[lacnog] Utilización de DoH como canal encubierto para controlar Malware

Bill Woodcock woody en pch.net
Mie Sep 9 05:45:09 GMT+3 2020 


> On Sep 9, 2020, at 10:25 AM, Arturo Servin <arturo.servin en gmail.com> wrote:
> Este es un problema con DoH o sin DoH. Para evitarlo el DNS resolver debe usar (rfc7871 si no me equivoco) la extension de subredes.

O, mejor, usar un resolutor recursivo que se asemeje al mismo IXP doméstico.  Quad9 hace esto para no tener que filtrar los datos de los usuarios en forma de Extended Client Subnet (ECS).  Aquí hay algo que escribí explicándolo en otro contexto:

"Extended Client Subnet (ECS) es otro mecanismo del que se puede abusar para socavar la privacidad de los usuarios. Como se ha señalado anteriormente, los resolvedores recursivos, por intención y diseño, protegen la identidad de las personas que realizan consultas del DNS rompiendo la relación de uno a uno entre las consultas originadas por el usuario y las visibles en el servidor de nombres autorizado, y eliminando la dirección IP del usuario de la consulta que ve el servidor de nombres autorizado. ECS subvierte directa e intencionadamente esta barrera añadiendo la dirección IP del usuario o encerrando la subred de nuevo en la consulta ascendente como un campo de datos adicional para que lo recoja el operador del servidor de nombres autorizado. Dado que esta información adicional es monetizable, hay cada vez más pruebas de que las redes de distribución de contenido más rapaces han comenzado a penalizar esporádicamente a los usuarios cuyos resolutores recursivos no traicionan sus identidades. Al hacer que esos resolutores recursivos parezcan poco fiables de manera artificial, conducen a los usuarios hacia resolutores recursivos que pasan su PII en lugar de protegerla. Esta forma de castigo para los usuarios que viola la neutralidad de la red es una de las herramientas disponibles para cualquier operador de un dominio de primer nivel."

Al igual que el DoH, el ECS vino bajo el disfraz de "ayuda" pero en realidad es una herramienta diseñada para filtrar información personal a las empresas que la monetizan, y para castigar a los usuarios que deciden no filtrar su información.

                                -Bill

------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://mail.lacnic.net/pipermail/lacnog/attachments/20200909/a8be405b/attachment.html>
------------ próxima parte ------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 833 bytes
Desc: Message signed with OpenPGP
URL: <https://mail.lacnic.net/pipermail/lacnog/attachments/20200909/a8be405b/attachment.sig>

Más información sobre la lista de distribución LACNOG