همه چیز در مورد DoH ؛ آیا رمزنگاری DNS حفظ حریم خصوصی را تضمین می‌کند؟

DNS روی HTTPS پروتکلی است که در ماه های اخیر سر و صدای زیادی به پا کرده است. بسیاری از شرکت های ارائه دهنده این سرویس ادعا می کنند که با استفاده از آن حریم خصوصی حفظ می شود و امنیت بهبود می یابد. برخی عقیده دارند این ادعا دروغی بیش نیست اما در عین حال راهکارهای بهتری هم وجود دارد.

هر وب‌سایت، آدرس IP منحصر به فردی دارد. اما از آنجایی که به خاطر سپردن آدرس های عددی IP مشکل است معمولاً از نام آنها از جمله Digiato.com استفاده می کنیم. DNS یا «سیستم نام دامنه» پروتکلی برای یافتن آدرس های آی پی سایت‌ها است و سرورهای DNS با تبدیل نام به آدرس، نقش دفترچه تلفن اینترنت را بازی می کنند. نحوه کار DNS به طور خلاصه به این صورت است: به عنوان مثال کاربر نام سایت مورد نظر خود را در مرورگر وارد می کند و سرور DNS با تبدیل نام به آدرس IP، به سیستم عامل کاربر و در نهایت مرورگر کمک می کند نشانی سایت مورد نظر را یافته و اطلاعات آن را از میزبان سایت دریافت کند.

برخی متخصصان عقیده دارند که DoH قابلیت چندان مناسبی نیست و باید به دنبال روش های بهتری برای رمزنگاری ترافیک DNS باشیم. از جمله این روش ها DNS over TLS است که به جای مخفی کردن ترافیک DNS در HTTPS، ترافیک DNS را رمز نگاری می کند.

DNS روی HTTPS چیست؟

«DNS-over-HTTPS» یا به اختصار «DoH» که تقریباً یک نوآوری جدید به حساب می آید به عنوان یک استاندارد اینترنت در اکتبر سال 2018 معرفی شد. همین حالا اندروید از این قابلیت پشتیبانی می کند و این استاندارد در سال جاری میلادی به مرورگرهای فایرفاکس و کروم هم می آید.

تا کنون سوال و جواب های DNS از طریق متن های ساده غیر رمز نگاری شده بین یک سیستم و سرور DNS رد و بدل می شد اما DNS روی HTTPS با رمزنگاری پر‌س‌و‌جوهای DNS این فرایند را تغییر می دهد. البته یکی از نیازمندی های چنین روشی سرورهای DNS با قابلیت DoH (به نام DoH resolvers) است.

بیشتر شرکت هایی که محصولاتی سازگار با DoH را ارائه می دهند این قابلیت را به عنوان راهکاری برای جلوگیری از پایش ترافیک کاربران توسط ISPها و نیز روشی برای دور زدن محدودیت ها معرفی می کنند. اما چنینی موضوعی تا چه اندازه حقیقت دارد؟

در واقع باید گفت که این موضوع از دید بسیاری از متخصصان دروغی بیش نیست. DNS بر بستر HTTPS بر خلاف تبلیغات بسیاری از شرکت ها نمی تواند در زمینه بهبود حفظ حریم شخصی جادو کند. برخی متخصصان عقیده دارند کمپانی های بی مسئولیت با تبلیغ این پروتکلِ نصفه و نیمه، از کاربران محافظت نمی کنند. منتقدان برای DoH به ایرادهای زیر اشاره می کنند:

• از ردیابی کاربران توسط ISPها جلوگیری نمی کند.
• در حوزه سازمانی آشفتگی ایجاد می کند.
• به مجرمان کمک می کند.
• موجب تضعیف امنیت سایبری می شود.
• احتمالاً کاربران را در معرض خطر قرار می دهد.
• ترافیک DNS را بر تعداد اندکی سرور DNS با قابلیت DoH متمرکز می کند.

