«Обычно резолвер сообщает каждому DNS-серверу, какой домен вы ищете. Этот запрос иногда включает ваш полный IP-адрес. А если не полный адрес, то всё чаще запрос включает в себя большую часть вашего IP-адреса, что можно легко объединить с другой информацией, чтобы установить вашу личность.



Значит, каждый сервер, который вы попросите помочь с разрешением доменных имен, видит, какой сайт вы ищете. Более того, любой по пути к этим серверам тоже видит ваши запросы. Существует несколько способов, как подобная система подвергает риску данные пользователей. Два основных — трекинг (отслеживание) и спуфинг (подмена).



По полной или частичной информации об IP-адресе несложно определить личность того, кто просит доступ к конкретному сайту. Это означает, что DNS-сервер и любой пользователь на пути к этому DNS-серверу (маршрутизатор по пути) может создать профиль пользователя. Они могут составить список всех сайтов, которые вы просмотрели.



И это ценные данные. Многие люди и компании готовы немало заплатить, чтобы увидеть вашу историю посещённых страниц».



Из статьи Лин Кларк

Две недели назад на Хабре рассказывали о протоколе DNS-over-HTTPS (DoH) , недавно принятом в качестве стандарта RFC 8484. Разработанный Mozilla, Google и Cloudflare протокол DNS-шифрования сводит на нет попытки мониторинга трафика «человеком-в-середине». Он устраняет самое «слабое звено» в HTTPS — открытые DNS-запросы, по которым сейчас государство или злоумышленник на уровне провайдера может отслеживать содержимое DNS-пакетов и даже подменять их. Это позволяет блокировать доступ к ресурсу по IP-адресу или доменному имени.И самое главное — организация Mozilla приняла решение включить его по умолчанию в браузере Firefox. Пока что только для пользователей США. Но в свете того, что менее полутора месяцев осталось до вступления в силу закона об изоляции Рунета, а закон Яровой уже вступил в силу, методы шифрования трафика как никогда актуальны для защиты от слежки в российском интернете.Но сейчас пришла не очень приятная новость. Оказывается, в некоторых странах, где уже действует цензура трафика на государственном уровне, Mozilla может изменить своё решение. Такое обсуждается в Великобритании . Теоретически, такое может произойти и в России.Решение Mozilla включить DoH вызвало обеспокоенность в Великобритании, поскольку технология нарушает многие из централизованных систем фильтрации и блокировки, которые «предотвращают лёгкий доступ к изображениям жестокого обращения с детьми, пиратским и террористическим материалам, а также воздействует на системы родительского контроля».Издание The Guardian получило доступ к письму, направленному Никки Морган (Nicky Morgan) секретарю по культуре Великобритании. В нём вице-президент Mozilla по глобальной политике, доверию и безопасности Алан Дэвидсон (Alan Davidson) пишет, что некоммерческая организация «не планирует включать нашу функцию DoH по умолчанию в Великобритании и не будет делать этого без дальнейшего взаимодействия с государственными и частными заинтересованными сторонами».Дэвидсон объясняет преимущества шифрования трафика: «Мы твёрдо верим, что DoH предложит реальные преимущества в области безопасности для граждан Великобритании. DNS является одной из старейших частей архитектуры интернета и остается в значительной степени нетронутой усилиями по повышению безопасности интернета. Поскольку текущие запросы DNS не зашифрованы, то путь между гражданином и сайтом по-прежнему открыт и используется плохими участниками, которые хотят нарушить конфиденциальность пользователей, атаковать коммуникации и шпионить за деятельностью в интернете. Самую личную информацию людей, такую как их данные, связанные со здоровьем, можно отслеживать, собирать, передавать и использовать против интересов людей. Ваши граждане заслуживают защиты от этой угрозы».Таким образом, Mozilla пытается убедить правительственные службы и объяснить им премущества DoH. Но все понимают, что одним из побочных эффектов шифрования трафика в Великобритании является то, что он также обходит веб-фильтры Великобритании, которые используют ту же технику перехвата DNS-запросов, чтобы предотвратить доступ к веб-сайтам, заблокированным интернет-провайдерами.Фонд Internet Watch Foundation, который предоставляет интернет-провайдерам список заблокированных веб-сайтов для фильтрации, выразил свою озабоченность по поводу этой технологии: «Мы считаем, что способ, которым предлагается реализовать DNS-over-HTTPS, может показать миллионам людей по всему миру самые ужасные изображения детей, подвергающихся сексуальному насилию, и может означать, что жертвы такого насилия станут открыты для просмотра бесчисленному количеству зрителей», — сказал представитель технического сайта The Register.