Набравши у своєму інтернет-браузері назву сайта, наприклад meinexbeliebigebank.de, і натиснувши кнопку Enter, ми використовуємо в цей момент одну з найстаріших служб інтернету — Domain Name System (DNS). Служба порівнянна з телефонною книгою. Вона перетворює назву домена (у цьому прикладі meinexbeliebigebank) і позначення після крапки країни (de) на придатну для прочитання комп’ютером адресу сервера. Отже, у нашому випадку виходить «212.227.116.221».
Система із короткою назвою DNS функціонує як перелік адрес чи телефонна книга. Замість запам’ятовувати складні номери користувач може шукати назву. І як телефонна книга надавала для імені Макс Мюллєр із Мустерманнштрасе точний телефонний номер, так сервер DNS забезпечує бездоганне поєднання легкої для запам’ятовування інтернет-адреси (імені домену) з її цифровою версією (IP-адресою). Цей процес відбувається через так звані DNS-сервери. Вони є немов сторінками сучасної телефонної книги й забезпечують відповідність легких для запам’ятовування інтернет-адрес і коректних цифрових комбінацій. Отже, коли користувач вводить інтернет-адресу, URL передається на DNS-сервер, а той скеровує користувача до належної ІР-адреси, себто на інтернет-сторінку.
Читайте також: Крістін Дюґуен: «Остерігайтеся своїх гострих емоційних реакцій на інформацію»
Досі своїм клієнтам такі DNS-сервери надавали провайдери, наприклад Deutsche Telekom чи Vodafone. Але цьому має настати кінець. Принаймні якщо ситуація розвиватиметься так, як цього хочуть розробники браузерів Google та Mozilla. Їхній аргумент — класичний сервіс DNS став ненадійним. Тому вони, кажучи просто, самі бажають контролювати телефонну книгу й при цьому приховувати адресні запити своїх користувачів від потенційного «зазирання» сторонніх осіб та інтернет-шпигунства.
Незахищений Wi-Fi у готелях і кафе
Однак таким чином розробники браузерів намагаються перебрати на себе принципову компетенцію в мережі, яка досі була в інтернет-провайдерів, які через роботу DNS-серверів могли точно простежити, де в мережі бувають їхні клієнти та навіть визначати, куди їм заходити не можна, блокуючи записи в телефонній книзі. Тоді внесена адреса домену не пов’язується з ІР-адресою і користувач просто не може потрапити на сайт.
Наприклад, у Великій Британії провайдери таким способом уже блокують доступ до різних порносайтів і сторінок, де поширюються піратські копії. Блокування на рівні DNS-серверів передбачають і різні системи захисту дітей.
Використовуючи доступ до інтернету з увімкненими захисними фільтрами, після введення адреси сайта з чорного списку потрапляєш на повідомлення про помилку чи про те, що сторінку заблоковано.
Однак злочинці також охоче користаються тим, що службі Domain Name System понад 30 років і їй бракує функцій безпеки. Стандартна технологія для них — DNS-викрадення. Нападники видають своїй жертві маніпульований DNS‑сервер за правильний і на запит подають підроблену адресу. І коли користувач вводить адресу meinexbeliebigebank.de, раптом опиняється не на сторінці банку, а на підробленій сторінці зловмисників. Так вони можуть отримати реєстраційні дані користувача, який ні про що не здогадується.
Читайте також: Андреас Геґґман: «Людину можна розглядати як першу лінію оборони»
Особливо проблематичною є безпека DNS у Wi-Fi-мережах готелів і кафе. Адже там користувачі інтернет-зв’язку взагалі не знають, хто контролює DNS-сервер. Наприклад, запити можуть проходити через сервери готельної мережі. То чи шпигують інші за тим, куди заходить користувач? Невідомо.
Google також хоче активувати DoH
Mozilla віддавна працює над альтернативою класичному DNS-серверу. У майбутньому браузер Firefox має напряму кодувати адресні запити користувачів і направляти їх на глобальний, вартий довіри сервер. Цей новий стандарт називається DNS over HTTPS, скорочено DoH. Завдяки шифруванню вся інформація про запити користувачів у мережі перенаправляється, оминаючи локального інтернет‑провайдера. Це нівелює його вплив. Локальні чорні списки та системи батьківського контролю для захисту дітей більше не діють. Лобі інтернет-провайдерів обурилося. Так, британська спілка ISPA влітку номінувала Mozilla на «інтернет-грішника» року. У Mozilla висловили здивування, і через кілька днів провайдери номінацію відкликали. Протест, однак, демонструє, що безпекові інтереси провайдерів і користувачів не завжди збігаються: перші хочуть блокувати порно та піратські копії, другі хочуть мати надійне підключення для відвідування будь-яких сайтів.
