Kế Hoạch Gây Tranh Cãi để Mã Hóa Thêm Nhiều Phần của Internet

Cộng đồng an ninh đồng thuận về tầm quan trọng của việc mã hóa dữ liệu riêng tư: Thêm mật khẩu vào điện thoại thông minh của bạn. Sử dụng ứng dụng nhắn tin an toàn như Signal. Sử dụng mã hóa web HTTPS. Nhưng một phong trào mới để mã hóa một cơ chế cơ bản của internet, được đẩy mạnh bởi các đại diện nặng ký như Google Chrome và Firefox của Mozilla, đã gây ra một cuộc tranh cãi nảy lửa.

Những thay đổi xoay quanh Hệ thống Tên Miền, một hệ thống phân tán hành vi cơ bản như một cuốn danh bạ của internet. Khi bạn gửi dữ liệu đến hoặc yêu cầu từ một máy chủ, một tra cứu DNS đảm bảo rằng nó đến và đi từ đúng địa chỉ. Google và Mozilla có kế hoạch mã hóa những tương tác đó trong năm nay. Điều này nghe có vẻ đơn giản đủ—nhưng không phải ai cũng tin rằng sự chuyển đổi giải quyết được nhiều vấn đề hơn là tạo ra.

Vươn Tới Resolver Của Tôi

Khái niệm về DNS được phát triển vào giữa những năm 1980, và không phát triển nhiều kể từ đầu những năm 1990. Như nhiều giao thức internet cơ bản khác, DNS đã độc đáo và dễ sử dụng qua các năm. Nhưng việc có nguồn gốc trước sự xuất hiện của internet hiện đại đã dẫn đến những vấn đề không thể tránh khỏi, một trong số đó là tra cứu địa chỉ không được mã hóa. Điều này là một vấn đề lớn. Mỗi khi trình duyệt của bạn thực hiện một tra cứu DNS, yêu cầu đó có thể đi qua nhiều máy chủ. Nhà cung cấp dịch vụ internet của bạn, các thám tử chính phủ ẩn nấp, và bất kỳ ai trên cùng mạng Wi-Fi có thể xem trang web bạn truy cập, thậm chí nếu họ không thể xem những gì bạn làm khi bạn thực sự tải trang web.

Tình hình trở nên tồi tệ hơn nữa. Vì các yêu cầu DNS không được mã hóa, những người đóng vai diễn xấu có thể thao tác chúng để chiến thuật gửi bạn đến trang web sai. Đó giống như việc liệt kê địa chỉ của bạn dưới tên của người khác, và nhận tất cả các gói hàng của họ được gửi đến nhà bạn. Loại tấn công này, được biết đến là chiếm địa DNS, đã tăng lên; vào tháng 1, Bộ An ninh Nội địa thậm chí đã ban hành một chỉ thị khẩn cấp về mối đe doạ này.

Điều này giải thích sự đẩy mạnh cho DNS được mã hóa: Nó sẽ làm cho loại giám sát và đánh lạc hướng này khó khăn hơn nhiều. Tổ chức Tiêu chuẩn Kỹ thuật Internet đã mã hóa một số phương pháp khác nhau để triển khai nó, chủ yếu là “DNS qua HTTPS” (DoH) và “DNS qua TLS” (DoT). Cả hai giao thức này áp dụng mã hóa web phổ biến cho yêu cầu DNS. Hai tiêu chuẩn này rất giống nhau, ngoại trừ DoT tách lưu lượng DNS được mã hóa thành một kênh có thể nhận biết riêng (một thuận lợi lớn của các nhà bảo vệ mạng), trong khi DoH làm xen kẽ lưu lượng DNS được mã hóa với lưu lượng web HTTPS tổng quát nên chúng không thể phân biệt (một lợi ích bảo mật bổ sung đối với một số người). Mỗi phương pháp đều có nhược điểm và ưu điểm của nó, nhưng cả Mozilla và Google đã chọn sử dụng DoH trong trình duyệt của họ.

Dù bạn chọn phiên bản nào, việc thêm một lớp mã hóa vào DNS đòi hỏi một số điều chỉnh hệ thống. Đó giống như việc viết đơn đặt hàng của bạn tại một nhà hàng, khóa nó trong một hòm an toàn nhỏ, và sau đó đưa hòm an toàn đó cho người phục vụ để mang về nhà bếp. Bạn sẽ không tiết lộ bất kỳ thông tin cá nhân nào về sở thích ẩm thực của bạn, nhưng bạn cũng sẽ không nhận được bữa ăn đúng.

