English, Nederlands
Aanmelden

DoH, DoT, QUIC en ons standpunt over privacy en security

Geschreven op 22 februari door ASK-Solutions in discussie

Afbeelding van een slotZowel privacy als beveiliging zijn complexe onderwerpen en vaak ondergewaardeerd en verkeerd begrepen. Sommige ideeën klinken goed, maar als u goed ‘onder de motorkap’ kijkt, blijkt het niet veel soeps. Andere ideeën klinken triviaal, maar na het bereiken van een dieper begrip, worden ze zeer belangrijk.

Kwaadaardige aanvallen en inbreuk op de privacy

Laten we beginnen met DNS over HTTPS (“DoH”). Veel, maar zeker niet alle cyberaanvallen, identiteitsdiefstal, phishing, malware en ransomware waarvan we slachtoffer kunnen worden, worden uitgevoerd via DNS (Domain Name Services - de service die menselijk herkenbare namen van websites en online services vertaalt naar voor de computer bruikbare adressen) spoofing. Spoofing werkt door de adressen te wijzigen die naar uw computer worden teruggestuurd wanneer u een website of een dienst probeert te bezoeken. In plaats van de website te bezoeken die u van plan was, bezoekt u een soortgelijk ogende website die een slechte payload op uw computer levert of uw bankgegevens steelt. Dit is uiteraard erg vervelend en er moet iets worden gedaan om deze vorm van aanval onmogelijk te maken.

Tegelijkertijd wordt DNS-verkeer openlijk via het internet verzonden, hoogstwaarschijnlijk naar de DNS servers van uw ISP. Daardoor kennen ze alle websites die u bezoekt en alle diensten die u gebruikt. Ze kunnen deze informatie gebruiken om waardevolle gegevens te verkopen over wat u doet en wat u leuk vindt. Nogmaals, dit is erg vervelend en er moet iets tegen worden gedaan.

Dit is waar DoH te hulp komt. Een bestaand transportprotocol dat gebruik maakt van goede en betrouwbare point to point codering kan worden gebruikt voor DNS-verzoeken. Dit lost beide problemen tegelijkertijd op. Niemand kan de geretourneerde adressen wijzigen of manipuleren, en uw ISP of het fastfoodrestaurant waarmee u toevallig verbinding maakt om uw mail en social media te controleren, kan niet langer zien welke sites u bezoekt en welke diensten u gebruikt. Ze kunnen informatie over u niet langer gebruiken en verkopen.

De dodelijke adder?

Fout. De mensen die de DoH beheren en iedereen die er controle over kan krijgen, legaal of illegaal, kan nog steeds de geretourneerde adressen wijzigen en manipuleren. In feite is dit gemakkelijker geworden. In plaats van duizenden DNS-servers over de hele wereld te moeten manipuleren, hoeven slechts een paar servers te worden gemanipuleerd om miljoenen mensen te bereiken. Dat dit de realiteit is, is al bewezen. De bedrijven die het gebruik van DoH promoten, zijn niet alleen de bedrijven die de DoH services beheren, maar het zijn ook dezelfde bedrijven die al bewezen hebben dat ze oké zijn met het manipuleren van wat u wel en niet online kunt vinden. Ze hebben al laten zien dat ze actief invloed uitoefenen op politieke resultaten, individuele mensen en bepaalde groepen censureren en zich richten op mensen met een bepaald geloof, ras, demografie en overtuigingen om hun gedrag te veranderen. Dit gaat veel verder dan het algoritme van YouTube, Facebook en Instagram. Door DoH te gebruiken, geven we ze direct controle over wat we wel en niet kunnen vinden, bezoeken en gebruiken.

Ook kunnen uw ISP en dat fastfoodrestaurant nog steeds zien welke websites u bezoekt en welke diensten u gebruikt. U maakt via hun netwerk verbinding met die websites en services. Ze zien uw verkeer en er is dus niet veel veranderd. Het werd alleen iets ingewikkelder. Ze moeten de adressen weer in namen vertalen. Klopt: sommige gegevens gaan verloren, vooral bij shared hosting, maar dat is slechts een minderheid. En sommige, zo niet de meeste verloren gegevens kunnen nog steeds op andere manieren worden verkregen.

