Как надзорният капитализъм ще преобрази тотално системата за имена на домейни

Сподели
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

Изображение: Getty Images/iStockphoto

Икономиката на капитализма за наблюдение и свят на параноични приложения ще трансформират системата за имена на домейни (DNS), казва Джеф Хюстън, главен учен в APNIC Labs, част от Азиатско -тихоокеанския мрежов информационен център.

Познаването на имената на домейни на уебсайтовете, които посещавате, или сървърите, до които приложенията имат достъп от ваше име, е ценна информация. DNS трафикът е особено ценен, защото отразява какво правят потребителите в реално време.

„Имената, които поискахте, и когато ги поискате, кажете страшно много за вас“, казва Хюстън в своя презентация на конференцията APNIC 52 в сряда.

“Мрежата те издава. Оставяш големи, мръсни, кални следи по килима, колега. Можем да видим къде отиваш. И това е проблемът”, каза той.

“Данни в реално време, точно тук, точно сега. Не миналата седмица, не миналия месец. Тази секунда. Не бихте могли да станете по-ценни.”

Други с по-благородни подбуди също наблюдават DNS трафика, търсейки издайническите признаци на злонамерена дейност, като бързо променящите се имена на домейни, използвани от ботнетите.

И както Едуард Сноудън разкри през 2013 г., членовете на „Петте очи“ съобщават, че разузнавателните агенции също имат желание да изсмучат целия DNS трафик.

„Всички видове хора всъщност разпространяват DNS информация навсякъде“, каза Хюстън.

“Проблемът е, че няма значение какви са вашите мотиви, добри или лоши. Пъхкането е смъркане. Нахлуването в личния живот е нахлуване в личния живот, независимо от цвета на шапката, която носите. И това не е добре. ”

Присаждане на поверителност върху десетилетни протоколи

Основните DNS протоколи датират от 80 -те години на миналия век и се основават на структура на име на домейн, разработена през 70 -те години. Всичко се случва на открито, некриптирано.

“Как можем да спрем тълпата на хората около дигиталната изпускателна тръба, която подушва тези изпарения?” – пита Хюстън.

Има методи за предотвратяване на проследяване на трети страни от вашия DNS трафик, но те не са видели широко разпространение.

Един от начините да затрудните DNS наблюдението е по -трудно да използвате публично отворен DNS сървър, като например Google 8.8.8.8, Cloudflare 1.1.1.1, OpenDNS или Quad9, вместо сървърите на вашия локален ISP – защото е известно, че ISP продават своите DNS регистрационни файлове за рекламодатели.

Това може да се комбинира с използване на криптирана DNS връзка, като например DNS през TLS, DNS през HTTPS (DoH) или DNS над по -леките QUIC протокол.

Ако направите това, вършите „поносимо добра работа“ да се скриете в тълпата, каза Хюстън.

“Но тази първа част от сделката? Трябва да се доверя на Google. Да, така е. Трябва да се доверя на хората, които са експерти в сглобяването на моя профил.”

Казано по друг начин: Ако трябва да компрометираме поверителността си на трета страна, коя трета страна представлява най -малък риск за нас, както сега, така и в бъдеще? Това е труден избор.

Но почакай. Може би изобщо не трябва да компрометираме поверителността си.

Въведете Oblivious DNS, криптографски частно пространство с имена на DNS

Едно от иновативните решения е Oblivious DNS, първоначално написан като a проект на инженерния стандарт през 2018 г. и а официална хартия [PDF] през 2019 г.

„Концепцията е възхитително проста“, пише Хюстън през 2020 г., въпреки че някои биха могли да спорят с използването на думата „прост“, след като прочетат неговия обяснение.

ODNS използва верига от DNS сървъри, взаимодействащи чрез конвейер от криптирани транзакции. Детайлите ще бъдат очарователни за любителите на DNS, но цялостната стратегия е лесна за обяснение.

Близкият до вас DNS сървър знае кой сте, така че може да ви върне отговора, но не и какво е вашето запитване, защото е криптиран.

DNS сървърът в другия край знае каква DNS заявка трябва да разреши, защото сте използвали публичния ключ на този сървър за шифроване на транзакцията, но не и кой го е поискал.

Подобен подход, наречен Oblivious DoH (ODoH), описан в a проект на стандарт през 2020 г., обвива цялата DNS транзакция в криптиран плик.

Предимството на ODoH е, че не се опитва да вмъкне всичко в съществуващия формат на DNS пакети, което означава, че може да бъде малко по -елегантно. Недостатъкът е, че изисква отделна инфраструктура от съществуващия DNS.

Но защо някой би платил за всичко това?

Бъдещето на Хюстън за раздути, параноични приложения

„От гледна точка на икономиката DNS е пустош“, каза Хюстън пред APNIC 52.

“Аз не плащам за запитвания, вие не плащате за запитвания. Кой финансира всичко това? Е, моят интернет доставчик финансира много от него. И това идва от това, което им плащам”, каза той.

Това означава, че няма стимул за интернет доставчиците да подобряват поверителността на DNS.

“За таксите на интернет доставчика DNS става част от г -н Cost, а не от г -н Income и затова има много съпротива да се увеличи г -н Cost, защото това е начинът, по който основно убивате бизнеса си.”

Публичните сървъри съществуват, но кой ги финансира? И колко потребители все пак ще променят настройките си за DNS на своите устройства?

“В някои отношения подобряването на DNS е труд на любовта. Това не е труд за богатство и печалба”, каза Хюстън.

„Повечето хора просто използват резолвера на своя интернет доставчик, защото това е този, за който плащате, и това е единственият човек, който всъщност има задължение да направи това за вас … Така че като цяло отворените DNS резолвери всъщност не са ще вземе DNS и ще избяга над хълмовете. ”

Хюстън смята, че има едно място, където протоколите за защита на поверителността на DNS могат да се задържат, макар че това няма да бъде във ваша полза: вътре в приложенията на вашите устройства.

Мобилното приложение на Facebook например тежи повече от 200 мегабайта, защото съдържа цяла операционна система, включително цял мрежов стек.

“Facebook е параноичен за редица неща. Параноичен е за платформата, която го шпионира. Параноична е за други приложения на същата платформа, които подслушват приложението Facebook”, каза Хюстън.

“Facebook е невероятно ценен. Той изразходва много време и пари, за да ме разбере и да сглоби профил от мен, който да може да продава на рекламодатели. Последното нещо, което иска да направи, е да предостави тази информация на някой друг. Това е техните данни “, каза той.

„Приложенията, които се отделят от DNS инфраструктурата, както знаем, е неизбежно и в близко бъдеще.“

Хюстън разглежда тази прогресия като част от по -широки, исторически вълни на промяна, които „се разиграха в момента пред очите ни“.

Интернет постепенно се трансформира от услуги, ориентирани към мрежата, към услуги, ориентирани към платформата, към услуги, ориентирани към приложенията.

“DNS се обхваща с това и почти всяка част от DNS се променя веднага щом DNS се всмука в пространството за приложения”, каза той.

“Единично кохерентно пространство от имена? Не, исторически боклуци. Тъй като цялото пространство на имената след това става ориентирано към приложенията, а различните приложения ще имат различно пространство от имена, което да отговаря на техните нужди.”

Публикациите се превеждат автоматично с google translate

Източник: www.zdnet.com


Сподели
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •