DNS-over-HTTPS gây ra nhiều rắc rối
An toàn thông tin - Ngày đăng : 11:32, 13/07/2019
Giao thức DNS-over-HTTPS (DoH) không phải là thuốc chữa bách bệnh về quyền riêng tư mà nhiều người đã ủng hộ trong những tháng gần đây.
Nếu chúng ta lắng nghe các chuyên gia về an ninh mạng thì giao thức này có phần vô dụng và gây ra nhiều vấn đề hơn là tiện ích của nó, và những lời chỉ trích đã được đặt ra đối với DoH và những người quảng bá nó như một phương pháp bảo vệ quyền riêng tư hữu hiệu.
Hầu hết các chuyên gia nghĩ rằng DoH không phải một hệ thống tốt và mọi người nên tập trung nỗ lực vào việc thực hiện mã hóa lưu lượng DNS - chẳng hạn như DNS-over-TLS - thay vì DoH.
DOH và lịch sử của nó
Giao thức DNS-over-HTTPS là một phát minh gần đây. Nó đã được tạo ra vài năm trước và được đề xuất như một tiêu chuẩn internet vào tháng 10 năm ngoái (IETF RFC8484), được hỗ trợ trên Android và dự kiến sẽ ra mắt trong cả Mozilla Firefox và Google Chrome vào cuối năm nay.
Giao thức tự hoạt động bằng cách thay đổi cách DNS. Cho đến nay, các truy vấn DNS được thực hiện ở văn bản thô, từ ứng dụng đến máy chủ DNS, sử dụng cài đặt DNS của hệ điều hành cục bộ nhận được từ nhà cung cấp mạng - thường là nhà cung cấp dịch vụ internet (ISP).
DoH đã thay đổi mô hình này. DoH mã hóa các truy vấn DNS, được ngụy trang thành lưu lượng HTTPS thông thường - do đó nó có tên là DNS-over-HTTPS. Các truy vấn DoH này được gửi đến các máy chủ DNS có khả năng DoH đặc biệt (được gọi là bộ phân giải DoH), giải quyết truy vấn DNS bên trong yêu cầu DoH và trả lời cho người dùng theo cách được mã hóa.
Với tất cả những điều trên, các công ty và tổ chức có các sản phẩm có DoH đã quảng cáo DoH như một cách để ngăn chặn các ISP theo dõi lưu lượng truy cập web của người dùng và như một cách để vượt qua kiểm duyệt ở các quốc gia khác.
Nhưng nhiều người cho rằng đây là một lời nói dối. Một số chuyên gia trong lĩnh vực mạng và an ninh mạng đã công khai chỉ trích một số tuyên bố xung quanh DoH và những nỗ lực thúc đẩy nó gần như ở khắp mọi nơi.
Họ nói DoH không phải là phương pháp bảo đảm quyền riêng tư cho người dùng mà một số công ty đã nỗ lực tiếp thị như vậy để nâng cao hình ảnh của họ như những tổ chức đầu tiên bảo vệ quyền riêng tư.
Các chuyên gia nói rằng những công ty này vô trách nhiệm trong việc đẩy giao thức nửa vời không thực sự bảo vệ người dùng và gây ra nhiều vấn đề hơn, đặc biệt là trong khu vực doanh nghiệp.
Trong một số trường hợp, phản ứng đối với DoH là một giải pháp bảo vệ quyền riêng tư chính. Các nhà phê bình đã đưa ra những kết luận mà chúng tôi đã cố gắng tổ chức và phân loại dưới đây:
- DoH không thực sự ngăn chặn việc theo dõi người dùng ISP
- DoH tạo ra sự tàn phá trong khu vực doanh nghiệp
- DoH làm suy yếu an ninh mạng
- DoH giúp tội phạm
- DoH không nên được đề nghị cho tổ chức có những ý kiến bất đồng
- DoH tập trung lưu lượng DNS tại một vài bộ phân giải DoH
DOH không thực sự ngăn cản theo dõi người dùng ISPS
Một trong những điểm chính mà những người ủng hộ DoH đã nói về trong năm qua là DoH ngăn chặn các ISP theo dõi yêu cầu DNS của người dùng và do đó ngăn họ theo dõi thói quen lưu lượng truy cập web của người dùng.