در ادامه به تفکیک به این مشکلات می پردازیم.

ناتوانی DoH در جلوگیری از ردیابی شدن کاربران

طرفداران DoH روی قابلیت عدم ردیابی شدن درخواست های DNS کاربران توسط ISP ها و به دنبال آن عدم ردیابی ترافیک وب آنها تأکید زیادی دارند. این موضوع که ISP ها نمی توانند درخواست های DNS کاربران را مشاهده کنند حقیقت دارد. اما مشکل اینجاست که به جز DNS پروتکل های دیگری هم در وبگردی اینترنت به کار می روند. به این ترتیب اگر ISP قصد ردیابی شما را داشته باشد می تواند از دیگر داده های تقریباً نامحدود شما بهره ببرد. برخی متخصصان حتی عقیده دارند افرادی که از DNS روی HTTPS طرفداری می کنند یا دروغ می گویند یا درک درستی از نحوه عملکرد ترافیک وب ندارند.

علاوه بر این اگر از وب‌سایتی با پروتکل HTTP بازدید کنید، DoH هیچ فایده ای ندارد و ارائه دهنده اینترنت به سادگیِ بررسی یک متن ساده می تواند از آدرس وب‌سایتی که در حال مشاهده آن هستید مطلع شود. البته از آنجایی که پروتکل HTTPS هم بی نقص نیست و بخش هایی از ارتباط تحت آن همچنان رمزنگاری نمی شوند، ISPها باز هم می توانند از وب‌سایتی که بازدید می کنید آگاه شوند. به همین دلیل متخصصان عقیده دارند که ISPها نگرانی از DNS روی HTTPS ندارند چرا که به سادگی می توانند بخش رمزنگاری نشده HTTPS را بررسی کنند.

ISPها همچنین قادرند تمامی ترافیک رد و بدل شده هر شخصی را ردیابی کنند و زمانی که یک کاربر به وب‌سایتی دسترسی می یابد به سادگی از آدرس آی پی مرتبط با آن مطلع می شوند. محققان اخیراً گزارشی را منتشر کرده اند که خبر از دقت 95 درصدی شناسایی وب‌سایت بازدید شده تنها با تکیه بر IP می دهد. به عبارتی می توان گفت مقاصد نهایی کاربران از طریق آدرس IP مشخص است، حتی اگر ترافیک رد و بدل شده رمز نگاری شده باشد.

تأثیر منفی DoH بر سیاست های سازمانی

در بسیاری از شرکت ها از سرورهای DNS محلی برای فیلتر یا مانیتور کردن ترافیک محلی استفاده می شود تا کاربران از دسترسی به وب‌سایت های غیر مرتبط با کار یا دسترسی به دامنه های حاوی بدافزار منع شوند. اما DNS بر بستر HTTPS می تواند به عنوان ابزاری برای دور زدن این گونه محدودیت های سازمانی کاربرد داشته باشد. به این ترتیب تمامی سیاست های مرتبط با DNS اعمال شده از سوی سازمان ها نقش بر آب می شوند و کارمندان می تواند از DoH برای گذر از محدودیت ها بهره ببرند.

از آنجایی که در حال حاضر سرورهای DNS امروزی از پرس‌و‌جوهای DoH پشتیبانی نمی کنند اپلیکیشن هایی که از DoH پشتیبانی می کنند از لیست از پیش تعیین شده سرورهای DoH بهره می برند و به این ترتیب DoH از تنظیمات DNS معمول در سیستم عامل مجزا می شود. ادمین های شبکه در شرکت ها گاه بر تنظیمات DNS سیستم عامل ها نظارت می کنند تا از حمله های مبتنی بر ربودن DNS جلوگیری کنند. اما با صدها اپلیکیشنی که تنظیمات DoH جداگانه دارند چنین نظارت هایی به کابوس آنها بدل می شود و عملاً نظارت بر ربودن DNS را غیر ممکن می کند.

