[lacnog] Utilización de DoH como canal encubierto para controlar Malware

Fernando Gont fgont en si6networks.com
Jue Sep 10 06:53:15 GMT+3 2020 

On 10/9/20 05:04, Bill Woodcock wrote:
> 
> 
>> On Sep 10, 2020, at 7:23 AM, Fernando Gont <fgont en si6networks.com>
>> wrote:
>> 
>> On 9/9/20 05:45, Bill Woodcock wrote:
>>>> On Sep 9, 2020, at 10:25 AM, Arturo Servin
>>>> <arturo.servin en gmail.com <mailto:arturo.servin en gmail.com>>
>>>> wrote: Este es un problema con DoH o sin DoH. Para evitarlo el
>>>> DNS resolver debe usar (rfc7871 si no me equivoco) la extension
>>>> de subredes.
>>> O, mejor, usar un resolutor recursivo que se asemeje al mismo IXP
>>> doméstico.
>> 
>> A que te refieres?
> 
> Lo siento, hablo un poco español, así que dependo mucho de la
> traducción.  Mis disculpas por ser poco claro.

No worries at all. FWIW, I think the mailing-list posting policy allows 
posting in English. Or, well... consider this one a canary, and let's 
see if anyone complains :-))



> Si un usuario envía una consulta a un resolutor recursivo que está
> ubicado en un IXP muy cerca del usuario, y el resolutor recursivo no
> revela la identidad del usuario a través de la Subred de Cliente
> Extendido, cuando una CDN intenta geolocalizar al usuario, en su
> lugar utilizará la dirección de origen del resolutor recursivo, que
> seguirá geolocalizando al IXP cercano al usuario, y es probable que
> esté en una ruta muy directa entre la instancia más cercana de la CDN
> y el usuario.  De hecho, es posible que la CDN también tenga una
> instancia en ese mismo IXP, lo que proporcionaría el resultado
> óptimo, mientras que el ECS no necesariamente habría dado lugar a la
> entrega a través de una conexión de pares (rápida y económica) en
> lugar de una conexión de tránsito (más congestionada y más cara).

Ok, now I see what you were referring to. Thanks!

(Unfortunately, ECS has a default setting, and non-tech-savvy users will 
not even be aware about it to override the default...)


>>> Quad9 hace esto para no tener que filtrar los datos de los
>>> usuarios en forma de Extended Client Subnet (ECS).  Aquí hay algo
>>> que escribí explicándolo en otro contexto: "Extended Client
>>> Subnet (ECS) es otro mecanismo del que se puede abusar para
>>> socavar la privacidad de los usuarios. Como se ha señalado
>>> anteriormente, los resolvedores recursivos, por intención y 
>>> diseño, protegen la identidad de las personas que realizan
>>> consultas del DNS rompiendo la relación de uno a uno entre las
>>> consultas originadas por el usuario y las visibles en el servidor
>>> de nombres autorizado, y eliminando la dirección IP del usuario
>>> de la consulta que ve el servidor de nombres autorizado. ECS
>>> subvierte directa e intencionadamente esta barrera añadiendo la
>>> dirección IP del usuario o encerrando la subred de nuevo en la
>>> consulta ascendente como un campo de datos adicional para que lo
>>> recoja el operador del servidor de nombres autorizado. Dado que
>>> esta información adicional es monetizable, hay cada vez más
>>> pruebas de que las redes de distribución de contenido más rapaces
>>> han comenzado a penalizar esporádicamente a los usuarios cuyos
>>> resolutores recursivos no traicionan sus identidades. Al hacer
>>> que esos resolutores recursivos parezcan poco fiables de manera
>>> artificial, conducen a los usuarios hacia resolutores recursivos
>>> que pasan su PII en lugar de protegerla. Esta forma de castigo
>>> para los usuarios que viola la neutralidad de la red es una de
>>> las herramientas disponibles para cualquier operador de un
>>> dominio de primer nivel."
>> 
>> Gracias por escribir esto. <3   URL?
> 
> Lo extraje de una carta a ICANN, explicando los daños que se
> producirían si permitieran que un especulador endeudara al TLD .ORG
> con 1.135 millones de dólares.  Al final de la página 4:
> 
> https://www.icann.org/en/system/files/correspondence/woodcock-to-icann-board-22jan20-en.pdf

Just read the letter and I'm glad you sent it. That said, now I'm a 
little bit puzzled, since based on our exchange on the PIR thing last 
November I kind of got the impression you were in favor of the deal?

Thanks!

Regards,
-- 
Fernando Gont
SI6 Networks
e-mail: fgont en si6networks.com
PGP Fingerprint: 6666 31C6 D484 63B2 8FB1 E3C4 AE25 0D55 1D4E 7492

Más información sobre la lista de distribución LACNOG