Để vượt qua sự phức tạp này, các giao thức DNS an toàn dựa vào người trung gian gọi là "resolver," mà vẫn có thể xem các yêu cầu chưa mã hóa khi chúng đi qua. Mozilla đã thử nghiệm DNS được mã hóa của mình với công ty cơ sở hạ tầng internet Cloudflare đóng vai trò là resolver chính. Cloudflare đã cung cấp DNS được mã hóa với một dịch vụ gọi là 1.1.1.1 đã hơn một năm. Mozilla chọn công ty này vì nó cam kết xóa tất cả bản ghi DNS sau 24 giờ, không bao giờ chia sẻ dữ liệu với bên thứ ba và chấp nhận kiểm toán để xác nhận rằng dữ liệu thực sự đã bị xóa. Nhưng người dùng có thể đặt Firefox để mặc định cho bất kỳ resolver nào hỗ trợ DoH. Tương tự, Chrome bắt đầu bằng cách cung cấp DoH với sáu resolver, bao gồm cả Cloudflare và Google chính.

Sự tập trung này của các yêu cầu DNS làm lo lắng người phê phán. Khác với các tin nhắn được mã hóa từ đầu đến cuối, trong đó chỉ bạn và người bạn đang nói chuyện có thể đọc các tin nhắn trên từng thiết bị của bạn, DNS được mã hóa không hoàn toàn thành công ở việc loại bỏ mọi người. Nó cắt đứt việc thám tử và chính phủ ra khỏi phương trình theo một cách, nhưng lại giới thiệu các công ty công nghệ mới và bên thứ ba khác.

"Tôi sẽ rất vui nếu có 100 nhà cung cấp DNS được mã hóa khác mà khách hàng có thể chọn," CEO của Cloudflare, Matthew Prince nói. "Chúng tôi nghĩ rằng sẽ tuyệt vời nếu có nhiều lựa chọn hơn. Tôi hiểu rằng việc chỉ có một số lựa chọn không mang lại cảm giác tốt. Nhưng không có gì là độc quyền ở đây. Bạn có thể tải xuống phần mềm mã nguồn mở và chạy nó ngay hôm nay."

Tổ chức Electronic Frontier Foundation, ủng hộ quyền riêng tư, đã công nhận những lo ngại về việc tập trung DNS với số lượng resolver quá ít, nhưng gần đây đã đề xuất rằng những lợi ích về quyền riêng tư có thể đáng giá nhược điểm miễn là có thêm nhiều đơn vị tham gia vào lĩnh vực này. Cụ thể, EFF kêu gọi các nhà cung cấp dịch vụ internet bắt đầu hoạt động như những resolver DNS được mã hóa. Lý tưởng nhất, điều này sẽ liên quan đến việc thuyết phục các nhà cung cấp dịch vụ internet tham gia vào các biện pháp bảo vệ quyền riêng tư nghiêm ngặt như những gì Cloudflare đã cam kết tuân thủ như một phần của quá trình hỗ trợ cho DoH.

Tuy nhiên, điều này có lẽ sẽ không xảy ra trong thời gian sớm nhất. Và ngay cả khi nó xảy ra, bạn có thể thấy làm thế nào nó sẽ khó khăn trong thực tế để thuyết phục các tổ chức đã kiếm tiền từ việc đào dữ liệu DNS thực sự thay đổi cách họ hoạt động. Một liên minh của các hiệp hội thương mại viễn thông đã viết thư cho Quốc hội vào tháng 9 phản đối DNS được mã hóa và cho rằng Google đang thực hiện hành vi cạnh tranh không lành mạnh khi hỗ trợ nó trong Chrome. Argument này có vẻ không chính xác nhất, khi Chrome có thể sử dụng nhiều resolver, không chỉ của Google. Tuy nhiên, nỗ lực tổng thể phản ánh sự đầu tư của các nhà cung cấp dịch vụ internet vào việc bảo vệ quyền truy cập của họ vào dữ liệu DNS, dường như để khai thác nó để hỗ trợ quảng cáo có định hướng. Các nhà cung cấp dịch vụ internet cũng sử dụng thông tin về yêu cầu DNS để cung cấp các dịch vụ như lọc nội dung cho trẻ em. Nhà điều tra Hạ viện đang đánh giá những tuyên bố trong thư.

An Toàn Là Quan Trọng Nhất

Những người phản đối DoH không chỉ là các công ty ích kỷ. Các chuyên gia an ninh mạng cho rằng việc mã hóa yêu cầu DNS sẽ làm cho việc phát hiện xâm nhập và mã độc phức tạp hơn trên hệ thống của họ, mà không thực sự mang lại trải nghiệm riêng tư hơn cho người dùng web. Trong khi đó, những người ủng hộ DNS được mã hóa cho rằng những lo ngại này đã được phóng đại, đặc biệt là đối với các công ty lớn có thể tự thiết lập resolver DNS được mã hóa riêng để truy cập giao thông địa phương như trước—tuy những biện pháp này không nhất thiết là khả thi đối với đa số các tổ chức.

