DNS over HTTPS in Firefox

[klink0v]

Что-то я не пойму, с чего бы в интернетах поднялся такой хай и паника на тему включённого по умолчанию DNS Resolving via HTTPS в последних версиях Firefox. Мол, теперь  CloudFlare будет знать содержимое всех ваших DNS-запросов и ваши IP-адреса, так что вы отныне ни фига не анонимны и уязвимы перед американским законодательством. Я же имею сказать

Comments

[pan_2]

>>А ничего, что во всех Android-ных устройствах по умолчанию прописан "8.8.8.8" в качестве DNS? И гугол, точно такая же американская суперкорпорация знает про владельцев ведрофонов всё и даже больше. Почему-то на эту тему никто особо не парится. А в случае с Firefox-ом и CloudFlare чо-та сразу завопили.
Ну во-первых нет, иначе бы ни одно ведро не резолвило:
а) локальные имена в вай-фай сети
б) специальные имена провайдерских сервисов

>>Реальная анонимность в интернете - миф. И дело даже не в телекомах и DPI. А в том, что существует просто тонна способов отследить того или иного пользователя чисто на основании его "типичного поведения", разрешения экрана, cookie, маячков, версии ОС и браузера, JavaScript и много чего ещё.
и
>>На том же самом CloudFlare лежат горы JavaScript, картинок и прочих ресурсов, которые прилинковывают к себе бесчетное количество разнообразнейших сайтов. Что? Анонимность? Вы это серьёзно?
а) не надо путать "компания активно хантит данные о вас всеми доступными кй средствами" с "вы сами ей приносите эти данные на голубой каёмочке".
б) есть существенная разница между получением контента в процессе подгрузки, и резолвинга местонахождения этого контента + его получение, см. далее.

>>И вообще, по вашему мнению, какую практическую пользу может кто-либо извлечь из сакрального знания ваших DNS-запросов? Ну приведите мне пожалуйста хотя бы парочку примеров.
Ну рассмотрим оба варианта:
а) резолв провайдером - запрос на dns запись приходит от провайдерского dns, запрос на контент приходит от клиента
б) резолв клаудфейром - и днс и контент приходят непосредственно от клиента

Как можно кого-то редиректить "куда надо"? ДНСом.
Кто может это делать? И провайдер, и клаудфейр.
Кто может это делать вне зависимости от того, где и как (через что подключен) находится получатель?

И в целом тут упущен ещё один момент, хотя автор топика сразу заявил что TRR отключит, хе-хе:
а) когда у тебя контора на 1,5 человека - trr.mode можно ногами переставить. Когда у тебя тысяча, десятки тысяч людей....
(тоже можно, config.js, но есть объективные проблемы)
б) в режимах 1-4 (т.е. во всех, бгг) "наружу" начинают светиться внутренние адреса.
Есть ли нарушение приватности Васи "Нахер никому не сдался" Пупкина? Нет.
Есть ли нарушение приватности ООО Рога "Нахер никому не сдался" Копыта? Нет.
Нужны ли/полезны чем-либо эти адреса Клаудфейру? Нет.
Есть ли нарушение безопасности конторы, которая по каким-либо причинам интересует трёхбуквенные агенства? Да.

Ну и маленький ADD:
Аппелировать к "вы и так всё гуглу приносите" можно сколько угодно, но люди которые ставят 8.8.8.8 - хоть и ССЗБ, но это их сознательный* выбор.
Разница между "Вася сам себе поставил в резолв гугл днс" и "Мозилла всем вообще подряд втихаря сменила резолвер для браузера" - должна быть очевидна вменяемому человеку.

*иногда, конечно, это выбор основанный на недостатке знаний и/или возможностей.

[klink0v]

> иначе бы ни одно ведро не резолвило
Дык "8.8.8.8" там как Failover прописан в "build.prop". Встань сетевым сниффером на WiFi-роутер и послушай какой трафик ведроид туда-сюда гоняет. Увидишь много неожиданного и интересного.

> вы сами ей приносите эти данные на голубой каёмочке
Ага, конечно. Я вот в интернеты хожу с uMatrix. Дык половина сайтов тупо не работает и ничего не показывает, пока ты не разрешишь ему подгружать всё это прилинкованное с десятков разных доменов говно.

> рассмотрим оба варианта
Вы ушли от ответа. Я спросил "какую практическую пользу". Какая разница кто куда кого редиректит во времена повсеместного использования HTTPS / SSL ?

