Tuzaklarla kısa: AB, Google’ın DNS çözümleyicilerindeki suyu nasıl kazmak istiyor?

Adanali

Member
Diğer birçok altyapıya ek olarak, AB Komisyonu da internetteki ad çözümlemesini incelemiş ve kritik olarak sınıflandırmıştır. Bu anlaşılabilir bir durumdur, çünkü alan adlarının IP adreslerine çevrilmesi (DNS sorguları) olmadan artık neredeyse hiçbir İnternet hizmeti çalışmamaktadır. DNS çözümleyicileri bu işi arka planda yapar; “Çözücünün çalışması” kutusunda kısa bir açıklama bulacaksınız.

Aynı zamanda AB, AB’deki bu temel hizmetin güvenlik ve gizlilik düzeyinin yetersiz olduğunu gördü ve bu nedenle DNS4EU projesini başlattı. Bu şaşırtıcı çünkü Telekom, Telefónica, Vodafone veya 1&1 gibi büyük İnternet sağlayıcıları, çözümleyicinin nasıl çalıştığı da dahil olmak üzere işlerini biliyorlar. AB bu çelişkiyi çözmüyor, ancak daha yakından incelendiğinde Avrupa düzeyinde koordineli bir altyapı için bariz nedenler var.


En önemlileri, tehlikenin izlenmesi ve önlenmesi, AB dışındaki çözümleyici sağlayıcılara veri akışının sınırlandırılması, Genel Veri Koruma Yönetmeliğine uyum ve AB’ye yönelik kısıtlanmış DNS taleplerinin toplanması ve işlenmesidir. Ayrıca AB, Google veya Cloudflare gibi büyük ABD sağlayıcılarından gelen çözümleyicilerden bağımsızlığı teşvik etmek istiyor.

AB çapında güvenlik


Muhtemelen en önemli nokta takiptir. Bu amaçla, olabildiğince çok kullanıcının anonim ve toplu DNS sorguları değerlendirilir ve kötü amaçlı yazılım kampanyaları veya saldırganların komuta ve fethetme sunucuları erken bir aşamada tespit edilebilir. Google, Cloudflare veya OpenDNS gibi büyük çözümleyici operatörleri bu tür erken uyarı hizmetlerini uzun süredir sunuyor olsa da, AB projesinin destekçileri bu daha küresel odaklı operatörlerin yerel saldırıları aynı ölçüde dikkate almadığından şikayet ediyor. Şimdiye kadar AB düzeyinde bir koordinasyon olmamıştır, her çözümleyici operatörü bunu kendisi ve müşterileri için kendi yöntemiyle yapar.




Çek güvenlik uzmanı Whalebone'un CTO'su Robert Šefr, şirketinin oluşturmakta olduğu DNS4EU projesinin AB tehditlerini önlemede Google ve Cloudflare gibi görevdeki şirketlerden daha hızlı ve daha doğru olacağına inanıyor.



Çek güvenlik uzmanı Whalebone’un CTO’su Robert Šefr, şirketinin oluşturmakta olduğu DNS4EU projesinin AB tehditlerini önlemede Google ve Cloudflare gibi görevdeki şirketlerden daha hızlı ve daha doğru olacağına inanıyor.


(Resim: Robert Şefr)



Ancak, bir püf nokta var: genel olarak, erken uyarı veri tabanı ne kadar büyükse o kadar iyi çalışır. Ancak, AB sağlayıcılarından alınan DNS verilerinin yüzdesi birkaç yıldır düşüyor. Otoriter devletlerin ISP’leri ve gözetim otoriteleri, DNS sorgularını sansürleyerek ve bunları İnternet kullanıcıları için profiller oluşturmak üzere kullanarak bu olguyu tetikledi. Geleneksel DNS sorguları şifrelenmemiş olduğundan, çözümleyici operatörleri bunları tarama günlükleri olarak okuyabilir. Sonuç olarak, Internet Engineering Task Force, diğerleri arasında, HTTPS üzerinden DNS (DoH) gibi şifreleme yöntemleri geliştirmiştir. Firefox ve Chrome gibi tarayıcılar, isteklerini Google, Cloudflare veya diğer sağlayıcılardan sansürsüz çözümleyicilere güvenli bir şekilde göndermek için DoH’yi kullanır.


