DNS Over HTTPS (DoH) e os problemas de segurança e privacidade

A indústria de segurança da informação, bem como os profissionais da área, têm se esforçado em trazer soluções que nos ajudem a ter mais segurança e privacidade durante nossa navegação na Internet. A maioria dessas tecnologias são “invisíveis”, pois geralmente funcionam no background, ou seja, podem estar nos servidores que hospedam os sites que visitamos, nos servidores que direcionam nossas requisições quando digitamos no navegador o site que queremos visitar etc.

Pelo fato dessas tecnologias serem invisíveis, não sabemos e não temos a certeza do que realmente está ocorrendo durante o tráfego dos dados e, na maioria dos casos, ficamos suscetíveis a falhas que comprometem a segurança e a privacidade de nossas informações. O recente DNS Over HTTPS (DoH) é um exemplo de tecnologia que foi criada com o objetivo de nos proporcionar uma navegação segura, mas que possui alguns poréns.

Uma pequena introdução sobre DNS e DNSSEC

Durante a sua navegação na web (pelo seu smartphone, tablet, computador ou notebook, por exemplo), é utilizado quase que 100% o protocolo DNS.

O DNS (Domain Name System) é um protocolo que efetua a resolução de nomes de domínios (como os endereços de sites, p. ex. uol.com.br, google.com.br) para endereços IP. Um endereço IP é uma sequência de números separados por pontos, que além de funcionar como a “identidade” daquele website, identifica a nossa conexão à Internet (da nossa residência, trabalho, Internet móvel 3G/4G, etc.), nossos computadores e celulares conectados no wifi, dispositivos IoT (Internet of Things / Internet das Coisas), como geladeiras, aquários, sistemas de segurança residenciais, entre outros.

Mas o DNS possui diversas falhas de segurança, já que ele não foi projetado pensando em segurança ou privacidade de dados. Dentre essas falhas temos, por exemplo, o envenenamento de cache e o sequestro de DNS, que permitem aos atacantes redirecionar as requisições dos usuários e levá-los a sites falsos de phishing ou que disseminam malware para o roubo de dados sensíveis.

Para resolver boa parte dos problemas encontrados no DNS, foi criado o protocolo de segurança DNSSEC (Domain Name System Security, ou Extensões de Segurança do Sistema de Nomes de Domínio). O DNSSEC protege contra diversos ataques ao assinar digitalmente os dados em todos os níveis de pesquisa de DNS. Se pegarmos, por exemplo, o site google.com, um root DNS server (servidor DNS raiz) assinaria uma chave para o servidor de nomes .COM, que assinaria uma chave para o servidor de nomes autoritativo do GOOGLE.COM.

Se você administra websites e tem acesso ao painel de administração, é importante verificar se o provedor fornece suporte para as entradas de DNSSEC.

DNS Over HTTPS (DoH) e as questões sobre segurança e privacidade

O DNS Over HTTPS (DoH) foi criado há alguns anos e é um padrão desde outubro de 2018. Assim como o DNSSEC, o DoH adiciona algumas funcionalidades de segurança, mas nesse caso temos a criptografia das consultas DNS, que são “disfarçadas” de tráfego HTTPS. Toda consulta DNS é enviada para os DoH Resolvers, que respondem à requisição do usuário de forma criptografada.

O foco do DoH é impedir que provedores de serviços de Internet rastreiem as requisições de DNS de seus usuários, de forma que, em teoria, não saibam sobre que sites estão visitando. Essa solução de privacidade é ideal para países que censuram os acessos de seus habitantes ou se os usuários não querem  que seus provedores saibam os sites que estão visitando. Muitas empresas (não todas, que fique bem claro) e organizações estão abraçando o DoH de forma a serem reconhecidas como empresas que se preocupam com a privacidade dos dados de seus usuários/clientes.

O problema em se usar resolvedores DoH públicos

• Vazamento das informações de DNS: Se um servidor DNS interno de sua organização for burlado através da configuração de um resolvedor de DoH público, os domínios requisitados pelo usuário serão vazados para o resolvedor de DoH público;
• Impacto na resolução interna de DNS: Além de vazar informações sobre nomes internos para um DoH público, ocorrerá a falha na resolução de nomes internos, impactando assim os serviços que dependem desses nomes;
• Dificuldade para impedir a detecção de malware (que tira proveito do sistema de DNS):
  • Alguns sistemas existentes na organização detectam malware observando padrões no tráfego DNS e procuram por comportamentos anômalos. Esse recurso, quando implementado no DNS da organização, é uma forma de preservar essa funcionalidade, mas que será possível somente se o servidor DNS for controlado pela própria empresa;
  • O malware configurado para utilizar o DoH poderia validar se está falando com o DoH de sua escolha ao validar o certificado TLS. Somente o operador do DoH teria as chaves privadas necessárias para construir o certificado correspondente, então fica quase impossível interceptar as consultas DNS do malware se fizesse uma validação.

• Resolvedor de DoH menos confiável: Um resolvedor de DoH pode ser menos confiável do que o resolvedor de DNS comum, dependendo principalmente da jurisdição, de políticas dos operadores do DNS e qualquer relacionamento que o usuário/host tenha com uma das partes;
• Servidor DoH malicioso: Se a escolha pelo servidor DoH for alterada, o novo servidor DoH poderá ser malicioso. Isso poderá interferir em outros componentes do navegador (plug-ins) que dependem do DNS para executar suas atividades, incluindo possivelmente a prevenção de malware etc;
• O DoH não impede o rastreamento do usuário:
  • O DNS não é o único protocolo envolvido na navegação web. Ainda existem diversos outros pontos que os provedores podem rastrear para saber a URL visitada pelo usuário;
  • Se um usuário estiver acessando um site carregado via HTTP, utilizar o DoH não surtirá efeito, pois o provedor ainda saberá qual URL o usuário está acessando, simplesmente observando por requisições HTTP em texto puro;
  • O mesmo também ocorre se um usuário estiver acessando sites em HTTPS. Os provedores saberão qual site o usuário está visitando porque o protocolo HTTPS não é perfeito e algumas partes da conexão HTTPS não são criptografadas;
  • Especialistas dizem que os provedores não serão afetados pelo DoH, porque podem observar facilmente partes em HTTPS que não são criptografadas, como os campos SNI e conexões OSCP.

O que fazer?

Especialistas recomendam que para se ter um ambiente mais seguro, em vez de utilizar o serviço de DNS padrão, deve se optar pelo DNSSEC e o DNS Over TLS (DoT) ou DNS sobre TLS.

O DoT é similar ao DoH, mas criptografa a conexão DNS diretamente, em vez de ocultar o tráfego dentro do HTTPS.

O DoT compartilha algumas das mesmas desvantagens do DoH, mas se os pesquisadores de segurança tivessem que escolher entre o DoH e o DoT, este último causaria muito menos dores de cabeça – pois funcionaria sobre a infraestrutura DNS existente, em vez de você ter de criar sua própria classe de resolvedores compatíveis.

Para saber mais:

ZDNet: DNS-over-HTTPS causes more problems than it solves, experts say

CircleID: DNS-over-HTTPS: Privacy and Security Concerns

Profissionais TI: Servidor DNS: DNSSEC e Ciberataques DNS