Хабрахабр

Mozilla пообещала не включать шифрование DoH в Великобритании. Что это значит для России?

Разработанный Mozilla, Google и Cloudflare протокол DNS-шифрования сводит на нет попытки мониторинга трафика «человеком-в-середине». Две недели назад на Хабре рассказывали о протоколе DNS-over-HTTPS (DoH) , недавно принятом в качестве стандарта RFC 8484. Это позволяет блокировать доступ к ресурсу по IP-адресу или доменному имени. Он устраняет самое «слабое звено» в HTTPS — открытые DNS-запросы, по которым сейчас государство или злоумышленник на уровне провайдера может отслеживать содержимое DNS-пакетов и даже подменять их.

Пока что только для пользователей США. И самое главное — организация Mozilla приняла решение включить его по умолчанию в браузере Firefox. Но в свете того, что менее полутора месяцев осталось до вступления в силу закона об изоляции Рунета, а закон Яровой уже вступил в силу, методы шифрования трафика как никогда актуальны для защиты от слежки в российском интернете.

Оказывается, в некоторых странах, где уже действует цензура трафика на государственном уровне, Mozilla может изменить своё решение. Но сейчас пришла не очень приятная новость. Теоретически, такое может произойти и в России.
Решение Mozilla включить DoH вызвало обеспокоенность в Великобритании, поскольку технология нарушает многие из централизованных систем фильтрации и блокировки, которые «предотвращают лёгкий доступ к изображениям жестокого обращения с детьми, пиратским и террористическим материалам, а также воздействует на системы родительского контроля». Такое обсуждается в Великобритании.

В нём вице-президент Mozilla по глобальной политике, доверию и безопасности Алан Дэвидсон (Alan Davidson) пишет, что некоммерческая организация «не планирует включать нашу функцию DoH по умолчанию в Великобритании и не будет делать этого без дальнейшего взаимодействия с государственными и частными заинтересованными сторонами». Издание The Guardian получило доступ к письму, направленном Никки Морган (Nicky Morgan), секретарю по культуре Великобритании.

DNS является одной из старейших частей архитектуры интернета и остается в значительной степени нетронутой усилиями по повышению безопасности интернета. Дэвидсон объясняет преимущества шифрования трафика: «Мы твёрдо верим, что DoH предложит реальные преимущества в области безопасности для граждан Великобритании. Самую личную информацию людей, такую как их данные, связанные со здоровьем, можно отслеживать, собирать, передавать и использовать против интересов людей. Поскольку текущие запросы DNS не зашифрованы, то путь между гражданином и сайтом по-прежнему открыт и используется плохими участниками, которые хотят нарушить конфиденциальность пользователей, атаковать коммуникации и шпионить за деятельностью в интернете. Ваши граждане заслуживают защиты от этой угрозы».

Но все понимают, что одним из побочных эффектов шифрования трафика в Великобритании является то, что он также обходит веб-фильтры Великобритании, которые используют ту же технику перехвата DNS-запросов, чтобы предотвратить доступ к веб-сайтам, заблокированным интернет-провайдерами. Таким образом, Mozilla пытается убедить правительственные службы и объяснить им премущества DoH.

Фонд Internet Watch Foundation, который предоставляет интернет-провайдерам список заблокированных веб-сайтов для фильтрации, выразил свою озабоченность по поводу этой технологии: «Мы считаем, что способ, которым предлагается реализовать DNS-over-HTTPS, может подвергнуть миллионы людей по всему миру худшим образам детей, подвергающихся сексуальному насилию, и может означать, что жертвы такого насилия станут открыты для просмотра бесчисленному количеству зрителей», — сказал представитель технического сайта The Register.

Согласно формулировке ISPA-UK, звание «злодея интернета» Mozilla получила «за предложенный ими подход к внедрению DNS-over-HTTPS таким образом, чтобы обойти британские обязательства по фильтрации и родительскому контролю, подрывая стандарты безопасности интернета в Великобритании». Недавно по этом причине Ассоциация интернет-провайдеров Великобритании (ISPA-UK) назвала Mozilla «одним из главных злодеев интернета».

Поэтому мы добавили защиту от слежения, — писала Лин Кларк от имени Mozilla вскоре после принятия стандарта. «Нас беспокоят компании и организации, которые тайно собирают и продают пользовательские данные. — Благодаря двум этим инициативам (+ Trusted Recursive Resolver) устраняются утечки данных, которые являлись частью системы доменных имен с момента её создания 35 лет назад».

Этот запрос иногда включает ваш полный IP-адрес. «Обычно резолвер сообщает каждому DNS-серверу, какой домен вы ищете. А если не полный адрес, то всё чаще запрос включает в себя большую часть вашего IP-адреса, что можно легко объединить с другой информацией, чтобы установить вашу личность.

