Expert Blog

Waarom de DoH-update van Mozilla Firefox een vergissing kan zijn

Een ernstig privacy-risico als gevolg van een mogelijke Firefox-update

Een paar weken geleden passeerde een Tweet met een poll van Bert Hubert van PowerDNS mijn tijdlijn. PowerDNS is een van de mainstream DNS-recursor / Authoritative Name Server-toepassingen. In de Tweet verklaarde hij dat hij 'blown away' is door Mozilla die alle Firefox DNS-requests standaard door wil geven aan CloudFlare. Dit zal vanaf de update op 23 oktober standaard gebeuren. 

In de Tweet verklaart hij dat Mozilla de DNS verzoeken over gaat zetten naar DNS over HTTP requests (DoH), met hulp van het commerciële bedrijf CloudFlare.

Ik vind de gelijkenis met Homer's 'Doh!' opvallend, omdat naar mijn mening DoH niet echt een probleem oplost. Integendeel, het creëert een probleem. In deze blog zal ik ingaan op de mogelijke risico's van het veranderen van DNS naar DNS to HTTP.

Wat is DNS?

Stel je voor dat je de Fox-website wilt bezoeken om meer te weten te komen over Homer en de rest van de Simpson-familie. Je bezoekt https://www.fox.com/the-simpsons/. Aangezien het internet is opgebouwd rond IP-nummers in plaats van namen, moet de naam van de website als het ware worden vertaald om de juiste server te bereiken.

'Achter de schermen' vinden de volgende acties plaats:

  • De browser vraagt je OS-resolver waar je www.fox.com (het IP-adres) kan vinden. De OS resolver kijkt in zijn lokale opslag, vindt IP-adres niet en vraagt een geconfigureerde resolver om dezelfde informatie
  • De geconfigureerde resolver kijkt in de lokale opslag, vindt het niet en vraagt de root-TLD om dezelfde informatie:
  • De root TLD antwoordt waar de hoofdresolver van .com te vinden is
  • De geconfigureerde resolver zal de hoofdresolver van .com vragen waar www.fox.com (AUTH DNS) te vinden is.
  • .com's TLD reageert met informatie waar de resolver van fox.com te vinden is (AUTH DNS)
  • De geconfigureerde resolver zal de resolver van fox.com vragen waar hij www.fox.com kan vinden
  • Fox.com's TLD antwoordt met waar www.fox.com (zijn IP-adres) te vinden is
  • De geconfigureerde resolver slaat dit op in zijn lokale opslag en retourneert het IP-adres naar je browser
  • De browser zet een TCP-sessie op naar het geretourneerde IP op poort 443 (https) en begint met het bewerkstelligen van een beveiligde verbinding

 

Eigenlijk is DNS niets anders dan een middel om het IP-adres van een website te vinden.

DNS over HTTP: de verschuiving naar 'profiling' en 'gepersonaliseerde' inhoud

Volgens diverse bronnen wordt met DoH het volgende probleem aangepakt. Voornamelijk als gevolg van problemen die men ervaart in de VS en andere landen, waar geen wetgeving bestaat voor het knoeien met en / of het verzamelen van DNS-verzoeken, om vervolgens geld te verdienen met dit online verkeer.

In deze landen en regio's wordt zo'n DNS-verzoek simpelweg toegevoegd aan de schatkist van ISP's. Door enerzijds een profiel van jou te verkopen aan derden gebaseerd op deze DNS requests, of door 'gepersonaliseerde' content en advertenties te laten zien op webpagina's. Die personalisatie wordt gebaseerd op een profiel dat opgebouwd is over jouw eerdere DNS request historie. 

Voorbeeld: Hoe je geprofileerd kan worden als hacker

Wanneer je websites bezoekt om informatie te vinden over bijvoorbeeld cyberbeveiliging, zoals op een website als Infosecurity, Hackerspace of Blackhat, dan de combinatie van die websitebezoeken en verzamelde informatie ervoor zorgen dat je gemarkeerd of geprofileerd wordt als een hacker. Die informatie kan vervolgens worden verkocht aan websites die interesse hebben in deze "hackers"  doelgroep.

