» »

Apple in Cloudflare predlagata Oblivious DNS

Apple in Cloudflare predlagata Oblivious DNS

Slo-Tech - Četudi dandanes deskamo po spletnih straneh, do katerih so povezane šifrirane (HTTPS), prometni podatki še vedno curljajo v internet. Ob obisku posamezne spletne strani namreč brskalnik zahteva naslov IP, ki pripada iskani domeni. Ta podatek strežniki DNS vrnejo v nešifrirani obliki, zato ga lahko prestreže kdorkoli. Problem pa ni le prisluškovanje, temveč tudi možnost vrivanja lažnih informacij z namenom zlonamerne preusmeritve. Apple in Cloudflare sta predlagala tehniko, ki to težavo odpravi.

Da so poizvedbe odprte in vidne vsem, je že dlje časa prepoznano kot zasebnostni problem. Razvile so se že alternative, denimo DNS over HTTPS (DoH) in DNS over TLS (DoT), ki zagotavljata zasebnost s šifriranjem poizvedb. A to ne odpravlja problema, da ponudnik strežnika DNS še vedno vidi, kdo išče kaj. To je po navadi ponudnik dostopa do interneta, lahko pa tudi namenski ponudnik storitve, denimo Google (8.8.8.8) ali Cloudflare (1.1.1.1). Nova tehnologija, ki sta jo Apple in Cloudflare poimenovala Oblivious DNS, odpravlja tudi to drugo težavo.

Ključ je, da poleg šifriranja, s čimer se prepreči prisluškovanje, uporabljamo tudi posredniški strežnik (proxy). Ta poskrbi, da strežnik DNS ne vidi, kdo ga sprašuje, posredniški strežnik pa ne ve, kaj ga sprašuje. Le končni uporabnik ve torej oboje. Odjemalec zašifrira svojo poizvedbo s HPKE, pri čemer javni ključ dobi prek DNS (avtentičnost se zagotavlja z DNSSEC). Odjemalec potem poizvedbe posreduje prek HTTPS do posredniškega strežnika, ki jih posreduje do cilja, ki vpraša strežnik DNS. Ta jih dešifrira, reši in odgovor zašifrira, nato pa potuje do posredniškega strežnika in na koncu odjemalca.

Čeprav sta Apple in Cloudflare podprla novo tehnologijo, manjkajo še druga velika imena, denimo Microsoft in Google. Šele potem bo realistično možno pričakovati, da bi Oblivious DNS imel možnost, da se uveljavi.

27 komentarjev

starfotr ::

Ja, fajn. Naj še malo začnejo drezat po IPv6, da bo čim prej uveden in BGP naj malo zasčitijo.

https://isbgpsafeyet.com/

LightBit ::

Ampak to ne pomaga, če ima nekdo nadzor nad obema. Ali ni tako?

Zimonem ::

Kdo pa upravlja proxy?

tiborrr ::

Jaz že nekaj časa laufam Unbound DNS, a to (popolnoma) ne rešuje zasebnosti.
Ta zadeva bi bila napredek.
Don't test the captain's validity or his vulnerability!

Maximus ::

tiborrr je izjavil:

Jaz že nekaj časa laufam Unbound DNS, a to (popolnoma) ne rešuje zasebnosti.
Ta zadeva bi bila napredek.


In kako je nastavljen? Si nastavil forwarderje na kake znane DNS strežnike, ali si ga nastavil da gre spraševat root hinte?

HotBurek ::

Čezdalje bolj imam občutek, da svijaktm firme režejo državne nadzorne inštitucije ven. Pod pretvezo, da nam čisto vsaka vlada v čisto vsaki državi hoče uvest zgolj totalno diktaturo in nek absolutni digitalni nadzor.

Potem se država težje loti raznih kriminalnih združb, mafije, terorja itn... In kot posledica zahteva privat ključe za dešifriranje vsega prometa od ta velkih.