> когда у тебя контора на 1,5 человека
У FireFox есть штатный механизм вытягивания настроек с локального веб-сервера в момент запуска, как раз для корпоративного применения на "тысячи человек".

> в режимах 1-4 (т.е. во всех, бгг) "наружу" начинают светиться внутренние адреса
С чего это вдруг? Ну и опять же, даже если и будут. Какая от этого практическая польза тому, кто знает эти адреса? Я вот, например, знаю ваш IP-адрес, дальше что?

> по каким-либо причинам интересует трёхбуквенные агентства
Трёхбуквенные агентства придут напрямую к провайдеру / телекому либо применят терморектальный криптоанализ. Это куда проще и быстрее.

> втихаря сменила резолвер для браузера
Ну я бы не сказал, что прям "втихаря". Вон, ещё ничего реально не сменили, а уже пол-интернета бурлит. К тому же это OpenSource.

[pan_2]

>>Трёхбуквенные агентства придут напрямую к провайдеру / телекому либо применят терморектальный криптоанализ. Это куда проще и быстрее.
Это когда они могут придти. На территории USoA, или EU - могут. На других территориях - нет, без сильного влезания в covert ops, что повышает риски.
А тут - пожалуйста, оно само приходит. Более того - оно приходит само даже оттуда, где никаких дырок нет

[klink0v]

Это что должен быть за бизнес такой, чтобы он был бы интересен буржуйским трёхбуквенным агентствам? И чтобы они начали собирать какую-то непонятную информацию о нём посредством CloudFlare? Звучит как какая-то ненаучная фантастика.

Но если даже предположить, что такое может случиться в реальном мире, то у такого бизнеса наверняка найдутся сисадмины, которые знают как отключить эту фичу в FireFox. :-D

[pan_2]

>>чтобы он был бы интересен буржуйским трёхбуквенным агентствам
Ну здрааасте. Рога и копыта - нет, не интересны. А по поводу остальных - советую освежить память, всего-то года три-четыре назад была серьёзная буча, что куча европейских крупных контор были на крючке у китайцев.

>>непонятную информацию о нём посредством CloudFlare
Для forensic не бывает "непонятной" информации. Я бы даже привёл пример - если просто через DoH пройдёт запрос на внутренний домен нужной конторы - это значит, что в этой конторе есть место, где:
а) есть свободный выход в инет
б) там используется пускай и последний, но фаерфокс
в) там нет должного контроля за ИТ-ресурсами
Этого вполне может быть достаточно, чтобы начать поиски метода проникновения внутрь.

>>найдутся сисадмины, которые знают как отключить эту фичу в FireFox
Батенька, да вы оптимист.
Полно мест, где о таком и не задумаются, не потому что дураки, а потому что заняты выполнением своих обязанностей.
Ради интереса - опроси своих знакомых технарей, кто из них в курсе про DoH, планы Mozilla по включению DoH в FF и, самое интересное, смогут ли они назвать модель угроз в такой ситуации, и каким образом это можно mitigate.

[pan_2]

>>наверняка найдутся сисадмины, которые знают как отключить эту фичу в FireFox
И да, https://klink0v.livejournal.com/481775.html?thread=3079151#t3079151
;)

[pan_2]

>>Ну я бы не сказал, что прям "втихаря"
См. коммент рядом - бурлит только у тех, кто в курсе. Это где-то 1-2% пользователей Лисы.
При этом - жаль у меня ссылки не осталось, есть куча народу, которые уверенны, что это функция останется опциональной. Зная попен сорс вообще, и Мозиллу в частности, уж не говоря о том что "Firefox does not yet use DoH by default." (s) - это будет включено осенью/в конце года.

[pan_2]

>>Вы ушли от ответа. Я спросил "какую практическую пользу". Какая разница кто куда кого редиректит во времена повсеместного использования HTTPS / SSL ?
Ну, во-первых, повсеместный HTTPS имеет один интересный нюанс, любое соединение с валидным сертификатом будет считаться юзером не только безопасным (шифрованным), но и валидным.
А теперь следи за руками:
а) поступает запрос от интересующего человека/диапазона адресов (вычленение этого пользователя - за рамками примера, но они вполне реализуемы)
б) запрос идёт на ... допустим top-secrets.ru, говорим клиенту не валидный ответ, а посовываем ему свой сервер.
в) "Но ведь HTTP/S, сертификаты!" Ага. Там будет сертификат. Для его проверки браузер что сделает? Посмотрит в его CDP и ... пойдёт на указанный адрес. Отрезолвив его через что? Через тот же DoH.
г) Редиректим это всё на дроп, географически близкий к клиенту, чтобы не вызывать лишних подозрений из-за адреса в США (либо изначально редиректим его гео-близкий дроп, но это уже нюансы)
д) У пользователя - полное ощущение что всё секурно и безопасно, ведь зелёненький значок, ошибок и воплей не было, вот только вся сессия идёт через MitM.

