Mozilla Foundation тестирует новый механизм защиты трафика DNS — передачу по зашифрованному каналу HTTPS. Если испытания пройдут успешно, компания надеется ускорить открытие сайтов, сократить угрозу атак посредника (MitM) и дать пользователям Интернета защиту от слежки.

В следующие несколько недель Mozilla планирует провести ряд тестов, используя браузер Firefox в новой версии для разработчиков. Для этой цели компания Cloudflare предоставила специалистам свою сеть контроля и доставки контента.

Испытаниям подвергнут предложенный на суд экспертов стандарт DNS over HTTPS, сокращенно DoH, с использованием доверенного рекурсивного преобразователя доменных имен (Trusted Recursive Resolver). В настоящий момент новый стандарт находится на стадии проверки и утверждения технического проекта (т. н. «черновой» этап). В конце этого года Инженерный совет Интернета (Internet Engineering Task Force, IETF) вынесет его ратификацию на голосование.

Новый механизм потенциально может дать выигрыш в скорости, безопасности и конфиденциальности, однако некоторые эксперты относятся к нему с недоверием. По их мнению, централизация трафика DNS через компании, контролирующие интернет-шлюзы, решает одну проблему с конфиденциальностью, но немедленно создает другую.

Некоторые опасения озвучили сами разработчики Mozilla на прошлой неделе, во время подготовки к полноценному тестированию. Им не нравится, что службу начнут массово испытывать без явно выраженного согласия пользователей, а также что информацию передадут стороннему подрядчику — Cloudflare.

«Mozilla работает максимально открыто. Мы просим вас выразить свое мнение об испытаниях DNS over HTTPS, которые еще не начались. Сейчас мы ищем наилучший подход к тестированию с помощью пользователей, выбравших браузер Firefox Nightly и тем самым согласившихся принять участие в нашем эксперименте, — сообщила в интервью Threatpost Селена Декельман (Selena Deckelmann), старший директор по разработкам Firefox. — Мы считаем, что эта технология может защитить пользовательские веб-браузеры от кибершпионажа. В настоящее время трафик DNS, лежащий в самой основе Интернета, никак не шифруется и передается множеству сторон. Такие данные легко перехватить. Мы предлагаем исследование, которое позволит определить, существует ли альтернативный и более безопасный способ управлять DNS-трафиком».

Ликбез по безопасности, конфиденциальности и эффективности DNS

С DNS-запроса начинается практически любое действие в Интернете: он нужен, чтобы соотнести имя домена (например, example.com) с фактическим IP-адресом сервера, на котором размещена веб-страница. Сведения о DNS-запросах, отправляемых браузером пользователя, известны чаще всего только интернет-провайдеру — главным образом потому, что только он их обрабатывает.

Из DNS-запросов, которые передаются в незашифрованном виде по протоколам UDP или TCP, можно узнать, какие сайты и как часто посещает пользователь. В них содержатся метаданные об этих сайтах — например, их названия. А при наличии фильтров контента журналы DNS могут даже фиксировать идентификаторы или MAC-адреса посетителей.

Благодаря недавнему смягчению требований законодательства к конфиденциальности интернет-провайдерам теперь разрешается передавать сведения о сетевой активности своих пользователей третьим сторонам.

При этом сторонники приватности в Интернете отмечают, что для отслеживания DNS правительства прибегают к шпионским программам, таким как Morecowbell и QuantumDNS (PDF).

«Протоколу DNS уже 45 лет. Он не рассчитан на шифрование и разрабатывался без учета соблюдения конфиденциальности. И все же, несмотря на свою исключительную уязвимость перед атаками самого разного типа, DNS — жизненно важная составляющая Интернета», — пояснил в интервью с Threatpost Мэтью Принс (Matthew Prince), сооснователь и генеральный директор Cloudflare.

По его словам, злоумышленники часто эксплуатируют ненадежную природу DNS с помощью DNS-спуфинга (отравления кэша DNS) или перехвата DNS. Результатом становятся MitM-атаки, когда злоумышленник заставляет серверы DNS перенаправлять запросы на открытие веб-страниц таким образом, чтобы пользователь попадал на подложные сайты (или файлы).

Если DNS-трафик будет идти по зашифрованному каналу HTTPS, интернет-провайдер (например, точка доступа Wi-Fi в отеле или кафе) больше не сможет видеть DNS-запросы, а хакерам будет сложнее выполнять перехват или подмену DNS для проведения MitM-атак.

Скорость и надежность связи тоже должны вырасти. Cloudflare уверена, что использование DNS-резолверов через HTTPS повысит эффективность передачи данных и поможет сэкономить до 15 миллисекунд на каждый DNS-запрос об открытии страницы. Как считает Принс, сайты будут грузиться еще быстрее, если в роли поставщика авторитативных DNS-услуг выступит Cloudflare.

Разработка DoH под руководством Mozilla неофициально началась в конце 2016 г. В 2017 году IETF провел встречу в Праге и начал работать над стандартизацией нового протокола. Ожидается, что текущая версия DNS over HTTPS — draft-04 — покинет рабочую группу и будет направлена в группу директоров (Steering Group — руководящий комитет, который проверяет и утверждает все стандарты IETF) в апреле.

По словам специалистов, знакомых с процедурами IETF, группа директоров либо одобрит стандарт, либо попросит его изменить после 4–8 недель обсуждения.

Критика и призрак скандала с Facebook 

Преимущества зашифрованного канала HTTPS при передаче трафика DNS превозносят многие. Однако в сообществе экспертов звучат и предупреждения о том, что новый стандарт просто меняет одну проблему с конфиденциальностью на другую. Скептики считают, что перенаправление трафика через систему распространения контента (такую как сеть Cloudflare или аналоги) создаст новые централизованные хранилища для запросов DNS, которые хакеры могут взломать или использовать для поиска персональных данных.

Сторонники протокола DoH возражают, что стандарт все еще находится на стадии разработки и что Cloudflare используется только для тестирования. По их словам, со временем появится множество DNS-преобразователей, управляемых самыми разными компаниями — от коммерческих фирм до НКО.

Генеральный директор Cloudflare так прокомментировал ситуацию для Threatpost:

«Мы обязуемся не сохранять записи в журналах DNS для нашей службы дольше 24 часов. Мы не записываем на диск исходные IP-адреса — а это единственные данные, по которым можно определить клиента. Мы не намерены ни становиться централизованным репозиторием для хранения личной информации, ни зарабатывать на рекламе или сборе данных».

В прошлом ноябре компания Google запустила собственный вариант протокола DNS over HTTPS, соответствующий стандартам чернового проекта IETF. Так называемый публичный DNS Google можно включить в настройках своего браузера.

В описании тестирования DoH Google есть раздел о политике конфиденциальности, где говорится, что IP-адреса записываются в журнал лишь на короткий срок.

Обещания компаний не успокаивают скептиков. На форуме разработчиков Mozilla отдельные участники высказали опасения, что, получив доступ к данным, посредники могут нарушить собственную политику конфиденциальности, как это произошло в недавнем скандале с Facebook.

«Разумеется, необходимость в центральном резолвере — серьезный недостаток нового подхода. Однако мы остановились на этом варианте, поскольку считаем, что лучше надежный резолвер, чем нынешняя беда с ничем не защищенными локальными DNS», — считает Патрик Макманус (Patrick McManus) из компании Mozilla, один из соавторов чернового проекта DoH.

Сейчас некоторые пользователи для защиты своего права на конфиденциальность обращаются к VPN-службам. При этом не все решения VPN защищают DNS-запросы: некоторые отправляют их интернет-провайдеру все в том же незашифрованном виде.

Между тем, Cloudflare сообщила, что она ведет переговоры по поводу DNS over HTTPS или уже тестирует новый протокол совместно с большинством производителей браузеров и операционных систем, а также крупными разработчиками приложений и изготовителями маршрутизаторов. Это указывает на то, что, несмотря на всю критику, DoH может получить распространение.

«Думаю, на рынке будет представлен широкий выбор соответствующих решений. Потребители смогут самостоятельно выбирать поставщиков DNS-услуг. Я ожидаю появления множества других игроков в этом сегменте, и очень этим доволен. Интернет в результате только выиграет: связь станет более надежной, эффективной и конфиденциальной», — считает Принс.

Категории: Кибероборона