Kurbanlar, bu DNS isteklerinin görünmez olduğu güvenilir satıcılardır. Bu, risk önleme veri tabanını azaltır ve sağlayıcıların kendi kullanıcılarına özel olarak sunduğu dahili ağ hizmetlerine erişimi engeller. Bu, AB’nin tamircilerini teşvik etmesinin bir başka nedenidir.

13 ortak için 13 milyon


2022 Aralık ayı sonunda Çek şirketi Whalebone ve 12 ortak ile inşaat ihalesini kazandı. Whalebone, 13 milyon avro ile finanse edilen projeyi Ocak ayı ortasında sundu. Oluştururken, 13 ortak İnternet sağlayıcılarının altyapısını kullanmak istiyor. Büyük ölçekli dağıtım ve bağımsızlık, DDoS saldırılarına karşı koruma sağlamalıdır. Sonunda, Whalebone CTO’su Robert Šefr c’t ile yaptığı bir röportajda “üye devlet başına birden çok, çok daha fazla” olması gerektiğini açıkladı.

DNS4EU, AB tarafından yönetilmez; 13 milyon avro sadece başlangıç finansmanı için ayrılmıştır. Konsorsiyum daha sonra operasyonu ticari tekliflerle finanse etmek için bir konsept geliştirdi. Ancak her şeyden önce, kullanıcıların cihazlarını DNS4EU kullanacak şekilde yapılandırmasına izin veren kullanımı kolay uygulamaların yanı sıra herkes için ücretsiz genel bulut çözümleyicileri vardır. Bu, Cloudflare ve diğer operatörlerin akıllı telefon uygulamalarını anımsatıyor. Šefr’e göre DNS4EU, gençleri koruma filtreleri veya reklam engelleyicilerle de kullanıcıları cezbedebilir.




DNS uzmanları Geoff Huston ve Joao Damas tarafından yapılan ölçümlere göre, giderek daha fazla sayıda kullanıcı İnternet cihazlarını dönüştürüyor ve sağlayıcılarının çözümleyicilerini Google ve Cloudflare lehine reddediyor., Geoff Huston



DNS uzmanları Geoff Huston ve Joao Damas tarafından yapılan ölçümlere göre, giderek daha fazla sayıda kullanıcı İnternet cihazlarını dönüştürüyor ve sağlayıcılarının çözümleyicilerini Google ve Cloudflare lehine reddediyor.


(Resim: Geoff Huston)



İnternet servis sağlayıcılarına bulut çözümleyiciler ve ağları için tasarlanmış hazır çözümleyiciler sağlanır. Diğer şeylerin yanı sıra, DNS4EU çözümleyicileri, şifrelenmiş DNS-over-QUIC güvenlik protokolleri için DNSSEC’de uzmanlaşmalı ve böylece sağlayıcıları bu tür hizmetlerin bakımını yapma zahmetinden kurtarmalıdır. Devam eden saldırılar hakkında bilgi toplayan ve değiş tokuş eden siber tehdit platformu, ücretsiz temel sürüm ve ücretli premium sürüm olarak da sunulacak.

Operatörler konsorsiyumu, yerel saldırıları filtrelemek için yerel güvenlik ekiplerinin yanı sıra finansal hizmet sağlayıcıları ve hükümetlerle birlikte çalışacak. Temel, yerel ekiplerin kimlik avı ve kötü amaçlı yazılım kampanyalarını sürekli olarak bildirdiği hiyerarşik bir raporlama sistemi olacaktır. Whalebone, yerel analitik ve savunmanın yanı sıra hızı Avrupalı çözümleyicinin en büyük faydaları olarak görüyor.

Burada teklifin rakiplerinden daha hızlı ve daha iyi olması gerektiğini vurgulayan Šefr, bir ortaklar ağına dayanıyor. Bunlar arasında Prag Teknik Üniversitesi, İtalya, Polonya, Portekiz ve Macaristan’ın güvenlik ekipleri, F-Secure ve deSEC’in Berlin DNS uzmanları bulunmaktadır. Šefr’e göre, analizlerin sonuçları ilgili taraflara satılabilir. Ancak savcıların kullanıcı verilerinin açıklanmasına yönelik taleplerine, bu veriler arşivlenemeyeceği için yanıt verilemedi. Fonksiyon aralığı ve kesin fiyatlar henüz belirlenmemiştir.



