Новые протоколы DNS-over-HTTPS и DNS-over-TLS стали настоящим яблоком раздора в ИТ-сообществе. Шифрование DNS-запросов внедряет во все большее число браузеров, но среди экспертов есть и те, кто критикует этот подход. Они считают, что новые протоколы не оказывают положительного влияния на степень защищенности и в лучшем случае «бесполезны».
Разберем несколько наиболее популярных аргументов по этому вопросу.
Возможность мониторинга остается
Протоколы DoH и DoT шифруют запросы к DNS-серверу и ответы на них. В теории такой подход должен надежно скрывать имена хостов, к которым обращается пользователь, от интернет-провайдера и злоумышленников. Однако на практике с этим возникает ряд нюансов.
В этом году эксперты из аналитической компании SANS Institute опубликовали исследование, посвященное анализу DNS-трафика в корпоративных сетях. Они провели серию тестов и сделали вывод, что инструменты для логирования, проксирования и криптоанализа позволяют получить точное представление о содержимом зашифрованных DNS-запросов (стр. 21).
В то же время основатель PowerDNS Берт Хуберт (Bert Hubert) говорит, что DoH шифрует данные, которые можно без особого труда получить в открытом виде из других источников. Например, интернет-провайдеры могут определить сайты, которые посещает клиент через протокол OCSP (RFC 6960). Он служит для получения статуса отзыва цифрового сертификата X.509 (описывает процедуры распределения открытых ключей). Ответы OCSP содержат серийный номер TLS-сертификата на сайте, и по нему легко определить название ресурса.
Есть уязвимые места
Специалист по информационной безопасности и один из разработчиков открытого дистрибутива Whonix отмечает, что существуют и другие способы заполучить информацию о посещаемых сайтах. Один из вариантов — анализ Server Name Indication (SNI). Это — расширение протокола TLS, и через него клиенты сами сообщают имя хоста, к которому желают подключиться.
Информация транслируется в открытом виде, и при желании её можно перехватить. Справедливости ради стоит отметить, что уже есть инструменты, позволяющие шифровать SNI — например, проект Encrypted Client Hello (ECH). Он скрывает метаданные, передающиеся во время рукопожатия, однако инструмент и его аналоги пока не получили широкого распространения.
Даже если шифровать DNS-запросы и использовать другие предосторожности, остается пусть и очевидный, но весомый момент, связанный с IP-адресом ресурса, к которому подключается клиент. По оценке специалистов регионального интернет-регистратора APNIC, его достаточно для точной идентификации более 95% сайтов. В оставшиеся 5% входят IP-адреса, связанные с несколькими ресурсами. Но и эту проблему — при желании — можно обойти.
Новые кибератаки
Еще в 2019 году специалисты по информационной безопасности из Netlab обнаружили вредонос Godlua. Программа злоупотребляет особенностями DNS-over-HTTPS для проведения DDoS-атак. С помощью протокола зловред маскирует обмен данными с управляющими серверами.
В итоге антивирусное ПО не может его обнаружить.
Эксперты опасались, что за Godlua последуют другие вредоносы, невидимые для систем пассивного антивирусного мониторинга. Так и получилось — в конце 2020 года в Huntress Labs обнаружили новый вирус. С помощью DoH он получает IP-адреса хостов, входящих в состав вредоносной инфраструктуры. Остается надеяться, что в ближайшее время появятся инструменты, которые помогут выявлять вредоносную активность в зашифрованном трафике корпоративных сетей и предупреждать администраторов о потенциальных рисках.
Что дальше
Можно сделать вывод о том, что для повышения приватности необходимо использовать комплексный набор инструментов, в том числе и VPN. Одного лишь шифрования DNS недостаточно для полного сокрытия «истории браузинга». Однако технологии DNS-over-HTTPS и DNS-over-TLS можно рассматривать как еще один важный шаг к безопасному интернету.
Что еще почитать по теме: