Grapperhaus: impact versleuteld dns-verkeer lastig in te schatten
De werkelijke impact van versleuteld dns-verkeer, ook wel DNS-over-HTTPS (DoH) genoemd, is op dit moment lastig in te schatten, zo heeft minister Grapperhaus van Veiligheid en Justitie vorige maand aan de Tweede Kamer laten weten. Standaard worden DNS (domain name system)-verzoeken, waarmee de browser het adres van een website opvraagt, onversleuteld verstuurd.
DNS over HTTPS versleutelt dns-verzoeken van internetgebruikers, zodat die niet meer zijn in te zien of aan te passen. Deze verzoeken bevatten namelijk informatie over de gebruiker en de website die hij opvraagt. Begin dit jaar is Mozilla begonnen om DoH onder Amerikaanse Firefox-gebruikers in te schakelen. Vorig jaar kwam het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie en Veiligheid nog met een factsheet waarin werd gesteld dat DNS-over-HTTP het lastiger maakt om dns-verzoeken te monitoren.
Naar aanleiding van de plannen van browserontwikkelaars om het dns-verkeer te versleutelen stuurde Grapperhaus een brief naar de Tweede Kamer (pdf). Daarin laat hij weten dat DoH het filteren en blokkeren van websites op basis van dns-verkeer lastiger maakt. Een ander risico is dat straks slechts een beperkt aantal partijen al het dns-verkeer gaat verwerken. De werkelijke impact is, vanwege het beperkte gebruik op dit moment, echter lastig in te schatten, aldus de minister.
"Versleuteld dns-verkeer tegenhouden lijkt geen reële optie en de toepassing van versleuteling van dns-verkeer heeft ook duidelijke voordelen", merkt Grapperhaus op. "Waar het uiteindelijk om gaat is hoe de leveranciers van internetbrowsers hun standaardinstellingen gaan bepalen, naar welke dns-servers ze gaan verwijzen en door wie deze beheerd worden."
Volgens de minister is voor de Nederlandse en Europese situatie van cruciaal belang dat het dns-verkeer wordt verwerkt op een manier die is gebaseerd op de Europese situatie en regelgeving. Staatssecretaris Keijzer van Economische Zaken is met verschillende Nederlandse partijen in gesprek over de versleuteling van dns-verkeer en de gevolgen daarvan. Het gaat dan onder andere om de mogelijke concentratie van data bij browserleveranciers. De uitkomst van deze gesprekken zal in Brussel op de agenda worden gezet.
Zou er hoop zijn?
Wat heeft onze minister te maken met het opzoeken in een telefoonboek (wat het DNS is)?
Waarom wil hij weten wat ik opzoek, hij kan dit toch wel zien aan het IP verkeer wat er daarna plaatsvindt.
DNS is niet interessant, IP verkeer gaat het om meneer de minister.
Welke knurften adviseren deze man?
Dus al mijn data gaat versleuteld de wereld over.
De servers van Ziggo gebruik ik eigenlijk niet,alleen de internet service die Ziggo biedt en natuurlijk mijn basis tv pakket.
Ook mobiel gebruik ik Vodafone-Ziggo. ook mijn data via internet gaat dan ook via de vpn daarop.
Wat heeft onze minister te maken met het opzoeken in een telefoonboek (wat het DNS is)?
Waarom wil hij weten wat ik opzoek, hij kan dit toch wel zien aan het IP verkeer wat er daarna plaatsvindt.
DNS is niet interessant, IP verkeer gaat het om meneer de minister.
Welke knurften adviseren deze man?
Dat wilt hij niet weten; Wat hij NIET wilt is dat er in browsers hierdoor 'standaard' DNS servers gebruikt zullen worden die bijv. in beheer zijn van landen buiten de EU (waar privacy wetten nog slechter zijn.)
Wat heeft onze minister te maken met het opzoeken in een telefoonboek (wat het DNS is)?
Waarom wil hij weten wat ik opzoek, hij kan dit toch wel zien aan het IP verkeer wat er daarna plaatsvindt.
DNS is niet interessant, IP verkeer gaat het om meneer de minister.
Welke knurften adviseren deze man?
Hij wordt geadviseerd door mensen die snappen dat achter 1 IP adres honderen of duizenden sites kunnen zitten. En dat die veelal legitiem zijn.
Door rmensen die weten dat een crimineel zijn sites vaak host op verschillende servers en dat het IP adres, dat jij nu van je nameserver krijgt, wat anders kan zijn dan het IP adres waar je besmette server gistern mee verbinding maakte.
Dat zijn mensen die de principes van DGA snappen en dus ook weten dat je niet eens een IP adres terug hoeft te krijgen om te weten dat je serieus problemen hebt met je machine als die een paar DGA domeinen opvraagt. En dat je dat bij voorkeur oplost voordat je machine ook echt een IP adres terugkrijgt en daar verbinding mee maakt.
Peter
Wat heeft onze minister te maken met het opzoeken in een telefoonboek (wat het DNS is)?
Waarom wil hij weten wat ik opzoek, hij kan dit toch wel zien aan het IP verkeer wat er daarna plaatsvindt.
DNS is niet interessant, IP verkeer gaat het om meneer de minister.
Welke knurften adviseren deze man?
Dus al mijn data gaat versleuteld de wereld over.
De servers van Ziggo gebruik ik eigenlijk niet,alleen de internet service die Ziggo biedt en natuurlijk mijn basis tv pakket.
Ook mobiel gebruik ik Vodafone-Ziggo. ook mijn data via internet gaat dan ook via de vpn daarop.
Ja, dat is tenminste verstandig! Een VPN gebruiken! Een volkomen onbekende derde partij, residerend onder onbekende wetgeving is natuurlijk veel betrouwbaarder dan Nederlandse partijen die zich aan wetgeving moeten houden.... en dat alleen maar omdat ze beloven (maar niet waar maken) dat er niets wordt gelogd.
Van wie is express vpn? Is dat net zoiets als het verhaal van de Zwitserse Cryptomachine maker uit de 70'er jaren die van de CIA bleek te zijn?
Waarom zou je in vredesnaam je DNS dan wel door een US bedrijf
in willen laten zien. De US overheid kan bij wet elk US bedrijf dwingen alle DNS data inzichtelijk te maken. Dat moet je niet willen.
Waarom zou je in vredesnaam je DNS dan wel door een US bedrijf
in willen laten zien. De US overheid kan bij wet elk US bedrijf dwingen alle DNS data inzichtelijk te maken. Dat moet je niet willen.
Je moet je DoH pakketten ook via een VPN tunnel naar cloudflare sturen. Dan is het iig ook bij cloudflare niet erg duidelijk wie die queries gedaan heeft. Maar ja je kan ook andere DoH servers gebruiken er zijn er zat.
Ik gebruik het al ff en ben blij met dit soort ontwikkelingen.
Een exemplaar van die illustere Aroflex codeermachine staat in het Crypto Museum. De voorloper van de AIVD heeft er hard aan meegewerkt en Philips in Eindhoven en het Duitse Siemens hebben er goed aan verdiend:
https://www.cryptomuseum.com/intel/cia/rubicon.htm
Hihi, die kende ik nog niet. Maar zelf doe ik wel degelijk DoT, in de variant DNS-over-Tor en niet DNS-over-TLS. Zie bijvoorbeeld https://developers.cloudflare.com/1.1.1.1/fun-stuff/dns-over-tor/. Uiteraard is het ook mogelijk zelf een eigen Tor (entry)node te draaien en de DNSPort feature te gebruiken. Mogelijkheden zat dus.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
