Mielőtt átgondolatlanul állítgatnád a DNS-címeid…

cloudflare-dns-szolgaltatas

A Cloudflare nemrég rukkolt elő a https://one.one.one.one/  public DNS-szolgáltatással, a bejelentésben mi mást ígérnének, ha nem azt, hogy jobb hellyé teszik az internetet.

Mi ez, és ki fogja használni?

Ez az úgynevezett DNS over HTTPS szolgáltatás, ami végre elrejti a himi-humi internetszolgáltatók elől, hogy mi mit böngészünk, mert többé nem hozzájuk kerül a DNS-lekérdezés, hogy turkálhassanak benne, statisztikázzanak, majd a végeredményt eladják jó pénzért, hanem titkosított csatornában jut el egy, azaz egy (megbízható?) helyre, az 1.1.1.1 címre.

Nem mellesleg az egyszintű, tehát egylépéses lekérdezés sokkal gyorsabb, mint nagyapáink elvei szerint össze-vissza kódorogni a neten, és begyűjteni egy nyomorult IP-címet. Az elosztott DNS jó ötletnek tűnt, amikor a világ összes memóriakapacitása kevesebb volt, mint 1 MB, de manapság…?

Jó hírünk van, a DNS over HTTPS most, 2018. októberében szabvánnyá vált, az RFC 8484 alatt találjuk.

Sajnos a felhasználók többségének a DHCP miatt  sok-sok éve nem kell foglalkoznia azzal, hogy elsődleges és másodlagos DNS-szervert kézileg állítson be, hiszen ezt éppen a DHCP miatt megkapja a szolgáltatótól, a VPN-szolgáltatótól, esetleg a munkahelye saját DNS1, DNS2 szervereket használ.

Pedig a DNS szerverek szerepe nagyon alaposan felértékelődött és ki is bővült, képesek figyelmeztetni a felhasználót, ha valamilyen nagyon rázós webhelyre tévednének például. Ilyen esetben nem a megcélzott weblap IP-címét küldik el a böngészőnek, hanem a saját hibaoldalukra irányítják. Az OpenDNS [208.67.222.222, 208.67.220.220], a Google Public DNS [8.8.8.8, 8.8.4.4] vagy éppen a Comodo által kínált public DNS esetén ez mind alapértelmezés.

Teljesen világos, hogy ezt csak úgy képesek megtenni, ha valamilyen szinten információt gyűjtenek arról, hogy egy-egy hoszttal kapcsolatban mennyi névfeloldási kérés érkezett, valamint, “behind the scenes”, hogy a feloldott hosztnevek és címek összefüggésbe hozhatók-e például botnet-aktivitással, vagy egyáltalán bármilyen forgalommal, ami a kliensre nézve veszélyes lehet.

Azaz a public DNS felold, nagyon gyorsan ellenőrzi, hogy nem vezetné-e a klienst valamilyen veszélyes vidékre, majd ezt követően kiszolgál. Az aktuálisan leggyorsabb DNS-szolgáltatók listája a https://www.dnsperf.com/#!dns-resolvers linken érhető el, ahol, ahogyan az várható volt, a Cloudflare által nemrég használatba vett 1.1.1.1 lett az első.

A Cloudflare 1.1.1.1 oldaláról kiderül minden szép és jó. Aki nem ma kezdte el használni az internetet, nem csoda, ha szkeptikus egy olyan szolgáltatással kapcsolatban, ami azt ígéri, hogy semmilyen (!!) információt nem gyűjt – nem teszi hozzá, hogy ennek megfelelően nem is ellenőriz, így pedig nem nehéz a leggyorsabbnak lenni – ingyenes, na meg “használd, aztán jó lesz”…

Amit még érdemes megjegyezni, hogy a DNS-szerverek sebességét gyakran összefüggésbe hozzák az internetezés effektív sebességével, amiben annyi a ráció, hogy egy-egy hírportál betöltődéséhez akár 60-70 névfeloldásra is szükség lehet, de a feloldás milliszekundumokban mérhető, elhanyagolható amellett, hogy a böngészőkbe a tényleges tartalmak milyen sebességgel érkeznek, a böngészőmotor azt milyen sebességgel rendereli.

Ha behatóbban érdekel a DNS működése, érdemes lehet követni a NetAcademia LinkedIN-oldalának feedjén megjelenő Tudástár-videókat, ahol a hozzáféréshez szükséges meghívókódokat is megtalálod.

