...

пятница, 12 июля 2019 г.

Почему Mozilla назвали «главным злодеем интернета»?

Личная приватность или общественная безопасность


В начале июля Ассоциация интернет-провайдеров Великобритании (ISPA-UK) подвела итоги ежегодной номинации «главный герой» и «главный злодей» интернета. В число «главных злодеев» попала организация Mozilla.

Это неожиданное решение. Широко известны Манифест и 10 принципов, в соответствии с которыми Mozilla обещает бороться за здоровье Интернета: «Открытый, глобальный Интернет — это самый мощный из известных нам ресурсов коммуникации и сотрудничества. Он воплощает наши самые глубокие надежды на прогресс человечества. Он предоставляет новые возможности для обучения, взаимопонимания и решения глобальных проблем».

Mozilla — одна из немногих организаций, которая ставит своей целью не получение прибыли, а именно развитие интернета и защиту пользователей. За что же ей присудили звание «главный злодей»? Оказывается, именно за это, то есть за «излишнюю» защиту пользователей. Яблоком раздора стал протокол DoH (DNS-over-HTTPS).
Согласно формулировке ISPA-UK, звание «злодея интернета» Mozilla получила «за предложенный ими подход к внедрению DNS-over-HTTPS таким образом, чтобы обойти британские обязательства по фильтрации и родительскому контролю, подрывая стандарты безопасности интернета в Великобритании».

Обратите внимание на фразу «подрывая стандарты безопасности».


Mozilla действительно принимала участие в разработке DNS-over-HTTPS, который впоследствии был оформлен в виде стандарта IETF.

«Нас беспокоят компании и организации, которые тайно собирают и продают пользовательские данные. Поэтому мы добавили защиту от слежения, — писала Лин Кларк от имени Mozilla вскоре после принятия стандарта. — Благодаря двум этим инициативам (+ Trusted Recursive Resolver) устраняются утечки данных, которые являлись частью системы доменных имен с момента её создания 35 лет назад».

Лин Кларк объясняет, как незащищённая система DNS подвергает опасности пользователей:

Обычно резолвер сообщает каждому DNS-серверу, какой домен вы ищете. Этот запрос иногда включает ваш полный IP-адрес. А если не полный адрес, то всё чаще запрос включает в себя большую часть вашего IP-адреса, что можно легко объединить с другой информацией, чтобы установить вашу личность.

Значит, каждый сервер, который вы попросите помочь с разрешением доменных имен, видит, какой сайт вы ищете. Более того, любой по пути к этим серверам тоже видит ваши запросы. Существует несколько способов, как подобная система подвергает риску данные пользователей. Два основных — трекинг (отслеживание) и спуфинг (подмена).

По полной или частичной информацию об IP-адресе несложно определить личность того, кто просит доступ к конкретному сайту. Это означает, что DNS-сервер и любой пользователь на пути к этому DNS-серверу (маршрутизатор по пути) может создать профиль пользователя. Они могут составить список всех сайтов, которые вы просмотрели.

И это ценные данные. Многие люди и компании готовы немало заплатить, чтобы увидеть вашу историю посещённых страниц.


Здесь возникает вопрос: а кто же находится «на пути к этому DNS-серверу» и «может создать профиль пользователя», который потом продать третьим лицам?

Это ваш интернет-провайдер.

Возможно, не следует воспринимать всерьёз аргумент, что «DNS-over-HTTPS позволяет обойти британские обязательства по фильтрации и родительскому контролю, подрывая стандарты безопасности интернета в Великобритании», а недовольство интернет-провайдеров объясняется гораздо проще: упущенная прибыль.

Есть и другая версия: «На самом деле, всё просто, — пишет российский эксперт Михаил Климарёв, исполнительный директор Общества защиты интернета. — Ассоциация провайдеров Великобритании давно воюет против блокировок. В итоге, они с правительством договорились на то, что блокировки будут делать „по DNS”. То есть, без всяких DPI и „по айпишнику”. Именно потому Mozilla — злодей. Ибо блокировать по DNS будет бесполезно. Точнее — об этом все и раньше знали, а Mozilla публично заявила, что теперь все это бесполезно. И теперь членам Ассоциации придется передоговариваться как-то. Или брать уроки у РКН. Вот потому Mozilla — „злодеи”».

Шифрование DNS-трафика по HTTPS уже внедрил ряд публичных DNS-провайдеров, в том числе Cloudflare (1.1.1.1, 1.0.0.1) и Google Public DNS (8.8.8.8, 8.8.4.4).


В целом, формулировка ISPA-UK предполагает, что внедрение шифрования и надёжной приватности угрожает безопасности пользователя, потому что государственный «защитник» не сможет его защищать. В данном случае DNS-over-HTTPS мешает провайдерам фильтровать вредный контент. Такая логика противопоставляет приватность и безопасность.

Личную приватность действительно можно противопоставить общественной безопасности. Сейчас идут дискуссии, что важнее и в какую сторону сместить акценты. Например, власти некоторых стран склоняются к тому, чтобы вообще запретить end-to-end шифрование в любых мессенджерах. Некоторые правительства вводят принудительную фильтрацию трафика, ограничивая доступ населения к определённому списку сайтов, как в Великобритании и России.

Сторонники противоположной концепции личной приватности указывают на распространение слежки, что в перспективе угрожает нормальной жизни человека. Об этом же сказано в Манифесте Mozilla, где принцип № 4 гласит: «Безопасность и приватность пользователей Интернета имеют основополагающее значение и не могут рассматриваться как второстепенные моменты».

Отказываясь от шифрования, человек фактически отказывается от собственной защиты и его цифровые активы становятся доступны не только государству, но и злоумышленникам. Это хорошо видно на примере DNS-over-HTTPS, которая защищает от MiTM-атак, в том числе со спуфингом страниц. Так что шифрование трафика и защита от слежки в интернете — это не вопрос выбора, а вопрос выживания в технологическом обществе будущего, говорят сторонники личной приватности.

На стороне государственных властей административный ресурс. Но с другой стороны им противостоит технологический прогресс. Дискуссия продолжается.

Let's block ads! (Why?)

Комментариев нет:

Отправить комментарий