Đúng. DoH ngăn ISP xem các yêu cầu DNS của người dùng.
Tuy nhiên, DNS không phải là giao thức duy nhất liên quan đến trình duyệt web. Vẫn còn vô số điểm dữ liệu khác mà các ISP có thể theo dõi để biết người dùng sẽ đi đâu. Bất cứ ai nói rằng DoH ngăn các ISP theo dõi người dùng là nói dối hoặc không hiểu cách thức hoạt động của lưu lượng truy cập web.
Nếu người dùng đang truy cập một trang web được tải qua HTTP, sử dụng DoH là vô nghĩa, vì ISP sẽ vẫn biết URL nào mà người dùng đang truy cập chỉ bằng cách nhìn vào các yêu cầu HTTP rõ ràng.
Nhưng điều này cũng đúng ngay cả khi người dùng đang truy cập các trang web HTTPS. Các ISP sẽ biết người dùng đang kết nối với trang nào vì giao thức HTTPS không hoàn hảo và một số phần của kết nối HTTPS không được mã hóa.
Các chuyên gia nói rằng các ISP sẽ không bị DoH làm phiền, bởi vì họ có thể dễ dàng xem xét các phần HTTPS không được mã hóa này - chẳng hạn như các trường SNI và kết nối OCSP.
Hơn nữa, ISP biết mọi thứ về lưu lượng của mọi người. Họ có thể xem địa chỉ IP mà người dùng đang kết nối khi truy cập trang web.
Địa chỉ IP này không thể bị ẩn. Biết đích IP cuối cùng sẽ tiết lộ cho người dùng đang kết nối trang web nào, ngay cả khi mọi thứ về lưu lượng truy cập của anh ta được mã hóa. Nghiên cứu được công bố vào tháng 8 này cho thấy một bên thứ ba có thể xác định với độ chính xác 95% mà người dùng đang kết nối với các trang web chỉ bằng cách xem địa chỉ IP.
Bất kỳ tuyên bố nào nói rằng DoH ngăn chặn các ISP theo dõi người dùng là không lịch sự và gây hiểu lầm, các chuyên gia lập luận như vậy. DoH chỉ đơn thuần gây bất tiện cho các ISP bằng cách làm mờ chúng thành một vectơ mà thôi.
DOH bỏ qua chính sách doanh nghiệp
Điểm thứ hai là tác động của DoH đối với khu vực doanh nghiệp, nơi các quản trị viên hệ thống sử dụng máy chủ DNS cục bộ và phần mềm dựa trên DNS để lọc và giám sát lưu lượng truy cập cục bộ, ngăn người dùng truy cập các trang web không hoạt động và phần mềm độc hại.
Đối với các doanh nghiệp, DoH là một cơn ác mộng kể từ khi nó được đề xuất. DoH về cơ bản tạo ra một cơ chế để ghi đè cài đặt DNS và cho phép nhân viên sử dụng DoH để bỏ qua mọi giải pháp lọc lưu lượng dựa trên DNS.
Do các máy chủ DNS ngày nay không hỗ trợ việc truy vấn DoH, nên các ứng dụng hiện hỗ trợ DoH đi kèm với danh sách các máy chủ DoH được mã hóa cứng, tách DoH khỏi các cài đặt DNS thông thường của hệ điều hành.
Quản trị viên hệ thống cần theo dõi các cài đặt DNS trên hệ điều hành để ngăn chặn các cuộc tấn công chiếm quyền điều khiển DNS. Có hàng trăm ứng dụng với cài đặt DoH độc đáo của riêng họ là một cơn ác mộng, vì nó khiến cho việc giám sát việc chiếm quyền điều khiển DNS gần như không thể.
Hơn nữa, lưu lượng truy cập đến các tên miền nhất định bị chặn vì một lý do nhất định trong các doanh nghiệp.
Khi DoH trở nên phổ biến rộng rãi, nó sẽ trở thành phương pháp yêu thích của tất cả nhân viên để bỏ qua các bộ lọc doanh nghiệp để truy cập nội dung thường bị chặn tại nơi làm việc của họ.
