Firefox empeñado en usar DoH por defecto. ¿Obliga a elegir entre privacidad y seguridad?

Sergio De Los Santos    7 octubre, 2019
Firefox empeñado en usar DoH por defecto. ¿Obliga a elegir entre privacidad y seguridad?

Si todavía no has oído hablar de DNS over HTTPS, deberías empezar a ponerte al día. No es un debate que se oiga precisamente en las pescaderías, pero en otros foros, donde realmente se decide el Internet del futuro, el asunto está que arde. DNS over HTTPS viene a ponerlo todo patas arriba tal y como lo conocemos. Y como en todo, se han formado dos bandos: principalmente Firefox y los demás. Firefox, con la excusa de la privacidad, está friccionando con el resto de actores de la industria.

Rápido, qué es DoH

DNS es uno de los protocolos más antiguos de la red, y siempre ha sido un dolor de cabeza de de la seguridad (desde el ataque cumpleaños, hasta el problema de Kaminsky). Todo en claro, con posibilidad de UDP (más fácil aún de inyectar paquetes falsos…). Un desastre incluso sin necesidad de ataques, porque los servidores pueden estar controlados por gobiernos y así redirigir o bloquear peticiones, y todo de forma absolutamente transparente y sin privacidad ni integridad (porque DNSSEC no está tan instaurado como debería). Hemos confiado los cimientos de Internet a un protocolo que no ha sabido protegerse tecnológicamente como para que se adoptaran masivamente las soluciones (o no se ha querido, precisamente por esa misma razón) y al que se le han aplicado todo tipo de parches y cataplasmas para no romper con el legado. Tanto, que al final la propuesta para conseguir seguridad ha sido rompedora: pasar la resolución al plano de los datos. Y por si fuera poco, DoH hace que la resolución no confíe en el DNS global del sistema, sino que podrá ignorar a ese servidor DNS que habitualmente se te proporciona por DHCP… de forma que cada aplicación podrá resolver a través de HTTPS de forma estándar. Esto es como si cada programa (navegador como estandarte) realizara sus resoluciones de dominio de forma individual, privada e inaccesible para el resto del sistema operativo o aplicaciones.

Pero esto no es malo, ¿verdad?, ¿no sería maravilloso que nadie viera qué intentamos resolver, y no pudiera modificarlo de ninguna forma? Disfrazar en el HTTPS las peticiones, las respuestas, y dejarse arrastrar por la masa en un puerto que nadie puede cortar, el 443. No más espías o restricciones. Eso es lo que promete DoH, con Firefox como abanderado, pero ¿rompe más de lo que arregla?

Desde el punto de vista de los navegadores, es su oportunidad de ganar poder, no solo porque ya conocen la tecnología HTTPS y les cuesta poco, sino porque pueden incrustar dentro del navegador el resolvedor al que se consultará por defecto. Y aquí entramos en el asunto con más problemas.

Elige: Privacidad o Seguridad

Ya se oyen las primeras quejas contra DoH. Cuando se dice que hay quien impulsa DoH aun cuando existen alternativas menos problemáticas como DNS over TLS, o que quieren obligar a usar DoH y resolver un problema que no existe, se están refiriendo a la fundación Mozilla. Sin duda el abanderado de la privacidad en Internet. Quiere que todo el mundo use DoH por defecto en su navegador y así lo está implementando.

¿Qué problema tiene esto? ¿No es cierto que se gana en privacidad? Sí, tanta que no se pueden ejercer controles, incluso beneficiosos, para el usuario. No se podrán filtrar dominios maliciosos, cortar el acceso a redes fraudulentas, etc. ¡La internet totalmente libre, eso no es una mala noticia! Sí, pero muchos usuarios seguirán prefiriendo que se les filtren ciertos dominios y además que sea coherente en todo el sistema operativo. Y no lo decimos nosotros solamente. Paul Vixie (uno de los padres del DNS) está radicalmente en contra, y promueve el uso de DNS sobre TLS en vez de sobre HTTPS. Una de las razones que argumenta es que (a pesar de sonar aguafiestas) se ha permitido finalmente abrir una especie de caja de Pandora, los analistas perderán control sobre la red, la capacidad de monitorizar, se confunden protocolos de señalización y datos… Pero tampoco lo dice Vixie solamente, sino que muchas voces siguen pensando que es un error. Tanto, que la asociación de ISP en UK nombraron a Mozilla “villano del año”. Finalmente en ese país no se activará pero ya lo están haciendo selectivamente en USA y el plan es que sea el comportamiento por defecto.

Se podría argumentar que los ISPs quieren mantener el control de las peticiones, por eso están en contra de DoH. En realidad, si los ISP prefiriesen DNS “en claro” porque quisieran invadir la privacidad, el argumento no se sostiene. Si realmente su propósito fuera invadir la privacidad, incluso con DoH, un ISP dispondría de otros métodos para conocer los dominios. Desde el SIN hasta las IPs. Eso sí, es cierto que los MiTM atacantes no tendrían visibilidad de los dominios.

¿Y en las redes corporativas, en las que se deben usar los equipos bajo la política de la compañía? De nuevo tenemos un problema. Muchas soluciones de seguridad cuentan con conocer o filtrar los dominios a los que se conectan los usuarios para poder disponer de logs, filtros, etc. Una pesadilla para muchos administradores.

Tanto es así, que hay peticiones de jueces elevadas al congreso para detener los planes de estandarizar DoH. Y todavía hay más problemas, como por ejemplo el hecho de que DoH puede llegar a reconcentrar todavía más las resolución en unas pocas compañías.

¿Qué otras opciones hay?

Mozilla está en el punto de mira porque es la más beligerante y agresiva en su política de DoH por defecto. Por otro lado, Chrome usará otra estrategia. Se trata de una tabla propia donde se mapeará DNS con sus respectivos servidores DoH. Si los DNS de sistema tienen asociado un DoH, resolverá por el DoH de ese DNS. Esta es una aproximación a medio camino interesante. Si un servidor DNS dispone de versión DoH, se pueden seguir aplicando las políticas de seguridad necesarias, con lo que se alivian buena parte de los problemas, manteniendo los beneficios. Como la tabla es insostenible a largo plazo, ya existe una propuesta RFC para incluir tu DoH en tu DNS a través de un registro TXT o del propio HTTPS.

Conclusiones

Mozilla está complemente decidida a que por defecto, el usuario aumente su privacidad al margen de los ISP con solo usar su navegador. Liberarse del DNS tradicional. Es genial poder elegir. Los usuarios de Firefox suelen tener un perfil como para poder hacerlo sabiamente. De hecho hemos publicado un plugin de Firefox para facilitar el uso de DoH. Pero muchos de los argumentos blandidos como excusa para imponerlo son muy matizables. DoH no es la panacea de la privacidad porque por un lado existen alternativas igualmente efectivas, y por otro impacta sobre otros aspectos igual de importantes que la privacidad. ¿Cómo sopesamos esto?

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *