento em segurança cibernética do mundo, disse que o uso não mitigado de DNS criptografado, principalmente o DNS sobre HTTPS, pode permitir que invasores e especialistas ignorem os controles organizacionais.

Um aviso semelhante foi repetido nesta sexta-feira, 4 de outubro, em um comunicado de segurança emitido pelo National Cyber Security Centrum, da Holanda. As autoridades holandesas alertaram que as organizações que usam soluções de monitoramento de segurança baseadas em DNS “provavelmente verão sua visibilidade diminuir com o tempo” e esses produtos de segurança se tornarão ineficazes.

A tendência é inconfundível: o monitoramento do DNS ficará mais difícil, disse a agência holandesa.

Conselhos

O conselho é que as empresas precisam procurar métodos alternativos para bloquear o tráfego de saída, soluções que não dependem apenas de dados DNS. O Instituto SANS insta as organizações a não entrar em pânico, mas isso exigirá esforço e tempo financeiros para atualizar os sistemas, algo que muitas organizações não estarão dispostas a fazer.

E eles precisam fazer isso rapidamente, pois os autores de malware também já perceberam o quão útil o DoH pode ser. Por exemplo, em julho, surgiram notícias do primeiro malware que usava o DoH para se comunicar com seu servidor de comando e controle, sem impedimentos pelas soluções de monitoramento de rede local.

Mas pesquisadores de segurança e administradores corporativos não são idiotas. Eles também entendem a necessidade de proteger as consultas DNS dos olhos bisbilhoteiros.

No entanto, se dependesse deles, eles argumentariam por enviar DNSSEC e DNS-over-TLS (DoT), um protocolo semelhante ao DoH, mas que criptografa a conexão DNS diretamente, em vez de ocultar o tráfego DNS dentro do HTTPS.


O DoT compartilha algumas das mesmas desvantagens do DoH, porém, se os pesquisadores de segurança tivessem que escolher entre o DoH e o DoT, esse último causaria muito menos dores de cabeça, pois funcionaria sobre a infraestrutura DNS existente, em vez de criar sua própria classe de DoH resolvedores compatíveis.


Todos os principais ISPs que implantam o DoT e os principais sistemas operacionais (OS) que suportam o DoT ajudarão significativamente a melhorar a privacidade e a segurança, além de manter a descentralização, disse Shreyas Zare, criador do Technitium DNS Server, que resumiu o impacto do DoH no setor corporativo. em uma postagem no blog no mês passado .


DOH AJUDA CRIMINOSOS?

Outro assunto importante sobre o DoH tem sido sua capacidade de ignorar listas de bloqueio baseadas em DNS que foram criadas por governos opressores e sua capacidade de ajudar os usuários a ignorar a censura online.

Essa não é uma afirmação incorreta. É verdade. Usando o DoH, os usuários podem ignorar os firewalls do país ou do ISP com base no DNS.

O problema é que o DoH também ignora as listas de bloqueio baseadas em DNS criadas por razões legítimas, como aquelas contra o acesso a sites de abuso infantil, conteúdo de terrorismo e sites com material protegido por direitos autorais roubado.

É por isso que a Mozilla e o Google se encontraram recentemente em apuros com autoridades do Reino Unido e dos EUA.

DNS sobre HTTPS causa mais problemas do que resolve

Em meados de maio, a Baronesa Thornton, deputada do Partido Trabalhista, apresentou o protocolo do DoH e seu apoio iminente dos fabricantes de navegadores em uma sessão da Câmara dos Comuns , chamando-o de ameaça à segurança online do Reino Unido.

O GCHQ, serviço de inteligência da Grã-Bretanha, também criticou o Google