Một số người có thể sử dụng nó để truy cập các trang web phát trực tuyến phim hoặc nội dung người lớn khi chúng được bật. Và khi DoH được bật, nhân viên cũng có thể vô tình truy cập các trang web lừa đảo và phần mềm độc hại, điều này sẽ mang tới một loạt các rủi ro khác.
DOH làm suy yếu hệ thống an ninh mạng
Nhiều chuyên gia cho rằng giao thức này nâng cao hàng trăm giải pháp bảo mật mạng, những bảo mật này sẽ trở nên vô dụng khi người dùng bắt đầu sử dụng DoH bên trong trình duyệt của họ, làm mờ các công cụ bảo mật để xem người dùng đang làm gì.
Và đã có nhiều chuyên gia cảnh báo về vấn đề này, tiếng nói của họ đã bị nhấn chìm bởi những người tuyên bố DoH là điều tuyệt vời nhất từ trước đến nay.
"Khi giao thức DNS được mã hóa, một tổ chức không còn có thể sử dụng dữ liệu của truy vấn DNS (loại truy vấn, phản hồi, IP gốc, v.v.) để biết liệu người dùng có đang cố truy cập vào một tên miền xấu đã biết hay không, hãy kích hoạt chặn hoặc chuyển hướng hành động”, Andrew Wertkin, Giám đốc Chiến lược tại BlueCat, nói với ZDNet qua email vào đầu tuần này.
Trong một bài báo được xuất bản vào tháng trước, Viện SANS, một trong những tổ chức đào tạo an ninh mạng lớn nhất thế giới, nói rằng "việc sử dụng DNS được mã hóa, đặc biệt là DNS qua HTTPS, có thể cho phép kẻ tấn công và người trong cuộc vượt qua sự kiểm soát của tổ chức".
Một cảnh báo tương tự đã được lặp lại vào thứ Sáu tuần này, ngày 4 tháng 10, trong một tư vấn bảo mật do Trung tâm an ninh mạng quốc gia của Hà Lan ban hành. Các quan chức Hà Lan cảnh báo rằng các tổ chức sử dụng các giải pháp giám sát an ninh dựa trên DNS "có thể sẽ thấy khả năng hiển thị của họ giảm theo thời gian" và các sản phẩm bảo mật này sẽ trở nên không hiệu quả.
"Xu hướng là không thể nhầm lẫn: giám sát DNS sẽ khó khăn hơn", cơ quan Hà Lan cho biết.
Lời khuyên là các công ty cần xem xét các phương pháp khác để chặn lưu lượng đi, các giải pháp không chỉ dựa vào dữ liệu DNS. Viện Sans kêu gọi các tổ chức đừng hoảng sợ, nhưng điều này sẽ đòi hỏi nỗ lực tài chính và thời gian để cập nhật hệ thống, điều mà nhiều tổ chức sẽ không sẵn sàng làm.
Và họ cần phải làm điều đó một cách nhanh chóng, vì các tác giả phần mềm độc hại cũng đã nhận ra DoH có thể hữu ích như thế nào. Ví dụ, vào tháng 7, tin tức nổi lên về phần mềm độc hại đầu tiên sử dụng DoH để liên lạc với máy chủ chỉ huy và kiểm soát của nó không bị cản trở bởi các giải pháp giám sát mạng cục bộ.
Nhưng các nhà nghiên cứu bảo mật và quản trị viên doanh nghiệp không phải là người vô dụng. Họ cũng hiểu sự cần thiết phải bảo vệ các truy vấn DNS khỏi những con mắt rình mò.
Tuy nhiên, nếu điều đó tùy thuộc vào họ, họ sẽ tranh luận về việc đẩy DNSSEC và DNS-over-TLS (DoT), một giao thức tương tự DoH, nhưng mã hóa kết nối DNS thẳng đứng, thay vì ẩn lưu lượng DNS trong HTTPS.
DoT có một số nhược điểm tương tự với DoH, nhưng nếu các nhà nghiên cứu bảo mật phải chọn giữa DoH và DoT, thì cái DoT sẽ gây ra ít đau đầu hơn, vì nó sẽ hoạt động trên cơ sở hạ tầng DNS hiện tại, thay vì tạo ra lớp DoH của riêng nó.
