<div dir="ltr">Hola Roque y tod@s,<div><br></div><div>Repasando mi correo, quiero destacar que no menciono -discusión- ni estoy diciendo que DoX sea bueno o malo per se.</div><div><br></div><div>Si bien, como vos mencionas, Mozilla decidió para los usuarios de USA habilitar DoH (pudiendo ser deshabilitado y/o configurado por los usuarios) utilizando los servidores DNS de un par de organizaciones (que mantienen servidores recursivos públicos de DNS con DoX habilitado) con los que firmaron un acuerdo, hay otros actores digamos, que proponen otros comportamientos como utilizar DoX con el mismo proveedor que tenga el dispositivo configurado en su sistema operativo (el suministrado por el ISP típicamente) cuando se detecte esa capacidad (como el caso de Android), etc.</div><div><br></div><div>A lo que si hago referencia es a aspectos a tomar en cuenta a la hora de decidir en cada ambiente si voy o no a utilizar DoX.</div><div>Por ejemplo, puede que un un ambiente residencial la posibilidad de utilizar DoX con el mismo servidor provisto por el ISP (sea el suyo propio o uno público como utilizan muchos proveedores) sea una buena opción que me agrega privacidad en el intercambio entre mi cliente y el servidor recursivo (y adicionalmente puede servir para saltarse mecanismos de filtrado utilizando DNS, impuestos por algún ISP unilateralmente, si fuera el caso).</div><div>En un ambiente empresarial, por ejemplo, se me ocurre que ya no es tan atractivo el uso de DoX si poseo algún tipo de sistema de defensa contra ataques que se valgan del tráfico de DNS. Tal vez en ese caso, si tengo un equipo de personas de Operaciones que administre servidores recursivos, lo mejor sea correr mi propio servidor recursivo limitándolo solo para el uso de los dispositivos de mi red, y poner allí en ese mismo recursivo (de ser posible) algún sistema de mitigación de ataques que utilicen el DNS.</div><div><br></div><div>Para los que estén interesados, hay un documento de ICANN elaborado por Paul Hoffman que hace un análisis objetivo de este tema: <a href="https://community.icann.org/download/attachments/144377102/octo-003-30apr20-en.pdf?version=1&modificationDate=1597447763000&api=v2" style="padding:0px;margin:0px;color:rgb(0,101,255);text-decoration-line:none;font-size:14px">OCTO-003: Local and Internet Policy Implications of Encrypted DNS</a>.</div><div><br></div><div>Abrazo,</div><div>Nico</div><div><br></div><div><br></div><div><br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">El vie., 4 de sep. de 2020 a la(s) 05:47, Roque Gagliano (<a href="mailto:rgaglian@gmail.com" target="_blank">rgaglian@gmail.com</a>) escribió:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div>Nico,</div><div><br></div><div>No hubo ni hay "discusión", Mozilla cambió el default y punto.<br></div><div><br></div><div>Roque.<br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Thu, Sep 3, 2020 at 5:33 PM Nicolas Antoniello <<a href="mailto:nantoniello@gmail.com" target="_blank">nantoniello@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr">Estimados,<div><br></div><div>Para que lo tengan en cuenta. En este caso, los sistemas de detección de amenazas que puedan estar operando en las organizaciones no serían capaces de detectar este tipo de ataques. La forma de detectarlo sería (en principio) únicamente desde el cliente con algún mecanismo de detección de Malware o similar.</div><div><br></div><div>Este trata de la utilización de respuestas DNS conteniendo código para comandar y controlar un malware previamente instalado en el cliente.</div><div><br></div><div>Lo interesante es que al valerse de DoX se vuelve mucho más difícil su detección y por lo tanto es aprovechable por los atacantes como mecanismo para intentar evitar sistemas de detección que puedan utilizar las organizaciones.</div><div><br></div><div>En el artículo se menciona el hecho de que este tipo de ataques no es nuevo; así como el hecho de que esto no es un problema propio de DoX; sino que los atacantes se valen de la privacidad que provee DoX para encubrir su tráfico.</div><div><br></div><div><a href="https://www.bleepingcomputer.com/news/security/attackers-abuse-google-dns-over-https-to-download-malware/" target="_blank">https://www.bleepingcomputer.com/news/security/attackers-abuse-google-dns-over-https-to-download-malware/<br></a></div><div><br></div><div>Personalmente creo que agrega una consideración interesante en la conversación sobre privacidad vs. seguridad a la hora de cada uno decidir en qué ámbitos aplicaremos cada mecanismo; así como qué medidas adicionales de seguridad (y privacidad) podemos tomar a nivel operativo para buscar protegernos mejor de este tipo de amenazas.</div><div><br></div><div>Saludos,</div><div>Nico</div><div><br></div><div><br></div></div>
_______________________________________________<br>
LACNOG mailing list<br>
<a href="mailto:LACNOG@lacnic.net" target="_blank">LACNOG@lacnic.net</a><br>
<a href="https://mail.lacnic.net/mailman/listinfo/lacnog" rel="noreferrer" target="_blank">https://mail.lacnic.net/mailman/listinfo/lacnog</a><br>
Cancelar suscripcion: <a href="https://mail.lacnic.net/mailman/options/lacnog" rel="noreferrer" target="_blank">https://mail.lacnic.net/mailman/options/lacnog</a><br>
</blockquote></div><br clear="all"><br>-- <br><div dir="ltr"><br><br>At least I did something<br>Don Draper - Mad Men</div>
_______________________________________________<br>
LACNOG mailing list<br>
<a href="mailto:LACNOG@lacnic.net" target="_blank">LACNOG@lacnic.net</a><br>
<a href="https://mail.lacnic.net/mailman/listinfo/lacnog" rel="noreferrer" target="_blank">https://mail.lacnic.net/mailman/listinfo/lacnog</a><br>
Cancelar suscripcion: <a href="https://mail.lacnic.net/mailman/options/lacnog" rel="noreferrer" target="_blank">https://mail.lacnic.net/mailman/options/lacnog</a><br>
</blockquote></div>