Ali so kje kakšni podatki, kje, kako in kdaj so naši SPI-ji zlorabljali podatke, ki se jim nalagajo v DNS log fajlih?


Pa da še dodam. Prenehanje uporabe gmail.com, facebook.com, whatsapp in še kakšne svijarije je pot za izhod iz tega svijaka.
root@debian:/# iptraf-ng
fatal: This program requires a screen size of at least 80 columns by 24 lines
Please resize your window

Zgodovina sprememb…

  • spremenilo: HotBurek ()

tiborrr ::

Maximus je izjavil:

tiborrr je izjavil:

Jaz že nekaj časa laufam Unbound DNS, a to (popolnoma) ne rešuje zasebnosti.
Ta zadeva bi bila napredek.


In kako je nastavljen? Si nastavil forwarderje na kake znane DNS strežnike, ali si ga nastavil da gre spraševat root hinte?

Nastavljen, da sprašuje root hint.
Don't test the captain's validity or his vulnerability!

Zgodovina sprememb…

  • spremenil: tiborrr ()

poweroff ::

No ja, problema to ne rešuje čisto. Je pa bolje kot nič.

Veliki tier providerji še vedno lahko vidijo kaj se dogaja - celo Tor lahko deanonimizirajo: https://www.hackerfactor.com/blog/index...

Tako da... za male slovenske ISPje je tole dovolj. Za BIG brother ISP-ja pač ne. 8-)
sudo poweroff

Zimonem ::

Dokler ni garancije na posredovanje jemenski kot nič. Ko začnejo delati kot Ca. Potem je pa mogoče kaj na tem.

Maximus ::

poweroff je izjavil:

No ja, problema to ne rešuje čisto. Je pa bolje kot nič.



Zakaj je to bolje kot nič? Vse take zadeve še bolj vodijo k centralizaciji storitev in počasnemu uvajanju "monopola" ter lažjega "nadzora".
Ali ne bi bilo potem smiselno zadevo nekoliko drugače zastaviti?

P.S. Zakaj naj bi bila korporacija boljša od države oz. zakaj naj bi korporaciji bolj zaupali? Do sedaj se še nobena ni ravno izkazala...

Zgodovina sprememb…

  • spremenil: Maximus ()

veteran ::

Uff... Zloglasni karteli, ki nam že zdaj sledijo in prodajajo podatke o nas... bodo poskrbeli še za našo zasebnost na internetu?!

Ja super. :-/

filip007 ::

Ja saj ta mafijski sistem je povsod.
Palačinka z Ajvarjem in stopljenim sirom v mikrovalovki.

_ssd_sata ::

poweroff je izjavil:

No ja, problema to ne rešuje čisto. Je pa bolje kot nič.

Veliki tier providerji še vedno lahko vidijo kaj se dogaja - celo Tor lahko deanonimizirajo: https://www.hackerfactor.com/blog/index...

Tako da... za male slovenske ISPje je tole dovolj. Za BIG brother ISP-ja pač ne. 8-)



dnscrypt.
anyone ... novo, ja zelo!

poweroff ::

Maximus je izjavil:

Zakaj je to bolje kot nič? Vse take zadeve še bolj vodijo k centralizaciji storitev in počasnemu uvajanju "monopola" ter lažjega "nadzora".

Sama ideja se mi v osnovi ne zdi slaba.

Je pa res, da če sta zraven Apple in "mafijski" Cloudflare, je treba biti previden. ;)
sudo poweroff

c3p0 ::

Zimonem je izjavil:

Kdo pa upravlja proxy?


Rešitev je lahko le s sistemom podobnim TOR. Ampak potem pridemo do počasnega DNS.

PrimoZ_ ::

Anonymized DNSCrypt

Tole zgleda obetavno. Če imaš lokalni DNS, da ne rabiš čisto vsega spraševati na ven, vsaj ne prepogosto, potem tudi nekaj počasnejši DNS ni problem.