"Tất cả các ISP lớn triển khai DoT và Hệ điều hành chính (HĐH) hỗ trợ DoT sẽ giúp cải thiện đáng kể quyền riêng tư và bảo mật cũng như duy trì sự phân cấp", Shreyas Zare, người tạo ra Technitium DNS Server, đã tóm tắt tác động của DoH đối với khu vực doanh nghiệp trong một bài đăng trên blog vào tháng trước.
DOH giúp các băng nhóm tội phạm
Một vấn đề lớn khác nói về DoH là khả năng vượt qua các danh sách chặn dựa trên DNS đã được các chính phủ đưa ra và khả năng giúp người dùng vượt qua kiểm duyệt trực tuyến.
Đó không phải là một tuyên bố không chính xác. Sử dụng DoH, người dùng có thể bỏ qua tường lửa dựa trên DNS hoặc toàn quốc gia dựa trên DNS.
Vấn đề là DoH cũng bỏ qua các danh sách chặn dựa trên DNS được đưa ra vì những lý do chính đáng, như những người chống lại việc truy cập các trang web lạm dụng trẻ em, nội dung khủng bố và các trang web có tài liệu bị đánh cắp bản quyền.
Đây là lý do tại sao cả Mozilla và Google gần đây đã có những cuộc trao đổi nóng với chính quyền ở cả Vương quốc Anh và Hoa Kỳ.
Vào giữa tháng Năm, Nam tước Thornton, MP cho Đảng Lao động, đã đưa ra giao thức DoH và sự hỗ trợ sắp tới của các nhà sản xuất trình duyệt trong một phiên họp của Hạ viện, gọi đó là mối đe dọa đối với an toàn trực tuyến của Vương quốc Anh.
GCHQ, dịch vụ tình báo của Anh Quốc, cũng đã chỉ trích cả Google và Mozilla, tuyên bố giao thức mới sẽ cản trở các cuộc điều tra của cảnh sát và nó có thể làm suy yếu các biện pháp bảo vệ của chính phủ hiện tại chống lại các trang web độc hại bằng cách cung cấp cho các đối tượng xấu cách vượt qua các hệ thống giám sát internet của họ.
Internet Watch Foundation (IWF), một nhóm theo dõi của Anh với nhiệm vụ được tuyên bố là giảm thiểu sự sẵn có của nội dung lạm dụng tình dục trẻ em trực tuyến, cũng chỉ trích cả Google và Mozilla, cho rằng các nhà sản xuất trình duyệt đã hủy hoại thành quả nhiều năm làm việc để bảo vệ công chúng Anh khỏi bị lạm dụng bằng cách cung cấp một phương pháp mới để truy cập nội dung bất hợp pháp.
Vào tháng 7, một ISP của Vương quốc Anh đã đề cử Mozilla cho giải thưởng “Nhân vật phản diện Internet 2019” cho các kế hoạch hỗ trợ DoH, với lý do tương tự như IWF.
Vào tháng 9, Ủy ban Tư pháp Hạ viện Hoa Kỳ đã bắt đầu một cuộc điều tra về các kế hoạch của Google để kích hoạt DoH, tuyên bố rằng sự hỗ trợ của DoH "có thể can thiệp trên quy mô lớn với các chức năng quan trọng của Internet, cũng như sẽ gây ra các vấn đề cạnh tranh dữ liệu".
Khi Google và Mozilla công bố kế hoạch hỗ trợ DoH như một giải pháp chống kiểm duyệt, mọi người đều mong đợi sự đẩy lùi đến từ các nước như Trung Quốc, Iran hoặc Nga; Tuy nhiên, việc đẩy lùi đến từ những nơi không ngờ nhất.
Và Mozilla đã bị bẻ khóa. Tổ chức này đã nói với ZDNet vào tháng 7 rằng họ không có kế hoạch kích hoạt DoH theo mặc định cho người dùng ở Anh nữa. Google cho biết họ đã thiết kế hỗ trợ DoH trong Chrome theo cách mà trách nhiệm thuộc về các công ty cung cấp máy chủ DNS với các bộ phân giải DoH thay thế.
DOH không nên được khuyến nghị
Và một vấn đề lớn khác mà hầu hết các chuyên gia bảo mật đã gặp phải với DoH là những tuyên bố gần đây rằng nó có thể giúp đỡ những người sống ở các quốc gia mà sự truy cập Internet bị kiểm soát.
Những tuyên bố này đã bị chế giễu rộng rãi, với một số chuyên gia bảo mật gọi những người ủng hộ DoH là vô trách nhiệm khi khiến cuộc sống của mọi người gặp nguy hiểm bằng cách cho họ cảm giác an toàn khi họ sử dụng DoH.
Điều này là do DoH không bảo vệ việc theo dõi người dùng. Như đã giải thích ở trên, DoH chỉ ẩn lưu lượng DNS, nhưng mọi thứ khác vẫn hiển thị.
Trong một bài đăng trên blog vào tháng trước, PowerDNS đã mô tả những nỗ lực thúc đẩy ý tưởng rằng DoH có thể giúp người dùng ở các quốc gia nguy hiểm là "một việc rất" công nghệ "đến từ những người không hiểu rõ tình hình”.
"Đây là công cụ để xem DoH là một 'VPN rất cục bộ', chỉ mã hóa các gói DNS, nhưng để lại tất cả các gói khác không được sửa đổi", PowerDNS nói.
Thay vào đó, các chuyên gia như Zare và PowerDNS khuyên rằng người dùng ở các quốc gia có Internet bị kiểm soát nên sử dụng các ứng dụng có khả năng DoH kết hợp với Tor hoặc VPN, thay vì chỉ sử dụng DoH. Nói với mọi người rằng họ hoàn toàn có thể dựa vào DoH là một sai lầm.
DoH tập trung lưu lượng DNS tại một vài bộ phân giải DoH
Và có một vấn đề về tác động của DoH đối với toàn bộ hệ sinh thái DNS, một mạng lưới máy chủ phi tập trung.
Người chỉ trích lớn nhất về động thái này là Trung tâm Thông tin Mạng châu Á-Thái Bình Dương (APNIC), trong một bài đăng trên blog tuần này, đã chỉ trích ý tưởng gửi lưu lượng DoH đến một số trình phân giải DoH, thay vì sử dụng hệ sinh thái của các máy chủ DNS hiện có.
Họ cho rằng việc mã hóa lưu lượng DNS nên được thực hiện trên cơ sở hạ tầng hiện tại, thay vì tạo một lớp phân giải DoH (vô dụng) khác, sau đó nằm trên lớp DNS hiện có.
"DoH tập trung hiện đang bị phủ định mạng riêng tư vì bất kỳ ai có thể thấy siêu dữ liệu của bạn vẫn có thể thấy siêu dữ liệu của bạn khi DNS được chuyển sang bên thứ ba", APNIC cho biết. "Ngoài ra, bên thứ ba đó sau đó nhận được một bản ghi đầy đủ cho mỗi thiết bị của tất cả các truy vấn DNS, theo cách thậm chí có thể được theo dõi trên các địa chỉ IP.
"Mã hóa DNS là tốt, nhưng nếu điều này có thể được thực hiện mà không liên quan đến các bên bổ sung, điều đó sẽ tốt hơn", APNIC nói thêm.
Ý tưởng chung là DNS-over-HTTPS không phải là điều mà nhiều người đã nghĩ. Nó không thực sự bảo vệ người dùng khỏi bị rình mò lưu lượng truy cập web của họ và nó không thực sự hữu ích cho những người bất đồng chính kiến ở các quốc gia mà người dùng Internet bị kiểm soát.
Người dùng muốn ẩn lưu lượng truy cập web của họ vẫn nên xem VPN và Tor là giải pháp an toàn hơn, và DoH là một lớp bảo vệ bổ sung, khi khả dụng.
Các doanh nghiệp sẽ cần đầu tư vào cách mới để theo dõi và lọc lưu lượng, vì thời đại của các hệ thống dựa trên DNS dường như sắp kết thúc, và các giải pháp lai với khả năng đánh chặn TLS sẽ là cần thiết. Các hệ thống như vậy đã tồn tại, nhưng chúng đắt tiền và đó là lý do chính tại sao nhiều công ty đã dựa vào các hệ thống dựa trên DNS cho đến tận bây giờ.