[lacnog] Un posible protocolo más se suma a la lista del DNS

Jorge Villa villa en reduniv.edu.cu
Mie Dic 9 11:43:31 -03 2020 

Hola, buenos dias

 

Ciertamente, es un tema que se nos ha vuelto recurrente en los últimos tiempos, y si, estoy de acuerdo con Carlos. 

 

Yo creo que estamos ante una posible extensión de lo que ya vimos con la implementación de Mozilla. El asunto es que Mozilla podía hacer un bypass del sistema operativo, y obligar el uso de DoH hacia Cloudflare. Esto es una formalización burda de un ataque “man in the middle”; solo que tenía como solución Desinstalar (o no instalar nunca) Mozilla. Sin embargo, al trabajar con Apple, esto pudiera salir como una opción por defecto en las futuras versiones de MAC OS, y las opciones para desactivar esto, pudieran no ser triviales.

 

Desde el punto de vista de operación, como ya debatimos anteriormente, estas técnicas tiene consecuencias nefastas para operadores y también para los propios usuarios; pues por ejemplo, algo tan simple como acceder a recursos publicados mediante el empleo de vistas de DNS, simplemente no funciona. De igual forma, tiene implicación en la resolución de múltiples incidentes de seguridad; y va a facilitar la vida a múltiples atacantes.

 

Para mi es genial que se desarrollen estas técnicas, porque en realidad pueden solucionar problemas concretos en ciertos escenarios; pero el empleo de ellas, tiene que ser de forma consciente por parte de usuarios y operadores, y nunca forzado por un vendedor a quien no le hemos pedido que lo haga y con quien no tenemos contrato alguno de confidencialidad.

 

En el referido articulo hay tres detalles curiosos:

 
That’s not great for your privacy, especially since your internet provider can also sell your browsing history to advertisers.
making it harder for attackers to hijack DNS queries and point victims to malicious websites instead of the real website you wanted to visit
A key component of ODoH working properly is ensuring that the proxy and the DNS resolver never “collude,” in that the two are never controlled by the same entity, otherwise the “separation of knowledge is broken,” Sullivan said. That means having to rely on companies offering to run proxies.
Aún cuando ciertamente un ISP pudiera vender el historial de navegación a anunciantes, lo cierto es que en la mayoría de los casos, esto sucede a partir de conocidos servicios en Internet y no a partir de los proveedores locales. Por tanto, al parecer esta lanzando una cortina de humo para proteger a “los culpables habituales”

 

También es cierto que se pueden capturar peticiones de DNS y enviar respuestas envenenadas para redreccionar al usuario a otros sitios; pero la verdad hay muchísimas técnicas que hoy pueden correr en las maquinas a nivel local (a partir de los miles de malware/phishing/spam que llegan por diferentes vías), que la verdad no creo que eso sea el funcionamiento mas común de los atacantes en la actualidad

 

Adicionalmente, para que esto funcione habrá que confiar en “compañías que ofrezcan proxies”… la verdad es que esto terminará enviando tráfico por defecto a ciertas compañías .

 

En fin, que para los que trabajamos en operación, es un ruido mas a tener en cuenta en el futuro cercano; y aunque el artículo es de esta semana, no me extraña que lleven tiempo trabajando en esto y que pudiera aparecer en cualquiera de las actualizaciones próximas d MAC OS, como parte de las implementaciones requeridas para la estandarización en el IETF. Tampoco olviden, que no es requisito para los fabricantes, implementar alguna tecnología que no esté estandarizada… Hay que estar atentos con esto.

 

Saludos,

Jorge

De: LACNOG <lacnog-bounces en lacnic.net> en nombre de "Carlos M. Martinez" <carlosm3011 en gmail.com>
Responder a: Latin America and Caribbean Region Network Operators Group <lacnog en lacnic.net>
Fecha: miércoles, 9 de diciembre de 2020, 8:08 a. m.
Para: Latin America and Caribbean Region Network Operators Group <lacnog en lacnic.net>
Asunto: Re: [lacnog] Un posible protocolo más se suma a la lista del DNS

 

Hola,

Mi reacción inicial a esto (reconociendo que no hice aún una lectura profunda del tema) es “estamos agregando partes móviles que en el fondo son innecesarias, para resolver un potencial problema de imagen de ciertos actores”.

