Che bastardi.
Non è divertente come si possa vincere un premio meritatissimo… ma per le ragioni sbagliate?
Il DNS-over-HTTPS è un kludge disgustoso.
La configurazione di default usa Cloudflare. Cioè si propone per difendere la privacy dei cittadini di tutto il mondo… informando una singola azienda statunitense di ogni sito che questi vogliono visitare.
Permette un giochino molto interessante: usare il server DoH come ponte per inviare (in modo invisibile alla rete della vittima) dati ad un server DNS sotto il controllo di un attaccante attraverso risoluzioni fittizie.
Per esempio se volessimo inviare una password ottenuta in un qualche altro modo al DNS del dominio www.partito-pirata.it possiamo effettuare una richiesta via javascript a https://password.idvittima.www.partito-pirata.it (ovviamente cifrando leggermente password ed identificativo, riducendone la probabilità di essere beccati da chi usi un logging proxy).
In questo modo non è nemmeno necessario che parta la richiesta HTTPS: la risoluzione del dominio informa il DNS attaccante della password sottratta. E naturalmente possiamo trasferire anche dati maggiori al DNS attaccante, sebbene in gruppetti di 63 byte per nome.
Questa tecnica sarebbe molto rischiosa con il normale sistema distribuito di DNS che prevede vari livelli di caching e probabilmente non funzionerebbe proprio in molti casi. Invece, facendo ponte su un canale cifrato verso una destinazione considerata affidabile, l’attacco risulta molto più sicuro ed efficace.
Diciamo che dipende dal threat model. Gli attacchi lato dns mi preoccupano di più se censurano che se accumulano dati. Comunque il secondo problema come lo evitiamo? Scegliamo un resolver a caso da una lista di 10?
(Che poi possiamo benissimo offrire un DoH resolver su dns.partito-pirata.it, se vogliamo, no? Quante risorse servirebbero?)
Si può mappare dns.partito-pirata.it al servizio DNS del Tor che abbiamo scorrere per http://piratanibanankoc.onion — in questo modo ogni richiesta DNS sarà anonimizzata a partire da qui. Meglio ancora se la gente usa Tor da casa.