In feite is uw privacy achteruit gegaan. In plaats van dat veel plaatsen en partijen een klein gedeelte van uw gegevens zien, worden uw gegevens nu rechtstreeks gecentraliseerd naar de big data mining-bedrijven. Ja, de bedrijven die het gebruik van DoH promoten, zijn de partijen die big data verzamelen. De bedrijven die u al profileren, krijgen nog veel meer over iedereen die DoH gebruikt.

Derde kant van de medaille

Maar er is nog een andere kant aan dit verhaal. Het wijzigen en manipuleren van de door DNS geretourneerde adressen is niet per definitie een slechte zaak. Het kan worden gebruikt voor kwaadaardige doeleinden, maar het kan ook ten goede worden gebruikt. Het kan worden gebruikt om malware te blokkeren, het kan worden gebruikt om uw privacy te beschermen, het kan worden gebruikt om advertenties te blokkeren en ongepaste inhoud te blokkeren. Producten zoals PiHole, PFSense, Untangle en Cisco Miraki gebruiken DNS-wijziging om personen, ondernemingen en systemen te beschermen tegen malware en inbreuk op de privacy. Door gebruik te maken van DoH zijn deze beveiligingen niet effectief. U bent opnieuw kwetsbaar voor malware, u wordt opnieuw gevolgd en uw gegevens worden opnieuw gelekt zonder dat iemand dit kan stoppen of voorkomen.

Maar hoe zit het met het gebruik van een HTTPS proxy om DoH verzoeken uit te filteren? Ja, dit is mogelijk. Dit vereist echter nogal wat meer rekenkracht om te doen en dus meer energie. Ook in een huis of bedrijf moet op alle machines en apparaten het certificaat van het coderingssleutelpaar van de HTTP-proxy zijn geïnstalleerd. Dit is een omslachtige taak en kan niet met alle apparaten en applicaties worden gedaan. In feite hebben de toepassingen, zoals Chrome browser, mechanismen ingebouwd om te voorkomen dat u dit kunt doen. Om te voorkomen dat u precies dit doet. Dit is ook onmogelijk voor de apparaten van bezoekers en openbare plaatsen.

Het belangrijkste is: DoH lost een probleem op dat al is opgelost. We hebben zowel DNS over TLS (“DoT”) als DNS Security Extensions (“DNSSEC”). Met DoT wordt het DNS-verkeer gecodeerd, gaat het niet naar gecentraliseerde plaatsen en kunnen we nog steeds onze privacy beschermen en ongewenste inhoud filteren. Met DNSSEC kunnen we de authenticiteit verifiëren van de adressen die door de DNS-server worden geretourneerd. We kunnen detecteren of de geretourneerde adressen zijn gemanipuleerd of authentiek zijn. DNSSEC kan zowel worden gebruikt door netwerkbeveiligings- en privacyproducten als door uw webbrowser en andere toepassingen die u gebruikt.

QUIC Verbetert de snelheid van internet

Het QUIC protocol is een ander goed voorbeeld van het oplossen van een probleem dat al is opgelost. QUIC is in feite HTTPS, maar gebruikt UDP pakketten in plaats van TCP streams als transportlaag. Een TCP stream heeft overhead voor het beheren van de stream en het betrouwbaar maken van uw verbinding. Het biedt detectie en herverzending van verloren pakketten en biedt herordenen van gegevens die niet in de juiste volgorde zijn ontvangen vanwege pakketten die een andere route hebben gevolgd vanwege traffic shaping en loadbalancing op het internet. Dit introduceert wat overhead en dus vertraging. UDP verwijdert deze overhead en verbetert uw internetervaring. Dit is tenminste wat wordt beweerd om het gebruik van dit protocol te promoten. Het internet wordt langzamer en trager en het QUIC protocol lost dit probleem op door de overhead, dus latentie en vertraging, te verminderen. Hoewel dit waar is, is het ook niet waar. Slechts een fractie van de tijd die nodig is om een webpagina te laden, wordt veroorzaakt door deze overhead. Het UDP transportmechanisme biedt niets om het opnieuw ordenen van niet geordende gegevens of het opnieuw verzenden van ontbrekende gegevens op te lossen. Beide zijn nog steeds nodig om een website succesvol te laten laden. Met QUIC lost de netwerklaag deze problemen niet op, deze worden nu verplaatst van de netwerklaag naar de webbrowser en webserver. Het opnieuw ordenen van gegevens en het opnieuw verzenden van ontbrekende gegevens gebeurt nu niet in het besturingssysteem en de netwerkapparatuur, maar in de minder veilige en minder robuuste applicatielaag. Die een vergelijkbare overhead op een andere plaats opnieuw introduceert. De echte vertraging komt van het verbinden met al die trackingservices, het opzoeken van de gegevens die over u zijn opgeslagen, het laden van de advertenties, het laden van script na script waarbij framework na framework wordt opgeroepen. De echte HTTP- en HTTPS-overhead is al afgehandeld door de keep alive mogelijkheid, ook bekend als persistente verbinding, die decennia geleden is geïntroduceerd en meerdere keren is verbeterd.

Het echte effect van het QUIC protocol is dat het erg moeilijk wordt om verbindingen te volgen vanuit een beveiligingsperspectief. Het wordt moeilijk, zo niet bijna onmogelijk om inhoud zoals advertenties te blokkeren en het volgen en verzamelen van privégegevens te voorkomen zonder de functionaliteit te slopen. Het voorkomt gedeeltelijk dat nieuwsgierige blikken u volgen, maar introduceert extra bewezen privacyproblemen. Het centraliseert de inbreuk op de privacy tot een enkele entiteit, die nu nog meer over u weet. Terwijl u tegelijkertijd informatie over u verduistert voor andere entiteiten.

Ja, maar het is echt sneller, kijk! Nee, dat is niet vanwege het QUIC protocol, maar omdat de services efficiënter zijn geprogrammeerd, met minder scripts en frameworks. Iets dat net zo gemakkelijk kan worden gedaan met zowel HTTP als HTTPS.

Destination: software freedomOns standpunt

Wij als bedrijf geloven in een vrije en open wereld waarin individuen, groepen en entiteiten, zoals de privacy van bedrijven, worden gerespecteerd. In 2002, toen we officieel werden opgericht, was onze belangrijkste focus en primaire doelstelling het ondersteunen van vrijheid en het bevorderen van een open uitwisseling van ideeën en kennis. In de loop der jaren hebben we meerdere organisaties ondersteund, zoals de Free Software Foundation, Bits of Freedom en EDRI. We gebruiken en promoten het gebruik van vrijheid respecterende hardware en software.

We bespioneren de bezoekers van onze website en onze klanten niet. Daarom wordt u op onze website niet lastig gevallen over cookies. We gebruiken geen services zoals Google Analytics of ingesloten Facebook apps op onze website. We gebruiken geen tracking afbeeldingen in onze e-mails. We willen alleen weten wat u wilt dat wij weten.

Met jarenlange expertise in IT en actief hebben deelgenomen aan de ontwikkeling van het moderne internet, kunnen we gedegen advies geven over veiligheid, privacy en vrijheid. Aan de andere kant hebben we ook de kennis in huis om moderne technieken en diensten te gebruiken zonder al te veel in te leveren op iemands privacy en vrijheid.

LinkedIn, Facebook, Volg ons op Twitter, Volg ons op Instagram, Beijk onze video's, Steun ons op Patreon
ASK-Solutions voldoet aan het ISO 9001:2008 kwaliteitswaarborg