Личная приватность или общественная безопасность
В начале июля Ассоциация интернет-провайдеров Великобритании (ISPA-UK) подвела итоги ежегодной номинации «главный герой» и «главный злодей» интернета. В число «главных злодеев» попала организация Mozilla.
Это неожиданное решение. Широко известны Манифест и 10 принципов, в соответствии с которыми Mozilla обещает бороться за здоровье Интернета: «Открытый, глобальный Интернет — это самый мощный из известных нам ресурсов коммуникации и сотрудничества. Он воплощает наши самые глубокие надежды на прогресс человечества. Он предоставляет новые возможности для обучения, взаимопонимания и решения глобальных проблем».
Mozilla — одна из немногих организаций, которая ставит своей целью не получение прибыли, а именно развитие интернета и защиту пользователей. За что же ей присудили звание «главный злодей»? Оказывается, именно за это, то есть за «излишнюю» защиту пользователей. Яблоком раздора стал протокол DoH (DNS-over-HTTPS).
Согласно формулировке ISPA-UK, звание «злодея интернета» Mozilla получила «за предложенный ими подход к внедрению DNS-over-HTTPS таким образом, чтобы обойти британские обязательства по фильтрации и родительскому контролю, подрывая стандарты безопасности интернета в Великобритании».
Обратите внимание на фразу «подрывая стандарты безопасности».
DNS-over-HTTPS
Mozilla действительно принимала участие в разработке DNS-over-HTTPS, который впоследствии был оформлен в виде стандарта IETF.
«Нас беспокоят компании и организации, которые тайно собирают и продают пользовательские данные. Поэтому мы добавили защиту от слежения, — писала Лин Кларк от имени Mozilla вскоре после принятия стандарта. — Благодаря двум этим инициативам (+ Trusted Recursive Resolver) устраняются утечки данных, которые являлись частью системы доменных имен с момента её создания 35 лет назад».
Лин Кларк объясняет, как незащищённая система DNS подвергает опасности пользователей:
Обычно резолвер сообщает каждому DNS-серверу, какой домен вы ищете. Этот запрос иногда включает ваш полный IP-адрес. А если не полный адрес, то всё чаще запрос включает в себя большую часть вашего IP-адреса, что можно легко объединить с другой информацией, чтобы установить вашу личность.
Значит, каждый сервер, который вы попросите помочь с разрешением доменных имен, видит, какой сайт вы ищете. Более того, любой по пути к этим серверам тоже видит ваши запросы. Существует несколько способов, как подобная система подвергает риску данные пользователей. Два основных — трекинг (отслеживание) и спуфинг (подмена).
По полной или частичной информацию об IP-адресе несложно определить личность того, кто просит доступ к конкретному сайту. Это означает, что DNS-сервер и любой пользователь на пути к этому DNS-серверу (маршрутизатор по пути) может создать профиль пользователя. Они могут составить список всех сайтов, которые вы просмотрели.
И это ценные данные. Многие люди и компании готовы немало заплатить, чтобы увидеть вашу историю посещённых страниц.
Здесь возникает вопрос: а кто же находится «на пути к этому DNS-серверу» и «может создать профиль пользователя», который потом продать третьим лицам?
Это ваш интернет-провайдер.
Возможно, не следует воспринимать всерьёз аргумент, что «DNS-over-HTTPS позволяет обойти британские обязательства по фильтрации и родительскому контролю, подрывая стандарты безопасности интернета в Великобритании», а недовольство интернет-провайдеров объясняется гораздо проще: упущенная прибыль.
Есть и другая версия: «На самом деле, всё просто, — пишет российский эксперт Михаил Климарёв, исполнительный директор Общества защиты интернета. — Ассоциация провайдеров Великобритании давно воюет против блокировок. В итоге, они с правительством договорились на то, что блокировки будут делать „по DNS”. То есть, без всяких DPI и „по айпишнику”. Именно потому Mozilla — злодей. Ибо блокировать по DNS будет бесполезно. Точнее — об этом все и раньше знали, а Mozilla публично заявила, что теперь все это бесполезно. И теперь членам Ассоциации придется передоговариваться как-то. Или брать уроки у РКН. Вот потому Mozilla — „злодеи”».
Шифрование DNS-трафика по HTTPS уже внедрил ряд публичных DNS-провайдеров, в том числе Cloudflare (1.1.1.1, 1.0.0.1) и Google Public DNS (8.8.8.8, 8.8.4.4).
Личная приватность или общественная безопасность
В целом, формулировка ISPA-UK предполагает, что внедрение шифрования и надёжной приватности угрожает безопасности пользователя, потому что государственный «защитник» не сможет его защищать. В данном случае DNS-over-HTTPS мешает провайдерам фильтровать вредный контент. Такая логика противопоставляет приватность и безопасность.
Личную приватность действительно можно противопоставить общественной безопасности. Сейчас идут дискуссии, что важнее и в какую сторону сместить акценты. Например, власти некоторых стран склоняются к тому, чтобы вообще запретить end-to-end шифрование в любых мессенджерах. Некоторые правительства вводят принудительную фильтрацию трафика, ограничивая доступ населения к определённому списку сайтов, как в Великобритании и России.
Сторонники противоположной концепции личной приватности указывают на распространение слежки, что в перспективе угрожает нормальной жизни человека. Об этом же сказано в Манифесте Mozilla, где принцип № 4 гласит: «Безопасность и приватность пользователей Интернета имеют основополагающее значение и не могут рассматриваться как второстепенные моменты».
Отказываясь от шифрования, человек фактически отказывается от собственной защиты и его цифровые активы становятся доступны не только государству, но и злоумышленникам. Это хорошо видно на примере DNS-over-HTTPS, которая защищает от MiTM-атак, в том числе со спуфингом страниц. Так что шифрование трафика и защита от слежки в интернете — это не вопрос выбора, а вопрос выживания в технологическом обществе будущего, говорят сторонники личной приватности.
На стороне государственных властей административный ресурс. Но с другой стороны им противостоит технологический прогресс. Дискуссия продолжается.
Автор: GlobalSign_admin