Недавно по этой причине Ассоциация интернет-провайдеров Великобритании (ISPA-UK) назвала Mozilla «одним из главных злодеев интернета» . Согласно формулировке ISPA-UK, звание «злодея интернета» Mozilla получила «за предложенный ими подход к внедрению DNS-over-HTTPS таким образом, чтобы обойти британские обязательства по фильтрации и родительскому контролю, подрывая стандарты безопасности интернета в Великобритании».«Нас беспокоят компании и организации, которые тайно собирают и продают пользовательские данные. Поэтому мы добавили защиту от слежения, — писала Лин Кларк от имени Mozilla вскоре после принятия стандарта. — Благодаря двум этим инициативам (+ Trusted Recursive Resolver) устраняются утечки данных, которые являлись частью системы доменных имен с момента её создания 35 лет назад».Впрочем, после широкого общественного резонанса через месяц ISPA-UK отозвала эту «награду» и полностью отменила номинацию с комментарием, что она «явно посылает неверное сообщение».Google также объявила о планах тестировать DoH в своем браузере Chrome, начиная с октября. Компания не будет включать DoH для каждого пользователя, но говорит, что по умолчанию DoH будет работать для тех технически продвинутых пользователей, которые решили переключить своего поставщика DNS на такие компании, как Google, Cloudflare и OpenDNS.Для сохранения цензуры представитель правительства Великобритании ссылается на необходимость защиты детей: «Сексуальная эксплуатация детей является отвратительным преступлением, с которым правительство стремится бороться, — сказал он. Хотя мы стремимся поддерживать безопасность и конфиденциальность в интернете, крайне важно, чтобы все сектора цифровой индустрии учитывали безопасность детей при разработке своих систем и услуг. Мы работаем с индустрией над решениями любых потенциальных проблем в рамках нашей текущей работы, чтобы сделать Великобританию самым безопасным местом в мире, чтобы выходить в интернет».Почему возникли такие разногласия именно вокруг блокировки по DNS? Отраслевые эксперты считают, что проблема может быть в корпоративных договорённостях. Именно из-за них все так восстали против Mozilla:«На самом деле, всё просто, — писал российский эксперт Михаил Климарёв, исполнительный директор Общества защиты интернета. — Ассоциация провайдеров Великобритании давно воюет против блокировок. В итоге, они с правительством договорились на то, что блокировки будут делать „по DNS”. То есть, без всяких DPI и „по айпишнику”. Именно потому Mozilla — злодей. Ибо блокировать по DNS будет бесполезно. Точнее — об этом все и раньше знали, а Mozilla публично заявила, что теперь все это бесполезно. И теперь членам Ассоциации придется передоговариваться как-то. Или брать уроки у РКН».Протокол DoH значительно усложняет властям возможности блокировки, но теоретически власти всё равно могут отслеживать трафик. Если смотреть на проблему блокировок более глобально, то в такой ситуации снова и снова возникает вопрос. Формулировка сторонников государственной фильтрации предполагает, что внедрение шифрования и надёжной приватности угрожает безопасности пользователя, потому что государственный «защитник» не сможет его защищать. В данном случае DNS-over-HTTPS мешает провайдерам фильтровать вредный контент. Такая логика противопоставляет приватность и безопасность.Личную приватность действительно можно противопоставить общественной безопасности. Сейчас идут дискуссии , что важнее и в какую сторону сместить акценты. Например, власти некоторых стран склоняются к тому, чтобы вообще запретить end-to-end шифрование в любых мессенджерах . Некоторые правительства вводят принудительную фильтрацию трафика, ограничивая доступ населения к определённому списку сайтов, как в Великобритании и России.Сторонники противоположной концепции личной приватности указывают на распространение слежки, что в перспективе угрожает нормальной жизни человека. Об этом же сказано в Манифесте Mozilla, где принцип № 4 гласит: «Безопасность и приватность пользователей Интернета имеют основополагающее значение и не могут рассматриваться как второстепенные моменты».Отказываясь от шифрования, человек фактически отказывается от собственной защиты. Это хорошо видно на примере DNS-over-HTTPS, которая защищает от MiTM-атак, в том числе со спуфингом страниц. Так что шифрование трафика и защита от слежки в интернете — это не вопрос выбора, а вопрос выживания в технологическом обществе будущего, говорят сторонники личной приватности.