На початку липня Асоціація інтернет-провайдерів Великобританії (ISPA-UK) підвела підсумки щорічної номінації «головний герой» і «головний лиходій» інтернету. У число «головних лиходіїв» потрапила організація Mozilla.
Це несподіване рішення. Широко відомі Маніфест і 10 принципів, відповідно до яких Mozilla обіцяє боротися за здоров’я Інтернету: «Відкритий, глобальний Інтернет – це найпотужніший з відомих нам ресурсів комунікації і співпраці. Він втілює наші найглибші надії на прогрес людства. Він надає нові можливості для навчання, взаєморозуміння і вирішення глобальних проблем».
Mozilla – одна з небагатьох організацій, яка ставить собі за мету не отримання прибутку, а саме розвиток інтернету і захист користувачів. За що ж їй присудили звання «головний лиходій»? Виявляється, саме за це, тобто за «зайвий» захист користувачів. Яблуком розбрату став протокол DoH (DNS-over-HTTPS).
Згідно з формулюванням ISPA-UK, звання «лиходія інтернету» Mozilla отримала «за запропонований ними підхід до впровадження DNS-over-HTTPS таким чином, щоб обійти британські зобов’язання по фільтрації і батьківського контролю, підриваючи стандарти безпеки інтернету в Великобританії».
Mozilla дійсно брала участь у розробці DNS-over-HTTPS, який згодом був оформлений у вигляді стандарту IETF.
«Нас турбують компанії і організації, які таємно збирають і продають призначені для користувача дані. Тому ми додали захист від стеження, – писала Лін Кларк від імені Mozilla незабаром після прийняття стандарту. – Завдяки двом цим ініціативам (+ Trusted Recursive Resolver) усуваються витоки даних, які були частиною системи доменних імен з моменту її створення 35 років тому».
Лін Кларк пояснює, як незахищена система DNS наражає на небезпеку користувачів:
«Зазвичай Резолвер повідомляє кожному DNS-серверу, який домен ви шукаєте. Цей запит іноді включає вашу повну IP-адресу. А якщо не повну адресу, то все частіше запит включає в себе більшу частину вашої IP-адреси, що можна легко об’єднати з іншою інформацією, щоб встановити вашу особистість.
Значить, кожен сервер, який ви попросите допомогти з дозволом доменних імен, бачить, який сайт ви шукаєте. Більш того, будь-хто по дорозі до цих серверів теж бачить ваші запити. Існує кілька шляхів, якими подібна система може піддавати ризику дані користувачів. Два основних – трекінг (відстеження) і спуфинг (підміна).
За повною або частковою інформацією про IP-адресу нескладно визначити особистість того, хто просить доступ до конкретного сайту. Це означає, що DNS-сервер і будь-який користувач на шляху до цього DNS-сервера (маршрутизатор по шляху) може створити профіль користувача. Вони можуть скласти список всіх сайтів, які ви переглянули.
І це цінні дані. Багато людей і компаній готові чимало заплатити, щоб побачити вашу історію відвіданих сторінок».
Тут виникає питання: а хто ж знаходиться «на шляху до цього DNS-сервера» і «може створити профіль користувача», який потім продати третім особам?
Це ваш інтернет-провайдер.
Можливо, не слід сприймати всерйоз аргумент, що «DNS-over-HTTPS дозволяє обійти британські зобов’язання по фільтрації і батьківського контролю, підриваючи стандарти безпеки інтернету в Великобританії», а невдоволення інтернет-провайдерів пояснюється набагато простіше: втрачений прибуток.
В цілому, формулювання ISPA-UK передбачає, що впровадження шифрування і надійної приватності загрожує безпеці користувача, тому що державний «захисник» не зможе його захищати. В даному випадку DNS-over-HTTPS заважає провайдерам фільтрувати шкідливий контент. Така логіка протиставляє приватність і безпеку.
Особисту приватність дійсно можна протиставити громадської безпеки. Зараз йдуть дискусії, що важливіше і в який бік змістити акценти. Наприклад, влада деяких країн схиляються до того, щоб взагалі заборонити end-to-end шифрування в будь-яких месенджерах. Деякі уряди вводять примусову фільтрацію трафіку, обмежуючи доступ населення до певного списку сайтів, як у Великобританії і Росії.
Прихильники протилежної концепції особистої приватності вказують на поширення стеження, що в перспективі загрожує нормальному життю людини. Про це ж сказано в Маніфесті Mozilla, де принцип № 4 говорить: «Безпека та приватність користувачів Інтернету мають основоположне значення і не можуть розглядатися як другорядні моменти».
Відмовляючись від шифрування, людина фактично відмовляється від власного захисту і його цифрові активи стають доступні не тільки державі, але й зловмисникам. Це добре видно на прикладі DNS-over-HTTPS, яка захищає від MiTM-атак, в тому числі зі спуфінгом сторінок. Так що шифрування трафіку і захист від стеження в інтернеті – це не питання вибору, а питання виживання в технологічному суспільстві майбутнього, говорять прихильники особистої приватності.
На стороні державної влади адміністративний ресурс. Але з іншого боку їм протистоїть технологічний прогрес. Дискусія триває. А що важливіше для вас?
Джерело: habr.com