تضعیف امنیت سایبری از طریق DoH

متخصصان معتقدند DNS روی HTTPS بسیاری از راهکارهای امنیت سایبری فعلی را بی اثر می کند؛ چرا که شناسایی کارهایی که کاربران در مرورگر بهره مند از DoH می کنند غیر ممکن یا بسیار مشکل می شود. در نتیجه تشخیص دسترسی کاربر به دامنه های آلوده و نیز مسدود کردن ترافیک با دردسرهای فراوان روبرو می شود. موسسه SANS (از بزرگترین شرکت های فعال در حوزه آموزش امنیت سایبری) اخیراً روشی برای استفاده ناشناس از DNS رمزنگاری شده ای را تشریح کرده که به هکرها امکان گذر از محدودیت های کنترلی در سازمان ها را می دهد.

به سازمان های پیشنهاد می شود برای راهکارهای امنیتی تنها به داده های مرتبط با DNS متکی نباشند. علاوه بر این در زمینه پیاده سازی راهکارهای جدید چندان هم نباید تعلل کرد؛ چرا که توسعه دهندگان بدافزارها هم از قابلیت های DNS روی HTTPS آگاه هستند و می توانند از سدهای دفاعی مبتنی بر پایش ترافیک عبور کنند. با این حال به گفته موسسه SANS مشکل این جاست که به روز رسانی های امنیتی شرکت ها برای مقابله با این موضوع نیازمند صرف هزینه و زمان است. همین موضوع سبب می شود فعلاً تمایل چندانی برای بهبود سیستم ها وجود نداشته باشد.

البته به گفته محققان راهکار بهتری هم وجود دارد: DNS روی TLS (به اختصار DoT) و DNSSEC. پروتکل DNSSEC امضایی را به داده های مرتبط با DNS اضافه می کند تا کاربر از اصیل بودن منبعی که این اطلاعات را ارائه می دهد اطمینان یابد. این پروتکل می تواند با DNS روی TLS هم ترکیب شود. DNS روی TLS پروتکلی مشابه با DNS روی HTTPS است با این تفاوت که به جای مخفی کردن ترافیک DNS در رمزنگاری HTTPS، ارتباط DNS را رمزنگاری می کند.

DoT هم از برخی معایب DoH رنج می برد اما به عقیده محققان در مقایسه، انتخاب بهتری است و دردسرهای کمتری دارد. یکی از مهمترین ویژگی های این پروتکل این است که بر خلاف DoH می تواند روی زیر ساخت های DNS فعلی پیاده سازی شود.

به گفته شرکت technitium که راهکارهای امنیت سایبری ارائه می دهد بسیاری از ISPهای مطرح DoT را پیاده سازی کرده اند و سیستم عامل های اصلی هم از آن پشتیبانی می کنند. این استاندارد به حفظ حریم شخصی و امنیت کمک می کند و در عین حال مشکل محدود شدن به چند DNS سرور کم تعداد را ندارد.

DoH به مجرمان کمک می کند

یکی از قابلیت های DNS روی HTTPS فراهم کردن قابلیتی برای گذر از سد سانسورها یا دیگر محدودیت ها است؛ به ویژه در مورد ISPهایی که بر اساس آدرس های DNS دسترسی به وب‌سایت ها را مسدود می کنند. اما DoH در عین حال می تواند برای دستیابی به محتوای تروریست محور یا خرابکارانه، وب‌سایت های سرقت محتوای دارای کپی رایت یا محتوای مسدود شده برای کودکان کاربرد داشته باشد. انتقاد دولت های ایالات متحده و بریتانیا از موزیلا و گوگل برای پشتیبانی از DoH هم به دلیل همین استفاده های مجرمانه است.

به دلیل این نگرانی ها موزیلا از سوی بریتانیا تحت فشار قرار گرفته و مجبور شده فعال بودن پیش فرض این قابلیت در فایرفاکس را برای کاربران بریتانیایی کنار بگذارد. از سوی دیگر گوگل می گوید پشتیبانی از DNS روی HTTPS را با این توجیه ارائه می کند که مسئولیت آن کاملاً بر عهده شرکت های ارائه دهنده سرویس DoH است.

