piatok 8. novembra 2019

Radíme: Ochrana súkromia na webe

Šifrované spojenie na internete cez HTTPS je dnes štandardom a pomáha chrániť citlivé informácie prenášané cez internet, akými sú heslá, čísla kreditných kariet, ale aj bežnú komunikáciu. Avšak volania DNS (preklad webovej adresy na IP adresu) sa zatiaľ odohrávajú v nešifrovanom svete! Ak napr. zadáte do webového prehliadača adresu blog.synology.com, váš prehliadač sa pýta viacerých DNS serverov a čaká na odpoveď od prvého, za akou IP adresou sa „schovávajú“ dáta, ktoré chce načítať a webový prehliadač ich následne zobrazí.

Všetky kontaktované DNS servery vrátane smerovačov, cez ktoré dáta prechádzajú, si tak dokážu ľahko prečítať informáciu, ktoré stránky navštevujete. Na prvý pohľad možno bezcenný kus dát, ak si však šikovný algoritmus dokáže zanalyzovať vaše správanie na webe (vďaka tomu, ktoré stránky čítate, kde nakupujete a pod), môžu byť použité napr. na lepšiu cielenú reklamu. Čo je však horšie, ak útočník vidí vašu požiadavku, môže vám podhodiť inú odpoveď, ako očakávate – ide o typický scam, tzn. DNS hijacking. A práve tu prichádza do hry DNS cez HTTPS – technológia šifrovania, ktorá vaše DNS požiadavky (preklady adries) zašifruje a umožní iba vášmu prehliadaču a vybraným DNS serverom odkľúčovať preklad. Takže „spoofing“ útoky sa stanú minulosťou. DoH služby už dnes podporujú aj giganti ako Google či Cloudfare.

Na prvý pohľad to vyzerá všetko výborne, kde je však háčik? Paradoxne v samotnej ochrane súkromia. Ak napr. využívate rodičovskú kontrolu a neumožňujete svojim deťom navštevovať niektoré kategórie stránok, tie sa dejú práve na úrovni kontroly DNS požiadaviek. Šifrovaním DoH táto služba nebude správne fungovať. Ochrana pred malvérom šíriaca sa po internete – váš antivírus a antimalvér vás chráni pred pochybnými IP adresami – lenže ako má antivírus vedieť, akú IP adresu dovoliť a akú zastaviť, ak je táto informácia šifrovaná? Problém nastáva v momente, keď zistíme, že mnoho aplikácií (či už mobilných, Windows, macOS či linuxových) natívne DoH nepodporuje, takže DoH je správna cesta, vyžaduje si však zmenu implementácie dnešných technologických riešení. Už len všetky tie nové IoT zariadenia v domácnosti s DoH v zásade nepočítali.

Riešenie? Nechajte všetku prácu za vás spraviť vášmu domácemu smerovaču (router). Smerovač všetky DNS požiadavky zašifruje až v momente, kedy sa má kontaktovať s vonkajším svetom, v rámci domácnosti funguje DNS ako ste zvyknutí. Takže aj rodičovský zámok, antimalvér, antivírus – všetko, čo je v rámci domácnosti (čo je typicky pár počítačov, mobilov a tabletov) funguje normálne, zároveň DoH chráni pred zlomyseľnými útočníkmi celú vašu rodinu z vonkajšej strany. A nemusíte byť žiaden IT guru, aby ste niečo takéto sami doma nasadili. Netreba nijak meniť ani zaužívanú architektúru, ani aplikácie, ani zariadenia. Avšak s pár klikmi môže byť váš svet bezpečnejší.