[lacnog] Utilización de DoH como canal encubierto para controlar Malware

Fernando Gont fgont en si6networks.com
Jue Sep 10 02:23:40 GMT+3 2020 

On 9/9/20 05:45, Bill Woodcock wrote:
> 
> 
>> On Sep 9, 2020, at 10:25 AM, Arturo Servin <arturo.servin en gmail.com 
>> <mailto:arturo.servin en gmail.com>> wrote:
>> Este es un problema con DoH o sin DoH. Para evitarlo el DNS resolver 
>> debe usar (rfc7871 si no me equivoco) la extension de subredes.
> 
> O, mejor, usar un resolutor recursivo que se asemeje al mismo IXP 
> doméstico.  

A que te refieres?


[....]
> Quad9 hace esto para no tener que filtrar los datos de 
> los usuarios en forma de Extended Client Subnet (ECS).  Aquí hay algo 
> que escribí explicándolo en otro contexto:
> 
>     "Extended Client Subnet (ECS) es otro mecanismo del que se puede
>     abusar para socavar la privacidad de los usuarios. Como se ha
>     señalado anteriormente, los resolvedores recursivos, por intención y
>     diseño, protegen la identidad de las personas que realizan consultas
>     del DNS rompiendo la relación de uno a uno entre las consultas
>     originadas por el usuario y las visibles en el servidor de nombres
>     autorizado, y eliminando la dirección IP del usuario de la consulta
>     que ve el servidor de nombres autorizado. ECS subvierte directa e
>     intencionadamente esta barrera añadiendo la dirección IP del usuario
>     o encerrando la subred de nuevo en la consulta ascendente como un
>     campo de datos adicional para que lo recoja el operador del servidor
>     de nombres autorizado. Dado que esta información adicional es
>     monetizable, hay cada vez más pruebas de que las redes de
>     distribución de contenido más rapaces han comenzado a penalizar
>     esporádicamente a los usuarios cuyos resolutores recursivos no
>     traicionan sus identidades. Al hacer que esos resolutores recursivos
>     parezcan poco fiables de manera artificial, conducen a los usuarios
>     hacia resolutores recursivos que pasan su PII en lugar de
>     protegerla. Esta forma de castigo para los usuarios que viola la
>     neutralidad de la red es una de las herramientas disponibles para
>     cualquier operador de un dominio de primer nivel."

Gracias por escribir esto. <3   URL?


-- 
Fernando Gont
SI6 Networks
e-mail: fgont en si6networks.com
PGP Fingerprint: 6666 31C6 D484 63B2 8FB1 E3C4 AE25 0D55 1D4E 7492

Más información sobre la lista de distribución LACNOG