“Cả DoH và DoT đều mang lại những ảnh hưởng về hoạt động và bảo mật thực sự,” nói Roland Dobbins, một kỹ sư chính tại Netscout Arbor. “Mọi người đều cần xem xét rằng những vấn đề như xác định thiết bị bị chiếm đóng và bảo vệ cơ sở hạ tầng DNS khỏi các cuộc tấn công DDoS có thể trở nên phức tạp và tốn kém hơn nhiều.”

Các cuộc tấn công DDoS vào máy chủ DNS có thể có hậu quả rất thực tế. Ví dụ, cuộc tấn công lớn vào nhà cung cấp DNS Dyn vào năm 2016 đã gây ra tình trạng mất kết nối trên quy mô rộng ở bờ biển Đông của Hoa Kỳ và xung quanh cả nước.

Các nhà nghiên cứu đã phát hiện phần mềm độc hại được xây dựng để tránh bị phát hiện bằng cách kết nối đến máy chủ kiểm soát bằng cách sử dụng yêu cầu DNS được mã hóa. Một vấn đề lớn khác là nếu hacker có thể xâm phạm một resolver DNS đáng tin cậy, họ có thể thực hiện các cuộc tấn công đánh cắp DNS tàn khốc mà bên ngoài không thể phát hiện được. Một vấn đề tương tự đã tồn tại khi hacker xâm phạm “cơ quan chứng thực” làm nền tảng cho việc mã hóa web HTTPS chung.

Firefox và Chrome vẫn đang trong giai đoạn thử nghiệm của việc kiểm thử DNS được mã hóa, nên hiện tại hầu hết các kết nối của bạn có thể chưa tận dụng được, và vẫn có cách để từ chối sử dụng nó hoàn toàn. Nhưng giống như đẩy mạnh để các trang web áp dụng mã hóa HTTPS, DNS được mã hóa có khả năng tiến triển nếu Chrome và Firefox nhận thấy rằng sự thay đổi không tác động quá nhiều đến tốc độ hoặc độ tin cậy đối với người dùng.

“Đúng, đó sẽ là công việc, nhưng không sao, hãy chỉ cần làm công việc,” Cloudflare’s Prince nói. “Tôi kinh ngạc vì điều này đã trở nên chính trị đến thế. Nó làm tôi cảm thấy không thoải mái khi mỗi quán cà phê tôi đến đều biết mọi trang web tôi đang truy cập. Có vẻ như không còn lựa chọn nào khác ngoài việc thêm mã hóa. Hãy chỉ làm đi!”

Đối với người thông thường, DNS được mã hóa sẽ cung cấp những bảo vệ quan trọng cho quyền riêng tư chống lại các nhà cung cấp dịch vụ internet và các tổ chức khác đang đói khát dữ liệu người dùng. Tuy nhiên, các nhà phân tích cảnh báo rằng việc duyệt web có nguy cơ nên vẫn được thực hiện với các biện pháp bảo vệ mạnh mẽ, như một VPN hoặc dịch vụ ẩn danh Tor.

Những người phê phán về DNS qua HTTPS thừa nhận sự mỉa mai khi thúc đẩy việc giảm mã hóa để bảo vệ mọi người, trong khi cộng đồng an ninh và mật mã nói chung đều phản đối quyết liệt sự quan trọng của các nền tảng truyền thông mã hóa không có cổng sau. Nhưng sự khác biệt, họ nói, là mã hóa end-to-end hoặc mã hóa ổn định loại bỏ mọi người ngoại trừ chủ sở hữu dữ liệu, trong khi mã hóa DNS chỉ chuyển giao niềm tin.

“Từ góc độ doanh nghiệp, theo dõi DNS là quan trọng để đảm bảo an ninh. Mất khả năng nhìn thấy DNS là mất mát vận hành lớn và sẽ giúp kẻ tấn công hơn là đảm bảo quyền riêng tư,” nói Jake Williams, một hacker trước đây của NSA và người sáng lập công ty an ninh Rendition Infosec. “Miễn là bạn tin tưởng vào các bộ giải quyết như Cloudflare, thì không có vấn đề gì. Và cá nhân tôi tin tưởng vào Cloudflare, nhưng người khác có thể không. Chúng ta chỉ đang đổi người có thể theo dõi chúng ta.”

Người dùng web có thể bị tổn thương chưa bao giờ nghĩ đến điều này thêm lần nữa — và thậm chí không biết DNS là gì — có lẽ sẽ nói rằng họ sẽ chấp nhận bất cứ điều gì họ có thể có.

More Great Mytour Stories

• Blind spots in AI just might help protect your privacy
• The best tech and accessories for your dog
• The game-changing tech behind Gemini Man's “young” Will Smith
• The Icelandic village where the sun never sets in summer
• A detox drug promises miracles—if it doesn't kill you first
• 👁 If computers are so smart, how come they can’t read? Plus, check out the latest news on artificial intelligence
• 🎧 Things not sounding right? Check out our favorite wireless headphones, soundbars, and Bluetooth speakers