Hiter DNS je ponavadi potreben za resolvanje žnj domen, ki servirajo razne oglase in kopico JS nesnage.

spegli ::

1.1.1.1 so potem predali nazaj, al je članek kr neki

spegli ::

spegli je izjavil:

1.1.1.1 so potem predali nazaj, al je članek kr neki


Je na posodo v dobro plebsa...

galu ::

Na hitro preletel...

- DNSSEC je v teoriji fajn, v praksi malo manj: https://ianix.com/pub/dnssec-outages.ht...
- Proxy je dodaten availability risk (fail open iz stališča varnosti ni sprejemljiv; hopefully bo mel folk nastavljen backup proxy za fail-over)
- Proxyji kvarijo "GeoDNS" in dodajo latency

V bistvu čisto kul stvar za navadne uporabnike v browserju.

Enterprise pa bo vsaj za en čas verjetno ostal pri plain DNS, zaradi DoH in/ali DNSSEC.
Tako to gre.

Zgodovina sprememb…

  • spremenil: galu ()

SeMiNeSanja ::

Nekako me zabava, da volka skrbi, ali so ovce dobrega zdravja in site - ovce pa mu verjamejo in ploskajo.

No, ko so nekatere ovce vendarle pričele sumničiti, da morda volk pa kljub temu v rokah drži vilice in nož, ti ta pride pa na dan z nekim kojotom, ki naj bi s slinčkom prikrival, kako se volku cedijo sline....

Mislim... kdo koga nateguje, da tisti proxy ne bo vedel, kdo pošilja query in po čem se povprašuje v query-ju? Če se gre za invazijo v zasebnost, je to vse kar 'volka' zanima.

A to ti zapakirajo in prodajajo pod pretvezo, da boš bolj 'varen', ker bo odgovor kriptiran in požigosan z certifikatom, da je res resničen in nepotvorjen. Na zasebnost pa hitro pozabi in ne teži! Proxiju namreč lahko 100% zaupaš...mar ne?

Kaj res ne deluje logika, da več ko je nekih 'posrednikov' v verigi, večja je verjetnost, da eden od njih ne bo 'priden'?

Sploh pa je zanimivo, če se naš uporabnik Janez zagreva za DoH, DoT in podobne 'rešitve'. Kot da bi naši ISP-ji trgovali z DNS podatki. Če pa že - potem ne potrebujejo DNS-a, da bi vohunili za tabo. Jim že tisti router/modem/switch, ki so ti ga doma postavili lahko priskrbi kompletni packet capture tvojega prometa - z vsemi IP naslovi, ki si jih kakorkoli 'pipal'.
Tudi če zamenjaš njihov router z nečem svojim, lahko 'berejo' tvoj promet na prvem vozlišču...

Torej kaj vraga se gremo s takim navduševanjem nad 'rešitvami', ki kvazi 'nekaj skrivajo' - pred našim ISP ?!?

Aja... ni mišljen naš ISP? Nas varujejo pred hudobnim gostilničarjem, ki prestreza naš promet medtem ko pri njemu pijemo kavo?
No, tu bi se jaz bolj bal kakšnega pravega hudobca, ki je nastavil lažni accesspoint. A hudimana, če nismo to problematiko že zdavnaj reševali z uporabo VPN povezav na javnih dostopnih točkah....?
Tisti, ki pa niso uporabljali VPN, jih pa tudi DoH in DoT kaj dosti ne žulita.

Poleg tega.... če si brez DNS pristal na nekem zlonamernem omrežju, ti bo to omrežje enostavno blokiralo DoH in DoT in vse zunanje DNS strežnike. In kaj se potem zgodi? Ja, ljudje pridno preklopijo na DNS, ki jim je bil dodeljen preko DHCP..... - ja, točno na tistega, pred katerim te kvazi hočejo varovati.

