Babele Oggi

Una selezione di notizie dalla Galassia

Fondazione Frontiera Elettronica

Crittografia DNS: Year in Review 2019

Babele Oggi

Crittografia DNS: Year in Review 2019

Questo febbraio, con il Venezuela scosso dal collasso economico e da una crisi della successione presidenziale, un partito di opposizione ha lanciato una richiesta di volontari. Juan Guaidó, leader politico del Partito della volontà popolare, ha invitato i sostenitori a registrarsi sul sito “Volontari per il Venezuela”. Guaidó ha annunciato che la chiamata ha avuto successo , con oltre 100.000 sostenitori che hanno inviato le loro informazioni di contatto al sito.

Ma secondo i ricercatori con Venezuela Inteligente , CrowdStrike e Kaspersky Lab , i cattivi attori hanno usato l'iniezione di risposta DNS per indirizzare questi visitatori a una versione falsa del sito. La versione falsa del sito sembrava identica a quella reale, ma i ricercatori ritengono che le informazioni raccolte siano state inviate agli aggressori anziché alla festa di Guaidó. Il 17 febbraio, le identità degli attivisti sono state trapelate da un media che supportava il rivale di Guaidó, Nicolás Maduro, che secondo il Digital Forensics Research Lab dell'Atlantic Council avrebbe avuto accesso al database di informazioni phishing .

Il DNS fa parte dell'infrastruttura Internet che funge da directory per aiutare gli utenti di Internet a trovare e connettersi ai server per i domini a cui desiderano connettersi, consentendo ai proprietari del dominio di pubblicare le informazioni di contatto sui loro servizi e lasciando agli utenti una query per ricevere quell'informazione. Idealmente, il tipo di attacco che ha avuto luogo in Venezuela non dovrebbe essere possibile; speriamo che il DNS indichi con precisione agli utenti dove si trova il sito che stanno cercando e non li indirizzi ad altri siti.

Sfortunatamente, l'infrastruttura DNS è stata creata in un'era più innocente in cui Internet era spesso visto come composto da organizzazioni e persone affidabili. Il DNS rimane altamente vulnerabile al monitoraggio, rivelando prontamente quali siti le persone stanno cercando di visitare (a scopo di pubblicità, profilazione commerciale, profilazione politica, censura della rete o spionaggio). È anche vulnerabile allo spoofing, sia dal servizio risolutore di un provider di servizi Internet (che potrebbe dare deliberatamente false risposte alle query degli utenti) o da qualcuno che ha compromesso i router Internet (che potrebbe osservare le query e quindi iniettare rapidamente false risposte anche prima del vero arrivano quelli), tra le altre possibilità.

La mancanza di crittografia DNS è un serio problema di privacy per tutti gli utenti di Internet. Ma nei paesi in cui i residenti sono presi di mira dal loro governo per omicidi extragiudiziali , il DNS non crittografato è un problema di sicurezza che deve essere risolto.

Fortunatamente, i volontari che lavorano attraverso la Internet Engineering Task Force (IETF) hanno compiuto enormi progressi verso la crittografia del DNS. Sono emersi due protocolli per crittografare le query DNS: DNS over TLS (DoT) e DNS over HTTPS (DoH). Riteniamo che entrambi i protocolli stiano avanzando rispetto alla situazione della query DNS non crittografata. DoT modifica il protocollo DNS classico con la crittografia TLS, mentre DoH lo avvolge all'interno della navigazione Web in modo che la query DNS e la risposta viaggino su Internet sembrando – e protetti come – una sessione di navigazione Web, il che dovrebbe rendere più difficile per gli ISP bloccare le query DoH. Nel caso del Venezuela, ad esempio, se gli aggressori avessero collaborato con gli ISP venezuelani, avrebbero potuto tentare di costringere gli utenti a utilizzare servizi di risoluzione vulnerabili all'interno del paese, anche se gli utenti volessero utilizzare servizi più neutrali e affidabili altrove. DoH renderà più difficile per gli ISP abusare della loro posizione per costringere i loro utenti a utilizzare un servizio DNS che gli ISP operano o in cui possono monitorare o interferire.

Ciononostante, i piani per l'imminente implementazione del DNS su HTTPS hanno ricevuto un'enorme quantità di critiche quest'anno, con l'Associazione dei fornitori di servizi Internet (un gruppo commerciale con sede nel Regno Unito per i fornitori di servizi Internet) che si spinge fino a chiamare Mozilla un cattivo per il i piani di quest'ultima per attuare il DoH.

Anche i fornitori di servizi Internet negli Stati Uniti hanno fatto pressioni contro DoH attraverso gruppi commerciali, sollevando preoccupazioni con i comitati congressuali sul fatto che il browser Chrome di Google avrebbe sostituito il risolutore configurato del sistema operativo per utilizzare invece il risolutore di Google. Siamo d'accordo sul fatto che ciò comporterebbe un passaggio allarmante verso la centralizzazione del DNS, ma Google non ha mai annunciato piani per implementare il DoH nel modo descritto dai gruppi commerciali. Nel piano di Google, la maggior parte degli utenti continuerà a utilizzare i propri servizi di risoluzione forniti dall'ISP, con un aggiornamento DoH quando il servizio dell'ISP lo offre, il che fornisce vantaggi per la privacy quando la connessione di rete viene condivisa con altri o monitorata da terzi. Gli utenti che scelgono attivamente un diverso servizio DNS otterranno anche una migliore privacy.

Alcune critiche del DoH si sono concentrate sui piani di Mozilla di impostare gli utenti predefiniti del proprio browser Firefox sui servizi DNS pubblici di Cloudflare, spesso indicati come “1.1.1.1” dopo uno degli indirizzi IP in cui Cloudflare rende disponibili i suoi servizi di risoluzione DNS. I critici temono che ciò centralizzerà in modo inappropriato alcune funzionalità del DNS. Abbiamo incoraggiato Mozilla a garantire che gli utenti abbiano una scelta semplice e diretta di servizi DNS.

Il FEP ha collaborato con i membri dello staff del Congresso del Comitato per l'energia e il commercio della Camera per affrontare alcune delle preoccupazioni relative al DoH. Accanto a Consumer Reports e alla National Consumers League, abbiamo scritto una lettera aperta al Congresso spiegando l'importante ruolo che la crittografia DNS svolgerà nella protezione della privacy e della libertà di espressione. Abbiamo anche parlato con i ricercatori del Congressional Research Service che hanno esaminato la controversia.

Nonostante le preoccupazioni sollevate da alcuni ISP, nell'ultimo anno le società tecnologiche hanno compiuto notevoli progressi verso l'implementazione del supporto per i protocolli DNS crittografati. Comcast sta attualmente testando il supporto sia per il DoH che per il DoT nella produzione e la società ha assunto forti impegni pubblici per proteggere la privacy delle richieste DNS dei propri clienti. Microsoft ha annunciato l' intenzione di supportare DNS su HTTPS in Windows .

Apprezziamo il lavoro svolto da queste aziende per proteggere la privacy dei loro utenti e incoraggiamo chiunque operi un risolutore a implementare il supporto per il DNS crittografato.

Questo articolo fa parte della nostra serie Year in Review. Leggi altri articoli sulla lotta per i diritti digitali nel 2019.

DONARE A EFF

Ti piace quello che stai leggendo? Supporta oggi la difesa digitale della libertà!

(Articolo originale: EFF)