Более того, любой по пути к этим серверам тоже видит ваши запросы. Значит, каждый сервер, который вы попросите помочь с разрешением доменных имен, видит, какой сайт вы ищете. Два основных — трекинг (отслеживание) и спуфинг (подмена). Существует несколько способов, как подобная система подвергает риску данные пользователей.

Это означает, что DNS-сервер и любой пользователь на пути к этому DNS-серверу (маршрутизатор по пути) может создать профиль пользователя. По полной или частичной информации об IP-адресе несложно определить личность того, кто просит доступ к конкретному сайту. Они могут составить список всех сайтов, которые вы просмотрели.

Многие люди и компании готовы немало заплатить, чтобы увидеть вашу историю посещённых страниц». И это ценные данные.

Из статьи Лин Кларк

Впрочем, после широкого общественного резонанса через месяц ISPA-UK отозвала эту «награду» и полностью отменила номинацию с комментарием, что она «явно посылает неверное сообщение».

Компания не будет включать DoH для каждого пользователя, но говорит, что по умолчанию DoH будет работать для тех технически продвинутых пользователей, которые решили переключить своего поставщика DNS на такие компании, как Google, Cloudflare и OpenDNS. Google также объявила о планах тестировать DoH в своем браузере Chrome, начиная с октября.

Хотя мы стремимся поддерживать безопасность и конфиденциальность в интернете, крайне важно, чтобы все сектора цифровой индустрии учитывали безопасность детей при разработке своих систем и услуг. Для сохранения цензуры представитель правительства Великобритании ссылается на необходимость защиты детей: «Сексуальная эксплуатация детей является отвратительным преступлением, с которым правительство стремится бороться, — сказал он. Мы работаем с индустрией над решениями любых потенциальных проблем в рамках нашей текущей работы, чтобы сделать Великобританию самым безопасным местом в мире, чтобы выходить в интернет».

Отраслевые эксперты считают, что проблема может быть в корпоративных договорённостях. Почему возникли такие разногласия именно вокруг блокировки по DNS? Именно из-за них все так восстали против Mozilla:

— Ассоциация провайдеров Великобритании давно воюет против блокировок. «На самом деле, всё просто, — писал российский эксперт Михаил Климарёв, исполнительный директор Общества защиты интернета. То есть, без всяких DPI и „по айпишнику”. В итоге, они с правительством договорились на то, что блокировки будут делать „по DNS”. Ибо блокировать по DNS будет бесполезно. Именно потому Mozilla — злодей. И теперь членам Ассоциации придется передоговариваться как-то. Точнее — об этом все и раньше знали, а Mozilla публично заявила, что теперь все это бесполезно. Или брать уроки у РКН».

Если смотреть на проблему блокировок более глобально, то в такой ситуации снова и снова возникает вопрос. Протокол DoH значительно усложняет властям возможности блокировки, но теоретически власти всё равно могут отслеживать трафик. В данном случае DNS-over-HTTPS мешает провайдерам фильтровать вредный контент. Формулировка сторонников государственной фильтрации предполагает, что внедрение шифрования и надёжной приватности угрожает безопасности пользователя, потому что государственный «защитник» не сможет его защищать. Такая логика противопоставляет приватность и безопасность.

Сейчас идут дискуссии, что важнее и в какую сторону сместить акценты. Личную приватность действительно можно противопоставить общественной безопасности. Некоторые правительства вводят принудительную фильтрацию трафика, ограничивая доступ населения к определённому списку сайтов, как в Великобритании и России. Например, власти некоторых стран склоняются к тому, чтобы вообще запретить end-to-end шифрование в любых мессенджерах.

Об этом же сказано в Манифесте Mozilla, где принцип № 4 гласит: «Безопасность и приватность пользователей Интернета имеют основополагающее значение и не могут рассматриваться как второстепенные моменты». Сторонники противоположной концепции личной приватности указывают на распространение слежки, что в перспективе угрожает нормальной жизни человека.

Это хорошо видно на примере DNS-over-HTTPS, которая защищает от MiTM-атак, в том числе со спуфингом страниц. Отказываясь от шифрования, человек фактически отказывается от собственной защиты. Так что шифрование трафика и защита от слежки в интернете — это не вопрос выбора, а вопрос выживания в технологическом обществе будущего, говорят сторонники личной приватности.


СПЕЦИАЛЬНЫЕ УСЛОВИЯ на PKI-решения для предприятий действуют до 30.11.2019 г. по промо-коду AL002HRFR для новых клиентов. Подробности уточняйте у менеджеров +7 (499) 678 2210, sales-ru@globalsign.com.

Показать больше

Похожие публикации

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Кнопка «Наверх»