Несколько лет назад мы уже обсуждали мнения и риски для персональных данных, связанные с повсеместным внедрением этого протокола. Сегодня посмотрим, как изменилась ситуация за прошедшее время.
Шифрование — обоюдоострый клинок
Протокол DNS-over-HTTPS инкапсулирует запросы IP-адресов в трафик HTTPS. Таким образом, они скрыты от интернет-провайдеров и прослушивающих сеть злоумышленников. Специалисты IEEE пишут, что протокол успешно закрывает несколько уязвимостей, которыми пользуются хакеры — в частности, противостоит атакам DNS Amplification. Злоумышленник подменяет свой IP-адрес адресом жертвы и посылает DNS-серверу короткие запросы. Тот засыпает целевой компьютер большим количеством ненужных пакетов, пока не парализует его работу. Провести такую атаку в контексте DoH проблематично, так как протокол требует TCP-соединение.
Но когда закрывается одна дверь, открывается другая. Еще несколько лет назад эксперты предупреждали — злоумышленники начнут использовать DNS-over-HTTPS для сокрытия вредоносного трафика от средств мониторинга. И они действительно стали чаще это делать. В октябре 2022 года группа ИБ-специалистов опубликовала отчет о работе хакерской группировки Black Basta Ransomware Gang. Она управляет ботнетом QUAKBOT и применяет DoH в своих операциях — команды вредоносного ПО маскируют в зашифрованном трафике.
Для борьбы с подобными кибератаками разрабатывают новые методы. Группа исследователей из Чешского технического университета в Праге представила систему на основе деревьев принятия решений, усиленных алгоритмом AdaBoost. Система ИИ анализирует продолжительность подключения, число отправленных пакетов и их размер. На основе этих данных она успешно идентифицирует 99% трафика, пересылаемого по протоколу DNS-over-HTTPS. Специалистам даже удалось определить различия между данными браузеров. Аналогичную систему разработали инженеры из Бахрейна. Они выбрали алгоритмы случайного леса и градиентного бустинга, k-ближайших соседей и логистической регрессии.
Также в феврале прошлого года инженеры из Китая разработали схему, которая позволяет определить случаи туннелирования через DNS-over-HTTPS и находить потенциально вредоносные подключения. Они использовали технологию TLS fingerprinting и алгоритм машинного обучения для поиска инициализирующих пакетов при установке соединения с DoH-сервером.
«География» протокола расширяется
DNS-over-HTTPS становится все более распространен. В 2021 году аналитики APNIC идентифицировали почти тысячу DoH-резолверов. И это только серверы, не требующие SNI или HTTP Host Header для обработки запроса.
При этом протокол встречает поддержку со стороны разработчиков операционных систем и браузеров. Возможность работать с DNS-over-HTTPS появилась в первых инсайдерских версиях Windows 10 ещё в мае 2020 года. В июле 2022 года поддержку протокола добавили в Android.
Также его активировали разработчики Chrome и Firefox. Но к этому решению с осторожностью отнеслись некоторые специалисты по информационной безопасности. Их беспокоит тот факт, что пользователям предлагают доверить зашифрованные DNS-запросы третьей стороне, которую выбирают разработчики браузеров. Сегодня обработкой 93% всех DoH-запросов занимаются пять крупнейших резолверов. Небольшое количество поставщиков способствует централизации и может ставить под угрозу конфиденциальность передаваемых данных (если резолвер будет скомпрометирован).
Блокировать или не блокировать
Протокол DoH не позволяет интернет-провайдеру, проследить, какие ресурсы посещает пользователь. Эта особенность беспокоит некоторых регуляторов, так как в перспективе может мешать работе правоохранительных органов.
По этой причине доступ к DoH-резолверам и сам протокол блокируют в Иране. При этом в Европе проектируют собственный DNS-резолвер с государственным участием — он будет обладать встроенными контентными фильтрами и анализировать запросы пользователей.
С другой стороны, телекомы, интернет-провайдеры призывают, наоборот, способствовать внедрению DNS-over-HTTPS. Например, такой подход повысит безопасность в публичных сетях аэропортов, вокзалов, ресторанах и кафе. Кроме того, он способен оптимизировать скорость передачи данных в странах с развитой сетевой инфраструктурой.
Свежие материалы из нашего блога:
