[lacnog] Utilización de DoH como canal encubierto para controlar Malware

[Bill Woodcock]

> On Sep 10, 2020, at 7:23 AM, Fernando Gont <fgont en si6networks.com> wrote:
> 
> On 9/9/20 05:45, Bill Woodcock wrote:
>>> On Sep 9, 2020, at 10:25 AM, Arturo Servin <arturo.servin en gmail.com <mailto:arturo.servin en gmail.com>> wrote:
>>> Este es un problema con DoH o sin DoH. Para evitarlo el DNS resolver debe usar (rfc7871 si no me equivoco) la extension de subredes.
>> O, mejor, usar un resolutor recursivo que se asemeje al mismo IXP doméstico.
> 
> A que te refieres?

Lo siento, hablo un poco español, así que dependo mucho de la traducción.  Mis disculpas por ser poco claro.

Si un usuario envía una consulta a un resolutor recursivo que está ubicado en un IXP muy cerca del usuario, y el resolutor recursivo no revela la identidad del usuario a través de la Subred de Cliente Extendido, cuando una CDN intenta geolocalizar al usuario, en su lugar utilizará la dirección de origen del resolutor recursivo, que seguirá geolocalizando al IXP cercano al usuario, y es probable que esté en una ruta muy directa entre la instancia más cercana de la CDN y el usuario.  De hecho, es posible que la CDN también tenga una instancia en ese mismo IXP, lo que proporcionaría el resultado óptimo, mientras que el ECS no necesariamente habría dado lugar a la entrega a través de una conexión de pares (rápida y económica) en lugar de una conexión de tránsito (más congestionada y más cara).

>> Quad9 hace esto para no tener que filtrar los datos de los usuarios en forma de Extended Client Subnet (ECS).  Aquí hay algo que escribí explicándolo en otro contexto:
>>    "Extended Client Subnet (ECS) es otro mecanismo del que se puede
>>    abusar para socavar la privacidad de los usuarios. Como se ha
>>    señalado anteriormente, los resolvedores recursivos, por intención y
>>    diseño, protegen la identidad de las personas que realizan consultas
>>    del DNS rompiendo la relación de uno a uno entre las consultas
>>    originadas por el usuario y las visibles en el servidor de nombres
>>    autorizado, y eliminando la dirección IP del usuario de la consulta
>>    que ve el servidor de nombres autorizado. ECS subvierte directa e
>>    intencionadamente esta barrera añadiendo la dirección IP del usuario
>>    o encerrando la subred de nuevo en la consulta ascendente como un
>>    campo de datos adicional para que lo recoja el operador del servidor
>>    de nombres autorizado. Dado que esta información adicional es
>>    monetizable, hay cada vez más pruebas de que las redes de
>>    distribución de contenido más rapaces han comenzado a penalizar
>>    esporádicamente a los usuarios cuyos resolutores recursivos no
>>    traicionan sus identidades. Al hacer que esos resolutores recursivos
>>    parezcan poco fiables de manera artificial, conducen a los usuarios
>>    hacia resolutores recursivos que pasan su PII en lugar de
>>    protegerla. Esta forma de castigo para los usuarios que viola la
>>    neutralidad de la red es una de las herramientas disponibles para
>>    cualquier operador de un dominio de primer nivel."
> 
> Gracias por escribir esto. <3   URL?

Lo extraje de una carta a ICANN, explicando los daños que se producirían si permitieran que un especulador endeudara al TLD .ORG con 1.135 millones de dólares.  Al final de la página 4:

https://www.icann.org/en/system/files/correspondence/woodcock-to-icann-board-22jan20-en.pdf

                                -Bill

------------ próxima parte ------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 833 bytes
Desc: Message signed with OpenPGP
URL: <https://mail.lacnic.net/pipermail/lacnog/attachments/20200910/8c06f9a7/attachment.sig>