İnternet ad çözümlemesi, alan adlarının IP adreslerine çevrilmesi anlamına gelir. Örneğin, c’t web sunucusuna dolaylı olarak ct.de alan adı üzerinden ulaşılabilir; aslında, bir tarayıcı c’t web sitesini açmak için web sunucusunun IPv6 veya IPv4 adresine ihtiyaç duyar (şu anda 2a02:2e0:3fe:1001:302:: ve 193.99.144.80).

Etki alanının IP adresine çözümlenmesi neredeyse tüm İnternet bağlantıları için zorunludur ve çeviri işi Etki Alanı Adı Sistemi çözümleyicileri tarafından yapılır (alan adları, IP adresleri ve diğer birçok bilginin hiyerarşik olarak organize edilmiş dünya çapındaki veritabanı). Bu nedenle çözümleyicileri, ilke olarak kullanıcının gezinme hedeflerini günlüklere kaydedebilen teknik bir platform olarak görebilirsiniz.

Avrupa’da çoğu yönlendirici, bu ad çözümlemesi için müşterinin seçtiği ISP’nin çözümleyicilerini kullanacak şekilde yapılandırılmıştır. Bir ICANN araştırmasına göre, AB’deki katılımcıların yaklaşık %12’si şu anda Google veya OpenDNS gibi Avrupa dışı bir DNS sağlayıcısı kullanıyor. Google’ın genel çözümleyicilerinin kullanımı giderek artıyor.







sansür politikaları


Kullanıcıların toplu olarak DNS4EU’ya geçip geçmeyecekleri de sansür konusuna bağlıdır ve orada rakipler daha iyi bir konumdadır. Çünkü AB, AB yasalarına ve 27 üye ülkenin düzenlemelerine uyum sağlamak için ihalesinde içerik filtrelemeyi de zorunlu hale getirdi. Bu nedenle DNS4EU operatörleri, yasa dışı olarak sınıflandırılan web sitelerini engellemek için yargı kararlarını da uygulamak zorunda kalacak. Ancak Šefr, grubun “yasanın yüzde 100 gerektirmediği” hiçbir şey yapmayacağına dair güvence verdi. Ancak, Google & Co. hiç filtreleme yapmayacağına söz veriyor ve şimdiye kadar kullanıcıların bu tür çözücülere geçmesinin ana nedeni buydu.

Šefr, üye ülkelerin mevcut engelleme listelerinin kısa olduğunu belirtiyor. Örneğin Çek Cumhuriyeti, ülkede lisanslı olmayan kumar operatörlerini yasaklamakla ünlüdür. Ancak Whalebone, yalnızca sağlayıcıların DNS4EU çözümleyicilerinin yerel kara listeler mi yoksa açık bulut örnekleri mi uygulayacağından hala emin değil. Hâlâ yasal tavsiye alıyoruz” dedi.

Büyük çocuklarla devam edin


Şimdiye kadar, DNS4EU gerçekten çekici veya acilen gerekli görünmedi. Şifreleme yoluyla gizliliği de koruyan birçok hızlı düzeltici vardır. Saygın çözümleyici satıcıları, hüküm ve koşullarında herhangi bir DNS sorgusu günlüğe kaydetmeyeceklerine söz verirler. Örneğin, Google, Cloudflare, OpenDNS ve Quad9, yıllardır kısa yanıt süreleriyle başarılı olmuştur; DNS4EU’nun devam edip etmeyeceğini görmek heyecan verici olacak.







(Resim:

4/2023 var

)



PV patlama yaşıyor ve bir montajcıya ulaşamıyor musunuz? 4/2024 tarihli c’t sayısında, kişisel bir deneyde çatıya bir fotovoltaik sistem vidalıyoruz. c’t, hangi adımları kendi başınıza yapabileceğinizi ve yapabileceğinizi ve bunu uzman şirketin ne zaman yapması gerektiğini açıklar. Yasal ve mali çerçeveyi tanıyacak ve fotovoltaik bileşenlerin nasıl çalıştığını öğreneceksiniz. Ayrıca veri şifreleme için bir nasıl yapılır kılavuzu yazdık, yerleşik şifreleme ile USB depolama birimini kırmaya çalıştık ve verimli Ryzen 7000 CPU’ları test ettik. Tüm bunları ve daha fazlasını c’t 4/2023’te okuyabilirsiniz!









c't Magazine'den daha fazlası



c't Magazine'den daha fazlası




(Ç)



Haberin Sonu
 
Üst