Üzenetküldők, amik felfedik az új mobilszámod (is) egy creepy fícsörön keresztül

viber-sebezhetosegMindenki számára ismerős jelenség, aki használ Vibert, Whatsappot, Telegramot, Signalt, LINE-t vagy hasonlót, hogy időnként megjelenik egy üzenet arról, hogy “Alice éppen regisztrált, köszönj neki!”.

A háttérben persze az történik, hogy amikor Alice regisztrál például a Viberre, az összes olyan felhasználónál, ahol a Viber telepítve van és Alice regisztrációhoz használt hívószáma el van mentve a telefonkönyvükben, amit alapértelmezés szerint a Viber folyamatosan olvas és össze tud vetni a már regisztrált, cloudban tárolt számokkal, ez alapján jelez. Alice erről persze alighanem nem tud, hacsak nem olvasta el a maratoni hosszúságú T&C-t.

Ami viszont ennél sokkal érdekesebb, hogy ha egy Viber felhasználó új mobilszámot kezd használni, ugyanakkor nem akarja a korábbi Viber accountját törölni és teljesen újat létrehozni, lehetősége van a meglévő accounton a szám átírására is. Ekkor pedig olyasmi történik, ami privacy szempontból minimum juicy: az összes kontakt értesítést kap róla, hogy Alice Viberen használt hívószáma megváltozott és arról is, hogy egészen pontosan milyen korábbi számról milyen új számra. Viszont ez már némileg más mechanizmus alapján történik, itt kezdődik az izgalmas rész!

A Viber ugyanis ezt a figyelmeztető üzenetet egyrészt az előbb ismertetett mechanizmus alapján dobja szét, másrészt azoknak a felhasználóknak _szintén_, akik Alice telefonkönyvében el vannak mentve és használják a Vibert. A leginkább creepy az egészben, hogy sajnos azok a felhasználók is értesülnek róla, akiket Alice esetleg le is tiltott, mivel ezt az adatot már az üzenetküldő nem látja, viszont ahhoz, hogy egy szám tiltva legyen, valahol a mobil oprendszerének nyilván tárolnia kell olyan bejegyzéssel, hogy le van tiltva.

IRL: ha Alice szakított Bobbal, majd Bobot mindenhol letiltotta, esetleg azért változtatta meg a mobilszámát (amit csak nagyon kevesen tudnak) hogy Bob nehezebben tudja elérni, a Viber Bob előtt fel fogja fedni Alice új mobilszámát!

Az, hogy a világ legnagyobb felhasználói bázisával rendelkező közösségi webes szolgáltatásai folyamatosan dolgoznak azon, hogy a privacy beállítások áttekinthetőbbek legyenek a felhasználók számára, nemes dolog, ennek ellenére mégis azt látjuk, hogy tömegeknek még mindig túlságosan bonyolult ezeket a beállításokat megfelelően megadni.

A viberes eset pedig pláne olyan, amivel kapcsolatban nem várható el egy átlagos felkészültségű felhasználótól, hogy tudja, ami akár kockázat is lehet, ha ne adja isten, Bob hogy úgy fogalmazzunk, a kelleténél jobban ragaszkodik a Alice-hoz a szakítás után. Külön pikáns a sztoriban, hogy a Viber gyakorlatilag éppen az ellenkezőjét csinálja, mint amit ígér, hiszen elvben nincs kizárva, hogy egy VM-re telepített Androidon, amiben el van mentve több tízezer mobilszám és futtat egy Vibert, kimondottan azt kövesse, hogy ki mikor regisztrált vagy változtatott mobilszámot, olyan finomságokról nem is beszélve, hogy a Viber sokáig, talán még mindig alapértelmezés szerint a Facebook profilképet használta avatarképként ill. nagyon gyakran azt állítja be a felhasználó, valamint a szolgáltatás mutatja, hogy a felhasználó mikor volt utoljára akív.

Ahogy Keleti Arthur megjegyezte egyszer, nagyon közel van az az éra, amikor már teljesen esélytelen lesz még a megfelelő privacy beállítások megadása is a felhasználók saját döntéseik alapján, egyszerűen azért, mert túlságosan bonyolultak, ezért majd beállítja helyettük valamilyen jólnevelt AI. Hogy a beállítások milyen áttekinthetetlenül bonyolultak tudnak lenni, ennek megfelelően épphogy nem az a célt szolgálják, amire kitalálták őket, arról a Google Plus-szal foglalkozó posztban is írtunk.