No, pa se je krog zavrtel in smo spet na začetku......
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

Poldi112 ::

SeMiNeSanja je izjavil:


Mislim... kdo koga nateguje, da tisti proxy ne bo vedel, kdo pošilja query in po čem se povprašuje v query-ju?


A nisi bral novice? Proxy seveda ve, kdo koga sprašuje, a mu enkripcija preprečuje, da bi videl, kaj se sprašuje.
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.

SeMiNeSanja ::

Poldi112 je izjavil:

SeMiNeSanja je izjavil:


Mislim... kdo koga nateguje, da tisti proxy ne bo vedel, kdo pošilja query in po čem se povprašuje v query-ju?


A nisi bral novice? Proxy seveda ve, kdo koga sprašuje, a mu enkripcija preprečuje, da bi videl, kaj se sprašuje.

Nekdo pač MORA razpakirati kriptirani paket.
Ta nekdo pa ne bo avtoritativni DNS server.

Posledično je vse ostalo pesek v oči, pač naveza podatkov lačnega volka in pomagača kojota, ki mu bo brisal sline, da volk ne bo izgledal tako požrešen.
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

poweroff ::

Katera bi bila pa druga rešitev? Tor-like layering je pač najbolj očitna rešitev.
sudo poweroff

PrimoZ_ ::

Anonymized DNSCrypt

SeMiNeSanja ::

poweroff je izjavil:

Katera bi bila pa druga rešitev? Tor-like layering je pač najbolj očitna rešitev.

Najprej si moraš pri sebi razčistiti, ali 'drugo rešitev' sploh potrebuješ.
Nato moraš razčistiti, ali jo tudi želiš (oz. če želiš, da jo tvoji uporabniki uporabljajo).

Potem se moraš vprašati, kdo je tisti, pred kom hočeš skriti svoje DNS query-je.

Na koncu pa se moraš še vprašati, komu pa v tem oziru sploh toliko zaupaš, da mu boš 'podaril' informacije o svojih DNS query-jih.

Po čisto kmečki logiki jaz najbolj 'zaupam' lokalnemu domačemu ISP. Kot prvo ima zakonsko omejitev barantanja z podatki, kot drugo pa - ČE bi bil lokalni ISP pokvarjen, bi tako ali drugače videl, kam sem se povezoval, ne glede na to, ali mi je razreševal še DNS query ali ne.

Z vidika prebivalca LR Kitajske je cela zgodba seveda popolnoma drugačna.
Toda tudi tam je sam DNS še najmanjši problem - bistveno večji problem so dejanske povezave do storitev, ki jih ne moreš prikriti pred ISP - razen če ceveda uporabljaš neko od tunneling tehnologij. V tem primeru pa seveda tudi DNS postane pomemben, saj se mora tudi ta obvezno resolvati preko tunela.

Spet druga zgodba je, ali se zgolj 'skrivam' pred morebitnimi firbci v sosedovem kafiču, ki ob kavi ponuja tudi WiFi, ali pa se skrivam prek policijo, NPU, Sovo &Co.

Stvar zasebnosti in varnosti komunikacije je treba gledati v precej širšem kontekstu. Če se fokusiraš samo na DNS, se ti hitro zgodi, da zaradi dreves gozda ne vidiš in se predajaš lažnemu občutku 'zasebnosti'.

Istočasno pa vse to hvaljenje teh 'super varnih' DNS poizvedb precej hodi v navskrižje z razmišljanjem, ki bi ga morali imeti o DNS v poslovnih omrežjih.
Ali si v poslovnem omrežju sploh lahko privoščiš, da ti uporabniki razrešujejo DNS kjerkoli drugje, kakor na internih strežnikih podjetja?
Ali drugače povedano - kaj vse si v poslovnem omrežju lahko privoščiš transportirati preko https? Danes spletne vsebine, jutri DNS poizvedbe, pojutrišnjem pa malware?

