[lacnog] Utilización de DoH como canal encubierto para controlar Malware

Nicolas Baumgarten nicomail en gmail.com
Mie Sep 9 11:29:33 GMT+3 2020


El aspecto de privacidad de ECS esta atado al perfix length utilizado. En
general es un /24, lo cual ya evita un id uno a uno.
Una estrategia interesante:
https://medium.com/nextdns/how-we-made-dns-both-fast-and-private-with-ecs-4970d70401e5

Saludos


On Wed, Sep 9, 2020 at 6:11 AM Arturo Servin <arturo.servin en gmail.com>
wrote:

>
>
> On Wed, Sep 9, 2020 at 9:45 AM Bill Woodcock <woody en pch.net> wrote:
>
>>
>>
>> On Sep 9, 2020, at 10:25 AM, Arturo Servin <arturo.servin en gmail.com>
>> wrote:
>> Este es un problema con DoH o sin DoH. Para evitarlo el DNS resolver debe
>> usar (rfc7871 si no me equivoco) la extension de subredes.
>>
>>
>> O, mejor, usar un resolutor recursivo que se asemeje al mismo IXP
>> doméstico.
>>
>
> Si, es lo mejor.
>
>
>> Quad9 hace esto para no tener que filtrar los datos de los usuarios en
>> forma de Extended Client Subnet (ECS).  Aquí hay algo que escribí
>> explicándolo en otro contexto:
>>
>> "Extended Client Subnet (ECS) es otro mecanismo del que se puede abusar
>> para socavar la privacidad de los usuarios. Como se ha señalado
>> anteriormente, los resolvedores recursivos, por intención y diseño,
>> protegen la identidad de las personas que realizan consultas del DNS
>> rompiendo la relación de uno a uno entre las consultas originadas por el
>> usuario y las visibles en el servidor de nombres autorizado, y eliminando
>> la dirección IP del usuario de la consulta que ve el servidor de nombres
>> autorizado. ECS subvierte directa e intencionadamente esta barrera
>> añadiendo la dirección IP del usuario o encerrando la subred de nuevo en la
>> consulta ascendente como un campo de datos adicional para que lo recoja el
>> operador del servidor de nombres autorizado. Dado que esta información
>> adicional es monetizable, hay cada vez más pruebas de que las redes de
>> distribución de contenido más rapaces han comenzado a penalizar
>> esporádicamente a los usuarios cuyos resolutores recursivos no traicionan
>> sus identidades. Al hacer que esos resolutores recursivos parezcan poco
>> fiables de manera artificial, conducen a los usuarios hacia resolutores
>> recursivos que pasan su PII en lugar de protegerla. Esta forma de castigo
>> para los usuarios que viola la neutralidad de la red es una de las
>> herramientas disponibles para cualquier operador de un dominio de primer
>> nivel."
>>
>>
>> Al igual que el DoH, el ECS vino bajo el disfraz de "ayuda" pero en
>> realidad es una herramienta diseñada para filtrar información personal a
>> las empresas que la monetizan, y para castigar a los usuarios que deciden
>> no filtrar su información.
>>
>
> Si te soy sincero los argumentos sin muchas referencias suena un poco a
> teoría conspiradora. Pero puedo entender que haya algunas compañías con
> poca ética, pero para otras es una herramienta que sirve para mejorar la
> calidad de servicios a los usuarios sin sacrificar privacidad o abusar de
> la información y usarla para otros fines.
>
> Saludos
> as
>
>
>
>
>
>>
>>                                 -Bill
>>
>> _______________________________________________
>> LACNOG mailing list
>> LACNOG en lacnic.net
>> https://mail.lacnic.net/mailman/listinfo/lacnog
>> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
>>
> _______________________________________________
> LACNOG mailing list
> LACNOG en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/lacnog
> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
>
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://mail.lacnic.net/pipermail/lacnog/attachments/20200909/36d8352a/attachment.html>


Más información sobre la lista de distribución LACNOG