Wat is het probleem? Het aanvragen van een IP is privacygevoelig

Terug naar het voorbeeld van het bezoeken van de fox.com-website.

Wanneer je het IP-adres van een website aanvraagt, is de naam van die website bekend bij het besturingssysteem, de geconfigureerde resolver(s), netwerken voor de traverses, Root TLD, meer specifieke root-TLD (.com) en domein-TLD (fox.com). Dat zijn nogal wat betrokken services.

Al deze instanties hebben de mogelijkheid om bij te houden waar jouw verzoek voor dit websitebezoek vandaan kwam. Dat betekent dat ze allemaal de keuze hebben om deze informatie te verkopen, of het te gebruiken als 'data-voor-gebruiker-profiling', evenals voor advertentiedoeleinden.

Eventueel kunnen zij op basis van deze informatie er ook voor kiezen om je naar een andere website te leiden, dan de website die je eigenlijk wilde bezoeken. Een goed voorbeeld van zo'n dergelijke omleiding is de zogenoemde 'corporate captive portal'. Wanneer je binnen een bedrijf een website probeert te bezoeken, krijg je een melding dat je de website niet mag bezoeken omdat dit tegen het bedrijfsbeleid is.

Ik vroeg Infoblox, partner van Infradata en een specialist in beveiligde DNS-, DHCP- en IPAM-oplossingen (DDI), wat hun gedachten zijn over het DoH.

"“Infoblox is very interested in both DoT and DoH, because they address a last mile security problem that DNS has suffered from since the beginning. However, we're also concerned that the use of DoT and DoH can subvert on-premise security mechanisms such as Response Policy Zones.” – Infoblox"
Click to tweet

Infoblox uit dus eveneens zorgen over de beveiliging, terwijl de huidige DoH-instelling standaard ingesteld lijkt te zijn op CloudFlare. Het maakt vooralsnog geen deel onderdeel uit van Firefox, maar vanaf de update  op 23 oktober wel. Dit geeft CloudFlare alle mogelijkheden om op een gecentraliseerde manier met de eerder beschreven profiling van Firefox gebruikers te beginnen.

Afgezien van de implicaties van gegevenslekken en beveiligingsdetectie, lijkt dit een fundamenteel deel uit te maken van centralisatie op het internet, waardoor het web kwetsbaarder wordt voor buitenlandse bedrijven en instanties om toegang te krijgen tot surfgedrag en opgebouwde gebruikersprofielen.

Ik kan mij echter wel vinden in de drang naar een veiligere manier van communiceren tussen de client en DNS-server.  DoT (DNS over TLS) zou een goed alternatief kunnen zijn voor DoH. Dit vraagstuk draait met name om de vraag: Willen we gecentraliseerd versus gedecentraliseerd en de keuze leggen bij de gebruiker of gebruikers bewust maken van de werking van dit soort DNS-oplossingen.

Wie vertrouw je?

In de poll gedeeld door Bert Hubert op Twitter, vroeg hij wie gebruikers meer vertrouwen als het gaat om het leveren van een private en neutrale DNS-service. Met meer dan 240 stemmen zijn de resultaten duidelijk. De meeste respondenten vertrouwen hun serviceprovider meer dan CloudFlare.

Welke partijen zijn hier eigenlijk betrokken? En wie vertrouw je als het gaat om het gebruik van de gebruikersprofilering mogelijkheden? De betrokkenen zijn onder andere:

  • Uw browserleverancier
  • Uw OS-leverancier
  • Uw bedrijf
  • Uw ISP
  • Transit- en Peering-providers
  • De ISP die de website host
  • ICANN root-TLD
  • ICANN / VERISIGN Meer specifieke root-TLD (.com)

Om de vraag van Bert Hubert te herhalen: hoeveel vertrouwen heb je in elk van deze partijen met jouw bezoek aan fox.com, of aan elke andere website die je bezoekt via Firefox?