Zgodba ni nikoli tako preprosta, kot na prvi pogled izgleda. Ne vidim pa prav nobenega posebnega razloga za pretirano evforijo nad DoH, DoT in podobnimi tehnikami, ki v skrajnem primeru lahko še celo samemu uporabniku prikrivajo, kaj se v resnici dogaja v čipovju njegovega računalnika. Ko stvar enkrat pride do te stopnje, da niti uporabnik nima več vpogleda v dogajanje, se znajdemo na točki, ko imamo idealno platformo, da se nas zlorabi do konca. Znanstvena fantastika? Morda... Morda pa tudi ne!
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

c3p0 ::

SeMiNeSanja je izjavil:


Nekdo pač MORA razpakirati kriptirani paket.
Ta nekdo pa ne bo avtoritativni DNS server.

Posledično je vse ostalo pesek v oči, pač naveza podatkov lačnega volka in pomagača kojota, ki mu bo brisal sline, da volk ne bo izgledal tako požrešen.


Morda si oglej kako deluje TOR in podobno znanje nato apliciraj na DNS, nato spisi. Izstopni node (proxy if you will) ve kam se konekta, ne ve pa kdo želi vsebino. Vstopni pa ve kdo se je konektal, ne ve pa kaj želi. Vmes pa je še enih par. Ja, če imaš kontrolo nad vsemi node-i, veš kdo želi in kaj želi.

PrimoZ_ je izjavil:


Hiter DNS je ponavadi potreben za resolvanje žnj domen, ki servirajo razne oglase in kopico JS nesnage.


Obstajajo čisto vsakdanji primeri, ko želiš tudi nizek TTL.

Zgodovina sprememb…

  • spremenil: c3p0 ()

SeMiNeSanja ::

c3p0 je izjavil:

SeMiNeSanja je izjavil:


Nekdo pač MORA razpakirati kriptirani paket.
Ta nekdo pa ne bo avtoritativni DNS server.

Posledično je vse ostalo pesek v oči, pač naveza podatkov lačnega volka in pomagača kojota, ki mu bo brisal sline, da volk ne bo izgledal tako požrešen.


Morda si oglej kako deluje TOR in podobno znanje nato apliciraj na DNS, nato spisi. Izstopni node (proxy if you will) ve kam se konekta, ne ve pa kdo želi vsebino. Vstopni pa ve kdo se je konektal, ne ve pa kaj želi. Vmes pa je še enih par. Ja, če imaš kontrolo nad vsemi node-i, veš kdo želi in kaj želi.


Vidim, da nisi prebral vsega kar sem napisal. Posledično si falil bistvo.

Ravno tako je primerjava z Torom na nivoju "I wish".
Pa še za Tor se že dolgo ve, da ni ravno 'vodotesen'.

Na koncu še vedno ostajajo bistvena vprašanja: ZAKAJ bi JAZ to rabil? Kaj JAZ s tem PRIDOBIM? Kaj JAZ s tem potencialno IZGUBIM?

Zgolj zato, ker si je to nekdo izmislil, še zdaleč ni rečeno, da to MENI kakorkoli koristi. Morda pa mi celo škoduje?

Paranoiki povsod vidijo zasledovanje in vdore v zasebnost, še tam, kjer jih ni.
Potem pa pride Cloudflare okoli vogala in trdi, da ima ultimativno rešitev.... pa se vsi paranoiki obnašajo, kot da so doživeli mokre sanje. Zanimivo....
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Apple in Cloudflare predlagata Oblivious DNS

Oddelek: Novice / Omrežja / internet
276772 (4688) SeMiNeSanja
»

Firefox dobiva privzeto vključen "DNS over HTTPS" (strani: 1 2 )

Oddelek: Novice / Brskalniki
6916932 (14125) c3p0
»

Nemčija: najvarnejši brskalnik je Firefox (strani: 1 2 )

Oddelek: Novice / Brskalniki
6016667 (12173) Meizu
»

Uporablja kdo https://1.1.1.1/?

Oddelek: Omrežja in internet
192922 (1967) alexz

Več podobnih tem