«У суспільстві слід збалансовувати приватні та публічні безпекові інтереси», — коментує в розмові з Die Welt голова фонду Mozilla Мітчел Бейкер. — Ми вважаємо, що тут переважає приватна безпека, але ведемо переговори з провайдерами». Однак Mozilla йде на поступки й хоче відключити нову службу DoH у районах з активними фільтрами захисту дітей. Нині DoH однаково активують лише для користувачів у США. Активувати DoH у своєму браузері Chrome у майбутньому хоче й Google. Нещодавно компанія випробувала цю функцію. Як результат — із протестом виступили й американські провайдери, а Google опинилася в центрі уваги політики США. Лобістські організації NCTA, CTIA і US-Telecom висунули претензії, що Google використовує своє панування на ринку, щоб забрати в них дані про активність користувачів у мережі.
Американські провайдери зазвичай використовують дані про активність користувачів для цільової реклами чи навіть через DNS-викрадення перенаправляють на власні рекламні платформи. Зважаючи на це, лобісти цілком свідомі того, що їхній аргумент «DoH — це нахабство, бо ми більше не зможемо шпигувати за нашими користувачами» звучить принаймні дещо абсурдно. Тому вони вивели в поле зору Конгресу США захист неповнолітніх і боротьбу з інтернет-піратством.
Читайте також: Стрес-тест
Критики вважають, що в небезпеці ключова ідея інтернету
Прозоріші аргументи в компанії Deutsche Telekom, яка на запит Die Welt відверто заявила про власний інтерес до даних щодо активності своїх користувачів: «Боротьба за доступ і володіння даними почалася в багатьох сферах. Розробники браузерів хочуть приховано змінити всю технологічну модель інтернету», — каже керівник відділу безпеки компанії Томас Черзіх.
«Наслідки ще неможливо цілком спрогнозувати. Однак те, що розробники браузерів врешті матимуть повну інформацію про дії користувачів у мережі, не може бути в інтересах останніх, оскільки тільки компанії отримуватимуть та опрацьовуватимуть запити DNS». Хоча Telekom та інші німецькі провайдери не використовують DNS із метою реклами, дані все ж таки цінні, наприклад, для оптимізації завантаженості власної мережі. Відповідний комітет Конгресу США наприкінці вересня витребував у Google додаткову інформацію. Однак концерн іще до того запевнив, що не використовуватиме в рекламних цілях дані власної DNS-служби. Отже, у планованому стандарті DоH залишається питання, якому DNS-сервісу мали б довіряти користувачі.
Для якомога швидшого отримання відповіді в США Mozilla використовує DNS-сервіс «1.1.1.1» оператора мережі Cloudflare. Критики ініціативи Mozilla заявляють, що Cloudflare відіграє в мережі критичну роль, бо адресні запити всіх користувачів Firefox компанія може використовувати для оптимізації власних мереж. Окрім того, американські установи можуть просто з одного джерела отримувати дані користувачів з усього світу та навіть маніпулювати їхньою поведінкою в мережі.
Долучаються до критики й розробники протоколу, як-от нідерландець Берт Губерт, який вказує на те, що в майбутньому Mozilla без відома користувачів може змінювати «телефонну книгу». Центральний DNS-сервер послабить головну ідею інтернету — якомога децентралізованіший, убезпечений від збоїв доступ до мережі.
З такими аргументами виступають і критики Google, які не радять використовувати DNS-сервер Google за адресою «8.8.8.8». Тому користувачі повинні вирішити, якому постачальникові DNS вони хочуть довірити дані про свої дії в мережі: локальному провайдерові, Google, Cloudflare чи альтернативним службам, як-от OpenDNS. Зважаючи на критику, IETF, міжнародне співтовариство, яке опікується стандартизацією та розвитком архітектури мережі, хоче задіяти в листопаді власних експертів, щоб зробити старий DNS-стандарт безпечнішим, не створюючи при цьому нових централізованих серверів DNS.