NFsec Logo

DNS – wycieki i reklam ścieki

18/06/2014 w Bezpieczeństwo Brak komentarzy.  (artykuł nr 449, ilość słów: 590)

P

rywatność? Ostatnio z nią jest tyle problemów. Blokujemy ciastka. Blokujemy reklamy. Blokujemy porty. Dopiero wchodzimy do Sieci. „Internet is fuckup by design„. Ostatnio dość drażliwy wątek wywołała firma AT&T, która filtruje zapytania DNS swoich klientów i sprzedaje je firmą zajmujących się reklamą w Internecie. Tak. To jest prawie ten sam mechanizm, który przy wyszukiwarce Google czasem serwuje reklamę dziwnie powiązaną z niedawnymi tematami, jakie nas interesowały w zapytaniach. Oczywiście istnieje możliwość wykupienia opcji bez funkcji śledzenia (różnica pomiędzy 99, a 70 USD w USA).

Rejestrowanie zapytań DNS staje się coraz bardziej powszechne, nawet przy takich konfiguracjach jak VPN (Wirtualne Sieci Prywatne), czy Tor – słaby punkt w całym szyfrowanym łańcuchu stanowi serwer DNS. Nawet jeśli nasz system został połączony do VPN lub sieci Tor (chyba, że zadbamy o odpowiednią konfigurację) nadal odpytuje się serwerów DNS naszego ISP, co daje możliwość rejestrowania odwiedzanych stron, odpalanych aplikacji (po adresach, o które pytają aplikacje) itd.. Finalnie oznacza to, że posiadamy zaszyfrowanie naszego ruchu, ale nasz ISP lub w gorszej sytuacji – postronna osoba „węsząca” przy naszej sieci jest w stanie zobaczyć zapytania DNS w czystej postaci. W ten sposób istnieje możliwość przeprowadzenia ataków DNS Snooping, Man-In-The-Middle, czy Phishing (pomiędzy siecią Twojego komputera, a ISP). Bardziej „świadomi” użytkownicy nadpisują adresy serwerów DNS dostarczonych przez swojego ISP (Dostawcy Internetu) na bardziej znane z otwartości i bezpieczeństwa serwery Google oraz OpenDNS, które są udostępnione za „darmo”. Może i są bezpłatne, ale w tym sensie, że nie pobierane są opłaty za korzystanie z tych serwerów, ale jak zazwyczaj to bywa – jeśli nie płacisz za usługę – sam stajesz się jej produktem.

Za każdym razem kiedy używamy usługi DNS – potrafi ona zalogować nasz adres IP (tym samym przybliżoną naszą geo-lokalizację), domenę (interesującą nas stronę, serwis), o którą pytamy oraz aktualny czas i nazwę naszego ISP (przykład). Wiele firm, które udostępnia tego rodzaje darmowe lub płatne usługi zaczyna powoli rozumieć, że w tych logach pośrednio leżą dodatkowe pieniądze do odzyskania. Oczywiście Google wiedział o tym od początku Internetu, ale to użytkownicy nie mają być tymi złymi. OpenDNS jawnie w swoich usługach przyznaje, że kolekcjonuje logi DNS, a posiadając (płatne) konto w tym serwisie jesteśmy sami w stanie otrzymać dostęp do informacji zebranych z naszej własnej aktywności. W ich Polityce Prywatności również nic nie mówi się, że „nie sprzedajemy Twojej aktywności dalej”.

OpenDNS oferuje również oprogramowanie szyfrujące komunikację DNS pomiędzy klientem, a serwerem – DNSCrypt – jednak warto zrezygnować z ich usług na rzecz innych otwartych i nie logujących naszej aktywności serwerów. Instalacja klienta na różnych systemach operacyjnych nie jest skomplikowana, a pozwala nam na bezpieczeństwo i zachowanie większej prywatności niż w przypadku normalnej komunikacji, w której traktowani jesteśmy jak durni konsumenci, których albo się inwigiluje, albo wciska niechciane ulotki. Jeśli interesują nas komercyjne rozwiązania – możemy rozejrzeć się za ofertami usług VPN, które również znalazły swoją niszę na rynku i oferują usługi „zero-logging dns”, jak na przykład vyprvpn.

Więcej informacji: DNS Leak Test, DNS Nameserver Spoofability Test, HideMyAss

Kategorie K a t e g o r i e : Bezpieczeństwo

Tagi T a g i : , , ,

Zostaw odpowiedź.

Musisz być zalogowany by móc komentować.