Prywatność, a wiedza usługodawcy internetowego o tym jak rozpoznajemy domenę. Czyli resolver DNS trochę bardziej prywatnie dzięki Cloudflare i DNS przez TOR.

Pytacie nas często o to jak wygląda obecnie „prywatność w sieci” ? To kwestia która w dzisiejszych czasach, czasach w których stajemy się „produktem” dla wielu korporacji i dostawców usług, spędza sen z powiek osób które choć odrobinę zdają sobie sprawę z potencjalnego naruszenia ich prywatności w trakcie surfowania w sieci. Oczywistym dla niektórych (dla innych mniej świadomych w temacie trochę mniej…) jest to, że nasze zapytania DNS są przesyłane w sposób umożliwiający w pewnych sytuacjach ich obserwowanie przez dostawców usług z których korzystamy, zarówno przez dostawców oprogramowania urządzeń, jak i dostawców internetu, a także dostawców usług takich jak serwery DNS z których korzystamy każdego dnia. Oczywiście rozwiązaniem jest tutaj korzystanie z DNS over HTTPS na porcie 443, DNSCrypt przez port 443, lub eksperymentalnych usług DNS over TLS na porcie 853 które przesyłają nasze zapytania do serwera DNS szyfrowanym protokołem w teorii uniemożliwiających ich podejrzenie przez ISP czy administratorów sieci, w teorii oczywiście, bo taki ruch oczywiście w pewnych sytuacjach może zostać „rozszyty” a przesyłane zapytania podejrzane, zarówno przez dostawcę usług, jak również przez atakującego.

Dostawcy protokołów DNS-over-TLS:
Cloudflare IPv4 {cloudflare-dns.com (1.1.1.1:853), cloudflare-dns.com (1.0.0.1:853)}
Cloudflare IPv6 {cloudflare-dns.com ([2606:4700:4700::1111]:853), cloudflare-dns.com ([2606:4700:4700::1001]:853)}
Google IPv4 {dns.google (8.8.8.8:853), dns.google (8.8.4.4:853)}
Google IPv6 {dns.google ([2001:4860:4860::8888]:853), dns.google ([2001:4860:4860::8844]:853)}
Quad9 Secure IPv4 {dns.quad9.net (9.9.9.9:853)}
Quad9 Secure IPv6 {dns.quad9.net ([2620:fe::fe]:853))

Dostawcy protokołów DNS-over-HTTPS:
Cloudflare (https://cloudflare-dns.com/dns-query)
Google (https://dns.google/dns-query)
Quad9 Secure (https://dns.quad9.net/dns-query)

Dostawcy protokołów DNS-over-HTTPS (JSON):
Cloudflare (https://cloudflare-dns.com/dns-query)
Google (https://dns.google/resolve)
Quad9 Secure (https://dns.quad9.net/dns-query)

Oczywiście w przypadku dostawcy samej usługi DNS są one dla niego jawne i widoczne. Jest na to jednak pewne dość ciekawe rozwiązanie które już kilka lat temu zaoferowało Cloudflare, uruchamiając pierwszą usługę trochę bardziej zorientowaną na klienta, usługę resolvera 1.1.1.1 Cloudflare z obsługą DNS over TOR.

Chociaż Cloudflare informuje, że nie zapisuje adresów IP klientów i czyści wszystkie dzienniki w ciągu 24 godzin, oraz obiecuje, że nie będzie sprzedawać danych stronom trzecim 3rd, to osoby wyjątkowo dbające o prywatność mogą w ogóle nie chcieć ujawniać swojego adresu IP w trakcie przesyłania zapytań DNS. U innych dostawców takich jak np. Google (resolver DNS 8.8.8.8 i 8.8.4.4) dostawca resolver’a obiecuje prowadzić tymczasowy dziennik przez 24 do 48 godzin, który zawiera pełne dane oraz adres IP użytkownika. I stały dziennik, który zawiera dane osobowe. Nie ma żadnych szczegółów dotyczących sposobu wykorzystania tych danych lub komu są udostępniane. U innego alternatywnego dostawcy DNS Quad9 (resolver DNS 9.9.9.9) dostawca obiecuje, że nie przechowują żadnych dzienników, a jedynie anonimowe dane statystyczne dotyczące określonych nazw domen, które zawierają takie rzeczy, jak nazwa domeny, znacznik czasu, geolokalizacja, całkowita liczba trafień itp. Całkiem sporo danych, czyż nie ?

Czy można coś w tej kwestii zrobić, aby jeszcze bardziej zadbać o swoją prywatność i zmniejszyć przy okazji ilość targetowanych w nas reklam rozmaitych produktów powiązanych coraz ściślej z naszymi wynikami wyszukiwania w sieci ? Tu pojawia się właśnie wspomniane rozwiązanie oparte o DNS przez sieć TOR, dostępne pod onion’owym adresem dns4torpnlfs2ifuz2s2yf3fc7rdmsbhm6rw75euj35pac6ap25zgqad.onion i za pośrednictwem tor.cloudflare-dns.com. Korzystanie z resolvera rozpoznawania nazw DNS opartego o .onion zapewnia, że usługodawca internetowy tak łatwo nie dowie się, że to ty rozpoznajesz konkretną domenę, węzły wyjściowe nie mają szansy manipulować odpowiedziami DNS, a resolver rozpoznawania nazw DNS nie powiąże z nimi twojego prawdziwego adresu IP. Jak na swoim blogu informuje Cloudflare „.. unikalną korzyścią z używania resolwera opartego na Cloudflare .onion jest połączenie mocy Tor’a ze wszystkimi zachowującymi prywatność funkcjami resolvera 1.1.1.1, takimi jak minimalizacja zapytań, a także z zespołem inżynierów pracujących nad ulepszeniem go na każdym poziomie, w tym standardami takimi jak DNS-over-HTTPS i DNS-over-TLS. Jak powiedział dyrektor generalny Matthew Prince około dwa lata temu, anonimowość w Internecie jest powodem, który cenimy w Cloudflare.”

Brzmi ciekawie ? Jak zatem skorzystać z dostępnego rozwiązania ?

Jeśli nasz DNS posiada obsługę konfiguracji serwera proxy, który oczywiście może być skonfigurowany tak, aby używał Tor’a działającego na naszym serwerze (skonfigurowanego jako proxy SOCKS5) i używał ukrytej usługi DNS Cloudflare w sieci .onion, pojawia się pytanie „Dlaczego nie spróbować ?!”.

Wystarczy skonfigurować dns4torpnlfs2ifuz2s2yf3fc7rdmsbhm6rw75euj35pac6ap25zgqad.onion jako forwarder, a ponieważ wszystkie żądania usług ukrytych w sieci Tor są z natury szyfrowane end-to-end, można użyć z nim protokołu DNS-over-TCP. Taka konfiguracja znacząco zwiększy anonimowość w zakresie przesyłanych zapytań DNS. Taka konfiguracja ukrywa zapytanie przed usługodawcą internetowym, a także w znacznym stopniu ukrywa twoją tożsamość przed Cloudflare. Czy o to nam chodziło ? Dokładnie tak 😉 A tak na poważnie, jeśli naprawdę jesteś paranoikiem, ale nie za bardzo rozumiesz o czym tutaj piszemy, po prostu używaj przeglądarki Tor do przeglądania stron internetowych 🙂