Bescherming tegen het knoeien of injecteren van inhoud

Partijen knoeien met jouw website bezoeken om inhoud aan webpagina's toe te voegen. Dit "injecteren" gebeurt vooral in de VS en via bepaalde advertentiemogelijkheden. Binnen de EU is er daarentegen een wet tegen dergelijke praktijken. Dit is van oorsprong de wet van 'netneutraliteit'.

Aangezien DNS wordt gebruikt om de locatie van inhoud te vinden, kan je ook DNS gebruiken om te voorkomen dat gepersonaliseerde, of geïnjecteerde content te zien is. Je blokkeert deze inhoud. Dit komt regelmatig voor bij restaurants, hotels en treinstations. Om de gratis internetservice te gebruiken, ga je ermee akkoord dat jij je houdt aan de regels en je zult gedragen als het gaat om de diverse websites die je bezoekt. 

Omdat het DoH-protocol DNS gebruikt om de DoH-resolving server te vinden, zal een dergelijke Captive-portal of Pay-wall nog steeds functioneren zoals hiervoor. Het blokkeren van inhoud op DNS-naam wordt voorkomen nadat de Pay-wall of captive portal je al toegang verleend heeft.

Houd er rekening mee dat er met de DNS die gebruikt wordt om de DoH-server te bereiken, nog steeds geknoeid kan worden en geredirect kan worden naar een vergelijkbare server die door derden gebruikt wordt, om meer over jouw navigatie-gedrag te weten te komen. 

Wat is het nadeel voor de gebruiker?

Welnu, jouw DNS-verkeer wordt ergens omgeleid. Dit kan de DNS-resolver van je bedrijf zijn, maar ook de resolver van jouw ISP, open resolvers zoals Cloudflare / OpenDNS / Google, of via DNS over HTTP (DoH) naar CloudFlare.

Mechanismen die gebruikers hebben voor het voorkomen van bedreigingen werken mogelijk niet zo goed meer nadat dit DoH-protocol standaard ingeschakeld is, omdat sommigen hiervan afhankelijk zijn. Het DoH-protocol lijkt vooralsnog standaard ingesteld te zijn zodra de Firefox update doorgevoerd wordt.

Vanuit het perspectief van een Network Engineer zou ik niet vertrouwen op deze standaard DoH-instellingen. Het stuurt namelijk ook interne DNS-verzoeken naar de vele buitenlandse partijen die ik in een eerder voorbeeld noemde. In plaats daarvan zou ik je ook aanbevelen om:

  • Je browser-policy te herconfigureren
  • Redirect bekende URL's door naar je eigen DoH-server met behulp van dnsdist bijvoorbeeld, de OpenSource-resolver van PowerDNS. In het geval je het jezelf afvraagt, betekent dit inderdaad dat het voeren van een discussie omtrent meer of minder privacy met deze oplossing nodig is en een omstreden onderwerp zal zijn, afhankelijk van de schaal van uw organisatie.
  • Blokkeer deze URL's op jouw network edge

Wanneer vindt de adoptie van DoH door Firefox plaats?

Volgens Mozilla zal Firefox de implementatie en acceptatie van DoH leiden. In feite is het al beschikbaar in hun developer 'nightlys' en zal het mainstream zijn in release nr. 63. Die update zal automatisch plaatsvinden rond 23 oktober.

Tot nu toe zijn er nog geen antwoorden gedeeld over de vraag of deze functie standaard wordt ingeschakeld, maar het lijkt er vooralsnog op dat Firefox dit zal doen, door een DoH-handler bij jou in de buurt te selecteren, waarvan Mozilla vindt dat die goed voor je is.

Mijn punt is dat je zelf moet zelf bepalen wie je nu vertrouwt en dat je jouw Mozilla Firefox-instellingen zeker moet configureren volgens jouw zakelijke en/of ethische beleid, en in overeenstemming met de privacyregelsdie geldig zijn in jouw land.

Hilmar Burghgraaff - 15 oktober 2018

Pagina delen:
Ontvang het laatste nieuws en relevante updates rechtstreeks in je browser. (max. één bericht per week)