Току-що сте заредили страницата — а провайдърът вече знае за какво ще мислите през следващите 10 минути
Дори посредством HTTPS е допустимо да се види къде работите, какво харесвате и кого подкрепяте – и това не е бъг, а стандарт.
Въпреки необятното разпространяване на HTTPS, който пази наличието на уеб уеб страниците от прихващане, към момента на показ са изложени огромен размер данни за активността на потребителите. Една от тези уязвими области са имената на домейните на уебсайтовете, които елементарно се прихващат от мобилните оператори, провайдърите и хакерите. Тези данни, даже в минимални количества, могат да бъдат употребявани за профилиране, изнудване или целенасочени офанзиви против избрани категории хора, в това число държавни чиновници и други уязвими групи.
Повърхностното разглеждане на уеб страниците може да ни каже повече за даден човек, в сравнение с той допуска. Служител на Гугъл организира елементарен опит: той събра имената на домейните на всички уеб сайтове, които е посещавал в продължение на един час. Това било задоволително, с цел да се създадат заключения за актуалното местонахождение на индивида, местоработата му, професионалните и персоналните му ползи и евентуалните му връзки. Такива заключения могат да бъдат автоматизирано изведени и мащабирани благодарение на усъвършенствани аналитични системи.
Примери за това, което имената на домейни могат да ви кажат за даден консуматор Проблемът е, че при предпазената HTTPS връзка имената на домейните изтичат най-малко в две точки. Първата е DNS поръчката: когато браузърът се пробва да дефинира IP адреса на уеб страницата. Исторически видяно, тези поръчки се изпращат без криптиране, което разрешава следене на това какви запаси се посещават. Втората е етапа TLS ClientHello, когато браузърът инициира връзка със сървъра и предава параметрите за криптиране. Преди да стартира самото криптиране, известието съдържа некриптираното име на уеб страницата, належащо за вярното избиране на документа от страна на сървъра. Едва след отговора ServerHello стартира цялостната отбрана на трафика.
И двете точки са уязвими от години, като главната причина за това са два порочни кръга. Първо, разработчиците не се опитваха да поправят единствено един от каналите за приключване, в случай че вторият по този начин или другояче оставаше отворен – в последна сметка успеваемостта на отбраната следователно е съмнителна. Второ, потребителските и сървърните решения не бяха координирани: браузърите и операционните системи не внедриха поддръжка за криптирани DNS поръчки, тъй като сървърите не предлагаха такава алтернатива, и назад.
Стъпките за приемане на достъп до уеб страницата За да прекъсне този цикъл, Гугъл стартира със отбрана на DNS поръчките. Заедно с екипа на Jigsaw компанията спонсорира работни групи в границите на IETF (Internet Engineering Task Force), които имат за цел да разработят и разпространят сигурни DNS протоколи. Криптираният DNS е внедрен в Android, Chrome, обществената DNS услуга на Гугъл и посредством приложението Jigsaw Intra. С присъединяване на други компании, като Cloudflare, Mozilla Firefox и Quad9, са предпазени повече от един милиард консуматори от целия свят.
На този декор държавните организации също започнаха да обръщат внимание на уязвимостите в DNS. В Съединени американски щати Службата за ръководство и бюджет (OMB) изиска от всички федерални организации да преминат към криптиран DNS до края на 2024 година, базирайки се на нуждата от усилване на киберзащитата на държавната инфраструктура. В Европа сходни разпореждания се съдържат в Регламента за използване на Директивата NIS2, в който са залегнали „ най-хубавите практики за сигурност на DNS “.
След като реализира забележителен прогрес във връзка с DNS, Гугъл насочи напъните си към втората основна точка на приключване – криптирането на данните в известието ClientHello. Тази стъпка се разисква от дълго време в границите на IETF, само че едвам неотдавна получи цялостно приложение под формата на стандарта Encrypted Client Hello (ECH). Освен това е създадена спомагателна спецификация за даване на ключове за криптиране на ECH, което освен прави предаването на данни несъмнено, само че и форсира установяването на сигурна връзка.
Поддръжката на новия стандарт е осъществена в браузъра Chrome, както и в криптографската библиотека BoringSSL, която се употребява в разнообразни приложения. Гугъл работи в тясно съдействие с Cloudflare, с цел да тества съвместимостта и да форсира внедряването, като удостовери, че технологията може да се ползва на процедура. През идващите седмици стандартът ECH ще бъде оповестен от IETF, което ще проправи пътя за необятното му приемане в браузърите и системите.
Въпреки това новата степен на криптиране не значи загуба на надзор за мрежовите админи, учебните заведения или предприятията. В Android и Chrome внедряването на предпазен DNS разрешава да се конфигурира държанието му посредством корпоративни политики и да се избере желан провайдър. Протоколите са подредени по този начин, че да криптират самия канал за данни, само че оставят контрола на равнище клиент. Това значи, че родителският надзор и отбраната от злонамерени уеб сайтове към момента работят – или посредством потребителски решения, или посредством провайдърите. CISA разгласява насоки за внедряване на криптиран DNS, с цел да се реализира баланс сред неприкосновеността на персоналния живот и условията.
С увеличението на заканите, подсилени от потреблението на невронни мрежи и генеративен изкуствен интелект, нуждата от цялостно криптиране на трафика става все по-очевидна. Гугъл е ангажирана с неприкосновеността на персоналния живот и ще продължи да влага в създаването и разпространяването на технологии като криптиран DNS и ECH. Широкото съдействие с други компании, държавни управления и софтуерната общественост може да промени архитектурата на интернет, с цел да стане той в действителност сигурен и частен.
