DoH, l'últim pas per a garantir la privacitat en la web

2019/12/01 Leturia Azkarate, Igor - Informatikaria eta ikertzaileaElhuyar Hizkuntza eta Teknologia Iturria: Elhuyar aldizkaria

• Softwarea
• Internet

En un article escrit en aquest apartat fa gairebé cinc anys (concretament al gener de 2015), es comptava com els principals agents de la web estaven prenent mesures perquè ningú pogués espiar l'activitat dels usuaris. Com allí s'indicava, s'acabava de presentar una nova versió del protocol HTTP/2 en la qual la navegació es realitza sempre que sigui possible sobre HTTPS (tota la comunicació va xifrada en el protocol HTTPS). Tots els navegadors web ja havien implementat el protocol HTTP/2 per a finals de 2015.

En aquest article també s'informava de l'emissor de certificats Let’s Encrypt, de pròxima creació, que promogués l'ús d'HTTPS en els servidors web. Aquesta iniciativa permetria per primera vegada als servidors web obtenir i renovar els certificats digitals de manera gratuïta i senzilla. El servei es va posar en marxa a l'abril de 2016 i crec que s'ha ampliat molt.

No obstant això, encara quan les comunicacions amb una web es realitzen íntegrament a través d'HTTPS, existeix un altre complement molt important i necessari de la navegació web, que de moment no compta amb mesures de seguretat i privacitat, i que ens deixa indefensos davant l'espionatge i els paranys: Sistema DNS.

Què és el sistema DNS?

DNS significa Domain Name System, és a dir, el sistema de noms de domini. Els noms de domini són noms utilitzats pels éssers humans per a identificar els serveis i pàgines web: www.google.com, www.berria.eus... No obstant això, els servidors web s'identifiquen i localitzen en Internet a través d'una adreça IP com 172.217.4 o 145.239.192.54. Per tant, perquè un navegador web pugui accedir a una pàgina web és necessari que sàpiga prèviament l'adreça IP a la qual pertany el nom de domini sol·licitat. I per a això és el sistema DNS.

DNS és un dels serveis d'Internet. I es tracta d'un servei distribuït, en el qual alguns servidors tenen informació d'uns dominis i uns altres d'uns altres. El nostre ordinador realitza la primera sol·licitud a un resolutor de DNS, qui canalitza les sol·licituds a altres servidors fins a obtenir l'adreça IP corresponent al nom de domini.

Problemes del protocol DNS

El protocol DNS és anterior a la web en 1983 i a penes ha sofert canvis o actualitzacions de seguretat importants des de llavors. Les sol·licituds i respostes de DNS no van xifrades, la qual cosa comporta riscos de seguretat i falta de privacitat.

D'una banda, el nostre proveïdor de serveis d'Internet, el propietari del Wifi al qual ens hem connectat, així com tots els servidors i encaminadors intermedis que travessen la ruta de peticions i respostes de DNS, veuen la sol·licitud de DNS que estem realitzant i per tant la web que volem visitar. Això es pot aprofitar, per exemple, per a fer un perfil de les nostres preferències i vendre'l a empreses de publicitat.

D'altra banda, qualsevol persona en curs pot modificar l'adreça IP de la resposta i enviar-la a una pàgina innecessària. Així, quan sol·licitem la visita a la web del nostre banc o proveïdor de correu, ens poden dirigir a una pàgina web maliciosa del mateix aspecte i robar les nostres dades. O si estem en un gran punt de venda i volem aprofitar el telèfon per a veure si un producte té menys cost la competència, si ens connectem a través del Wifi del punt de venda, ens poden dir que la web de la competència no funciona. A pesar que aquests casos són una mica extrems i no tan habituals, aquesta mateixa modificació de la resposta de DNS s'aprofita per a la censura; recentment, per exemple, per a tancar les pàgines web de Tsunami Democràtic. S'encarrega als proveïdors d'Internet que redirigeixin les sol·licituds a aquests dominis a una altra adreça IP en la qual es mostra una pàgina web que indica que s'ha tancat aquesta web.

Solució DoH

La solució pot ser DoH (DNS over HTTPS), la tecnologia que realitza les peticions i respostes de DNS a través del protocol xifrat HTTPS. Així, en estar els missatges xifrats, els implicats no poden veure quin domini volem visitar i canviar l'adreça IP de resposta.

Els principals navegadors web ja ho han implementat. Firefox fa més d'un any però no per defecte, hem d'activar-lo manualment. El navegador Chrome de Google també ho permet des de setembre d'enguany i Android des de la versió 9.

Fins i tot alguns resolutores de DNS ja ho han implementat, com la coneguda empresa Cloudflare, que és la que utilitza Firefox per defecte. Chrome, per part seva, utilitza un resolutor DoH que ofereix Google.

Realment és la solució?

DoH està tenint difusió però no tothom ho veu bé. També està rebent crítiques i ha suscitat més d'una polèmica.

D'una banda, diuen que amb DoH res garanteix que el resolutor de DNS no faci el perfil de la nostra navegació i l'embeni a les empreses de publicitat i tenen raó, en aquest cas caldria cridar-li DNS ebasle (perdona, acudit ;-). Però això és alguna cosa que mai es podrà evitar, sempre haurem de confiar en el dansi.

D'altra banda, fins al moment tots els serveis d'Internet han utilitzat un resolutor de DNS definit per a tots a nivell de sistema operatiu d'ordinador. En les xarxes domèstiques, el nostre proveïdor de serveis d'Internet sol ser el resolutor definit en l'encaminador i en les d'empresa, el definit pels administradors del sistema. Ells poden col·locar filtres en els resolutores de DNS o en el propi encaminador per a evitar l'accés a diferents llocs. El programari utilitzat per a restringir les pàgines web en les quals els nostres fills poden navegar també utilitza el sistema DNS, així com antivirus i tallafocs que eviten webs malicioses. No poden fer-ho si el navegador web substitueix el DNS del sistema per un resolutor DoH.

Finalment, el sistema DoH evita la censura abans esmentada. Pots comprovar-ho fàcilment: Activa DoH en els ajustos de Firefox i podràs veure sense problemes la web de Tsunami Democràtic. I, per descomptat, els governs no els agrada això...

A la vista de les crítiques d'empreses, proveïdors de connexió a Internet, fabricadores de programari i governs, Mozilla ha afirmat que Firefox comprovarà si existeix un filtre empresarial o parental instal·lat en la xarxa o en el sistema i que en aquest cas no utilitzarà DoH. Afegeix que en alguns països no prioritzarà DoH fins que s'acordi com acceptar els possibles bloquejos de govern. Però, com decidirà quins països són legítims els bloquejos de govern i quina són la censura? Només a la Xina, Turquia, etc. posarà DoH per a evitar la censura? I a Espanya i a França? Al final, entre altres coses, Mozilla obre el camí perquè el sistema creat per a evitar la censura sigui acceptat en alguns casos.

A la vista de tot això, és clar que quan en el títol hem dit que DNS over HTTPS és l'últim pas per a garantir la privacitat en la web, que vol dir l'últim i que no serà més que necessari... Aquest tema de la seguretat i la privacitat en la web encara portarà una llarga corda.