DoH برخی کاربران را در معرض خطر قرار می دهد

همان طور که گفتیم DoH به تنهای نمی تواند از فاش شدن هویت کاربر یا اطلاعات رد و بدل شده او جلوگیری کند و تنها بخشی از ترافیک را رمزگذاری کرده و بیشتر بخش های آن را بدون رمزنگاری رها می کند. با این حال ممکن است از دید مقامات بسیاری از کشورها، به عنوان یک ابزار گذر از محدودیت های قانونی تلقی شود و استفاده کنندگان از آن را به جرم استفاده از ابزارهای گذر از محدودیت ها به خطر اندازد.

این در حالی است که بسیاری از کاربران نا آگاه به اشتباه تصور می کنند تنها با استفاده از DoH می توانند حریم خصوصی خود را حفظ کرده و محرمانگی را تضمین کنند. متخصصان اما می گویند استفاده از ارتباط VPN یا TOR در کنار DoH می تواند بهتر از استفاده از DoH به تنهایی از کاربران محافظت کند.

تمرکز ترافیک DNS روی تعداد اندکی سرور DoH

به عقیده موسسه APNIC که تخصیص آدرس های اینترنت برای منطقه آسیا-اقیانوسیه را مدیریت می کند این مورد تأثیر منفی است که DoH بر تمامی سرورهای DNS مرسوم می گذارد. به جای این که راهکار بی فایده ایجاد یک لایه جدید تر (از طریق DoH) را در پیش بگیریم می توانیم به روش های دیگر، ترافیک DNS را رمزنگاری کنیم؛ به طوری که نیازی به تغییر در زیر ساخت های فعلی نباشد. به این ترتیب مشکل تمرکز ترافیک های DNS بر سرورهای اندک حل می شود و همچنان می توان از همان DNS سرورهای قبلی، اما با ارتباط ایمن تر بهره برد.

DNS بر بستر HTTPS به دلیل عملکرد متمرکز، برای حفظ حریم شخصی یک نکته منفی به حساب می آید؛ چرا که هر شرکت ثالثی که این سرویس را ارائه می دهد می تواند تاریخچه تمامی پرس‌وجو های DNS را ثبت کرده، آدرس های آی پی درخواست شده را ردیابی کند و شاید در نهایت راه های سوء استفاده از این اطلاعات را فراهم نماید.

سخن پایانی

ایده کلی DNS روی HTTPS آن چیزی نیست که بیشتر مردم تصور می کنند. در واقع این پروتکل از کاربران در برابر شنود ترافیک رد و بدل شده محافظت نمی کند. متخصصان اما می گویند کاربرانی که از ارتباط VPN یا TOR برای حفظ حریم شخصی بهره می برند، با استفاده از DoH می توانند یک لایه امنیتی اضافه تر به ارتباط خود اضافه کنند.

از سوی دیگر سازمان ها باید در زمینه سیستم های فیلترینگ و پایش ترافیک جدید سرمایه گذاری کنند، چرا که به نظر می رسد دوران سیستم های نظارتی و محدودسازی مبتنی بر DNS سنتی رو به پایان است. علاوه بر این سیستم های نظارتی با قابلیت شنود ارتباطات TLS هم مورد نیاز خواهد بود. البته تمامی این سیستم های جدید هزینه بالایی را می طلبند و به همین دلیل بسیاری از شرکت ها هنوز به سیستم های مبتنی بر DNS سنتی تکیه کرده اند.

درباره نگرانی های مربوط به شرکت های ثالث ارائه دهنده رمزنگاری DNS شاید حق با موسسه APNIC باشد که معتقد است:

«رمزنگاری DNS خوب است اما اگر بدون دخالت موجودیت ثالث اجرا شود بهتر هم خواهد بود».