Dnes je šifrované spojení na internetu přes HTTPS standardem a věříme, že rozumní administrátoři toto považují za skutečný základ. Šifrování HTTPS totiž pomáhá chránit citlivé informace přenášené přes internet, jako jsou hesla, čísla kreditních karet, ale i běžnou komunikaci.
Nicméně volání DNS (překlad webové adresy na IP adresu) se zatím odehrává v nešifrovaném světě, v praxi jde o prostý text! Když nyní zadáte do webového prohlížeče adresu blog.firma.com, prohlížeč se zeptá několika DNS serverů a čeká na odpověď od prvního, aby mu prozradil, za jakou IP adresou se „schovávají“ data, která chce načíst. Webový prohlížeč je pak načte a zobrazí.
Snadno získané informace
Takže všechny kontaktované DNS servery včetně směrovačů, přes které data procházejí, si mohou snadno přečíst informace, které stránky uživatel navštěvuje. Na první pohled možná bezcenný kus dat, pokud si však šikovný algoritmus dokáže zanalyzovat jeho chování na webu (díky tomu, které stránky čte, kde nakupuje apod.), mohou být tato data použita například na lépe cílenou reklamu. Co je však horší, pokud útočník vidí požadavek uživatele, může mu předhodit jinou odpověď, než očekává – jde o typický scam, tzn. DNS Hijacking. A právě zde přichází do hry DNS přes HTTPS – technologie šifrování, která požadavky DNS (překlady adres) zašifruje a umožní pouze prohlížeči daného uživatele a vybraným DNS serverům rozklíčovat překlad. Takže útoky typu „spoofing“ se stanou minulostí. Služby DoH již dnes podporují i giganti jako Google či Cloudfare.
Šifrování má háček
Na první pohled to vypadá všechno výborně, kde je však háček? Paradoxně v samotné ochraně soukromí. Pokud je například využívána rodičovská kontrola a dětem není umožněno navštěvovat některé kategorie stránek, děje se to právě na úrovni kontroly DNS požadavků a šifrováním DoH, takže tato služba nebude správně fungovat. Ochrana před malwarem šířícím se po internetu – antivirus a antimalwarer sice chrání před pochybnými IP adresami, jenže jak má antivirus vědět, kterou IP adresu povolit a kterou zakázat, pokud je tato informace šifrována? Problém nastává v momentě, kdy zjistíme, že mnoho aplikací (ať už mobilních, Windows, MacOS či linuxových) nativní DoH nepodporuje. DoH je sice správná cesta, vyžaduje však změnu implementace dnešních technologických řešení. Už jen všechny ta nová IoT zařízení v domácnosti, které s DoH v zásadě nepočítala.
Jedno z řešení
Veškerou práci může udělat domácí směrovač (router). Například díky Synology Router Manageru (SRM verze 1.2.3) je nasazení DoH otázkou tří kliků. Například směrovač Synology RT2600ac všechny DNS požadavky zašifruje až v momentě, kdy se má kontaktovat s vnějším světem, v domácnosti DNS funguje tak, tomu bylo doposud. Takže i rodičovský zámek, antimalware, antivirus – vše, co je v domácnosti (což je typicky pár počítačů, mobilů a tabletů), funguje normálně, a DoH zároveň chrání před útočníky celou rodinu z vnější strany. Nikdo přitom nemusí být žádný IT guru, aby něco takového sám doma nastavil. Netřeba nijak měnit ani architekturu, ani aplikace, ani zařízení, přitom na pár kliknutí může být svět pro takového uživatele bezpečnější.