DoT y DoH son protocolos perfectamente buenos. Funcionan, cumplen con su fin (cifrar las consultas). El problema, sobre todo con DoH, es como ciertos actores, en particular Mozilla, lo manejaron. El problema no es con los protocolos, sino con el manejo, me atrevo a decir político, que se hizo de ellos.

Cosas que Mozilla nunca debió haber hecho con DoH (siempre en mi opinión, obviamente discutible):
habilitarlo por defecto enviando todo el tráfico a un punto único. No importa que tan bien intencionado fue, no se bien en que estaban pensando.
ser bastante sordos a cuando se les reclamó por este punto.
by-pasear la configuración de resolvers del sistema operativo. Este punto para mí es clave, y representa francamente una traición a la relación de confianza usuario-proveedor. Es el usuario quien tiene que tener claro como controlar esta relación de confianza y no es aceptable que esté enterrada bajo una pantalla que tiene como título “Advanced Settings, you might void your warranty”
Entonces, en vez de agregar un proxy que divide en dos el rol del recursivo (oh Margot, como me alegro de no trabajar mas en operaciones) lo que deberíamos hacer es lavar la imagen de DoT y DoH y usarlos como fueron pensados. Si tienen debilidades, bueno, fantástico, veamos como resolverlas.

Salute,

Carlos

On 9 Dec 2020, at 9:40, Fernando Gont wrote:

Hola, Marcelo,

Tanto tiempo! (Un gusto leerte!). Entre lineas....

On 9/12/20 08:05, marcelo bagnulo braun wrote:

Pensando sobre esto, una posibilidad seria generar consultas aleatorias para esconder las que son reales. El probelma claro es que incrementas la carga del sistema artificialmente, pero la privacidad tiene un coste, por lo que puede ser razonable.

Sin lugar adudas. Y también rotar el recursivo al cual envias el query. Entonces no solo escondes los queries dentro de otros randomizados, sino que aparte cada recursivo que utilizas recibe solo un "subset" de los queries que haces.

De cualquier modo, yo soy de la idea que cosas tales como los sistemas con los cuales te terminas comunicando, los patrones de trafico, etc. (ni hablar lo del SNI de TLS, que entiendo que estaba en vias de ser solucionado), terminan revelando tanto o mas informacion que, si te interesa la privacidad, termina siendo tanto necesario como mas conveniente utilizar una VPN pagada con Bitcoin, y/o usarle la conexion a una tercera parte (cafeteria, vecino, etc.) y/o conectar no-oficialmente un Raspberry Pi a alguna red a la que tengas acceso, que estás cuestiones sobre privacidad DNS.

Mi ejercicio mental con estas cuestiones es: "es esta tecnología algo que yo usaria y de la cual podria depender en lugares como 'X', si estar haciendo 'Y' pudiera costarme la vida o la libertad?"

Esa "ejercicio" creo que ayuda a separar entre meros protocolos que sirven como para jugar un poco con estas cuestiones, y tecnologías que abordan el tema seriamente, y de las cuales se puede depender.

Abrazo,
-- 
Fernando Gont
e-mail: fernando en gont.com.ar || fgont en si6networks.com
PGP Fingerprint: 7809 84F5 322E 45C7 F1C9 3945 96EE A9EF D076 FFF1



_______________________________________________
LACNOG mailing list
LACNOG en lacnic.net
https://mail.lacnic.net/mailman/listinfo/lacnog
Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog

_______________________________________________ LACNOG mailing list LACNOG en lacnic.net https://mail.lacnic.net/mailman/listinfo/lacnog Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog 

------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://mail.lacnic.net/pipermail/lacnog/attachments/20201209/aa6ef194/attachment-0001.htm>

Más información sobre la lista de distribución LACNOG