[klink0v]

Здрасти-мордасти! CDP носит чисто справочный характер. А все цепочки X509-сертификатов в конечном итоге упираются в CA, который лежит локально (на жёстком диске, флешке и т.п.). Если бы работа SSL действительно настолько зависела бы от DNS, то ей была бы грош цена. Подучите матчасть, дяденька.

[pan_2]

Ну во-первых не локально, а в списке Trusted Root CA.
Во-вторых - на свете нет публичных сертификатов для веба выданых Root CA, всегда выдача идёт через Issuing CA, а вот они как раз могут не быть в системе, и для них идёт построение цепочки.
В-третьих, я не стал вдаваться в технические нюансы конкретно этой атаки, она - как пример что можно сделать. В конце-концов, случаи выдачи валидных сертификатов (и тыренья валидных) для левых дел - известны, так что построение доверенной цепочки - не так уж сложно. А вот направить клиента в нужное русло раньше можно было только действуя на последней миле, а вот с помощью DoH, находящегося в нужных руках - гораздо проще.

[klink0v]

Господин pan_2, не позорьтесь пожалуйста. И не пишите всякую совсем уж откровенную ерунду. Я уже понял, что вы вообще не в теме как работают механизмы X509. Если захотите продолжить предметный спор - будьте добры всё-таки изучить основные принципы X509. А эти и прочие ваши фантазии насчёт китайских шпионов мне комментировать уже не хочется. С теориями заговора можете податься на какое-нибудь телевизионное ток-шоу, там это любят.

[pan_2]

Ну да, куда уж мне, яж сертификаты только вчера увидел, 1T/2T только в фантазиях разворачивал, ага.

И можете считать теорией заговора что угодно, практика от этого не изменится - все постоянно ищут лазейки куда залезть. Специально для вас есть даже статья Chinese intelligence activity abroad, рекомендую ознакомиться, сколько людей с "теориями заговора".

И да, кроме CDP есть ещё и CRL, куда более важный для потдверждения валидности предявленного сертификата.

[klink0v]

Не знаю где вы там что разворачивали. Я делаю свои выводы на основании того, что вы пишете здесь и сейчас.

Насчет CRL вопрос интересный. С одной стороны, он точно так же подписывается CAшкой и имеет ограниченный срок действия (обычно около суток), так что взять и подделать его не получится. С другой стороны, как будет действовать браузер, когда не дождется ответа от CRL-сервера? Мои наблюдения показывают, что потупит-потупит, да и пропустит. Но всё равно такие атаки - что-то на уровне фантастики. Слишком много звёзд должны сойтись в одном месте. Ну и да, по большей части нонче в реальном мире от CRL уже отказались в пользу Stapled OCSP.

[pan_2]

>>пишете здесь и сейчас.
Это всегда ключевое, потому что даже старуху бывает порнуха. В смысле поднимаю лапки, цдп ненужен, сервер отдаёт цепочку сам и всё такое.

>>С другой стороны, как будет действовать браузер, когда не дождется ответа от CRL-сервера?
Зависит от браузера, потому что если используется системный certificate services, то это касается ОС целиком. Для вин* как раз стандартное поведение - проигнорировать, Поданс хорошо это расписывал.

>>Слишком много звёзд должны сойтись в одном месте
Да на самом деле нафиг не нужны такие сложности. Напомню, что истории с Реалтековским сертификатом уже 8 лет - раз, а два - когда ЦС под колпаком (а тот же Верисайн ловили на тёмных делишках), то даже нет необходимости морочиться со звёздами, просто приходишь и получаешь сертификат и ключик - всё, заруливай трафик на себя, читай плейн-текст. В этих условиях даже 2FA во многих случаях не поможет никак, опять-таки - будет иллюзия безопасности, вместо безопасности.