כפי שחלק מכם יודעים, הייתי פעיל מאוד נגד אחד מהניסיונות האחרוניםם כנגד צנזורה שהוביל אותו חה"כ מיקי זוהר ושותפיו שהציע מערכת בשווי 60,000,000 ש"ח (!!!) לבצע כל מיני צנזורות מוזרות פרי מוחו הקודח בלי להתייעץ עם מישהו שהוא לא טכני.
במהלך הדיונים, לפני כשנה, היה מי שציין שצנזורת אינטרנט תהפוך לקשה יותר ככל שה-DOH יתפוס תאוצה. ותאמינו או לא? הוא כבר כאן. אפשר למצוא אותו כבר בפיירפוקס (אני גולש עם DOH בזמן הקלדת שורות אלו) ובכרום הודיעו שהוא נכנס באוקטובר כברירת מחדל לגולשים האמריקאים. אז מה זו המערכת הזו? ולמה היא מונעת דה פקטו צנזורה? המאמר הזה הוא מאמר טכני יותר, מאמר יותר מוכוון קהל רחב אפשר למצוא ב'הארץ'.
HTTPS
אני מאמין שאין צורך להציג בפניכם את HTTPS. בפועל מדובר בהצפנה של התוכן העובר ב-HTTP באופן שמונע דה פקטו ודה יורה האזנה של צד שלישי לתקשורת. יש לזה המון אספקטים מבחינת אבטחה. ביום שהושקה יוזמת Let's Encrypt וגוגל הודיעו שהם מתעדפים אתרי אינטרנט מאובטחים, המון אתרים עברו לפרוטוקול הזה כאשר גוגל, פיירפוקס ואפילו מיקרוסופט דוחפות חזק מאוד לכיוון הזה. זה מונע בפועל צנזורה של אתר ברמת הרשת כיוון שאם אני נכנס לאתר גמו גוגל, יאהו, דאק דאק גו ומחפש "תמונות של ציצי" או חיפושים יותר אפלים, אין מה שיכול למנוע את זה ברמת הרשת.
החוליה החלשה – DNS
אבל עדיין נותר בידי הממשל וארגוני ההורים ההיסטריים כלי רב עוצמה בשם DNS. ה-DNS הוא למעשה התשתית של הרשת והוא מתרגם את שם המתחם לכתובת IP שמחשבים יודעים לעבוד איתה. איך DNS עובד? כשאנו מבצעים בקשה לשם מתחם, הדפדפן, או כל תוכנה אחרת, מבקש ממערכת הפעלה את כתובת ה-DNS Resolver. אם לא מוגדרת פיזית כתובת של Resolver, מערכת ההפעלה פונה לספק האינטרנט ומבקשת ממנו Resolver מומלץ ובדרך כלל מקבלת את ה-Resolver בשליטת הספק. הדפדפן ניגש ל-Resolver ומבקש ממנו את ה-IP של הכתובת. פה מתחילה העבודה הקשה של ה-Resolver. אם למשל אנו רוצים להגיע אל he.wikipedia.org ראשית הוא ניגש אל ה-top level domains, או ה-TLD. למשל, השרת האחראי על com או על net או במקרה הזה על org. הוא יפנה אותנו אל wikipedia אנו נגיע אל השרת של ה-DNS של ויקיפדיה והוא ידע להפנות אותנו אל השרת של he. ככה בעצם ה-Resolver עובד.
הבעיה היא שמי ששולט על ה-Resolver יכול לגרום לו להביא תוצאה שגויה. זו הדרך שבה זיר"ה, ארגון זכויות היוצרים הקיקיוני משהו, עובדת. היא מבקשת צו בית משפט והספקיות משנות את ה-Resolver שלהן כדי שיחזיר תוצאה שגויה.
הגולשים יכולים לשנות את ה-Resolver ידנית ל-Resolver אחר. הפופולרי ביותר הוא 8.8.8.8 אבל יש גם את 1.1.1.1 ואלו של Ad Guard. אבל זה לא מספיק.
התערבות בתנועת ה-Resolver
המדינה, הספקית, או כל ארגון אחר, יכולה להתערב בתנועה שלנו אל 8.8.8.8/1.1.1.1 או כל Resolver אחר שהוא לא בשליטתה. מדוע? כי עד כה, כל התנועה אל ה-Resolver היתה ב-HTTP פשוט. ותנועה ב-HTTP ניתנת למעקב ולשינוי. כלומר ספקית האינטרנט שלכם לא רק שיודעת, באמצעות מעקב אחר התנועה שלכם אל 8.8.8.8/1.1.1.1 לאן אתם גולשים, היא יכולה גם לחסום אתכם דרך שם.
וכמובן לא רק הספקית אלא כל גורם שהוא שיש לו גישה לרשת שלכם. השכן החטטן שהצליח להשיג את הסיסמה לראוטר שלכם, ארגון זר שמצליח לנתב את התקשורת של ה-Resolver אליכם, עבריינים שמפעילים ויי-פיי חינמי – You name it.
רגע, אמרתי שכל אחד יכול להתערב בתנועה? התכוונתי שכל אחד היה יכול להתערב בתנועה. הכירו את DOH: DNS Over HTTPS – מעכשיו כל התנועה ביניכם לבין ה-DNS Resolver נעשית באמצעות HTTPS. כלומר כל עוד אתם משתמשים ב-Resolver שתומך ב-DOH – אף אחד. אף אחד. לא ה-ISP, לא ספק התשתית, לא השכן שהשתלט על הראוטר ולא ארגון טרור או המדינה – לא יכול לדעת מה עובר ביניכם ל-Resolver ובטח ובטח שלא להשפיע על התנועה הזו. ביי ביי צנזורה. אדיוס מוצ'אצ'וס ותודה על הדגים.
בפיירפוקס זה עדיין לא בברירת מחדל – אתם יכולים כבר כעת להפעיל DOH אם אתם משתמשים בו. אגב, אני ממליץ בחום להשתמש בו. לי יש אותו על המחשב ואני באמת לא רואה הבדל מהותי בינו לבין כרום.
מה שמעניין במודל של פיירפוקס הוא שהם עוקפים את הגדרת ה-DNS Resolver במערכת ההפעלה. כלומר ברגע שאתה מגדיר DOH אתה מגדיר את ה-Resolver וזהו. מה שמוגדר לך על מערכת ההפעלה ובטח ובטח מה שמוגדר על ידי הספק כבר לא רלוונטי.
ומה עם כרום? כאמור עד כה היה אפשר להשתמש ב-DOH במוד מפתחים עם פלאג מיוחד. מאוקטובר זה נכנס לאמריקאים ומשם לכולם. כרגע זה נכנס כברירת מחדל למשתמשים שהגדירו ידנית DNSים שתומכים ב-DOH. ובעתיד? בעתיד ייתכן שהם יתיישרו לפי המודל שפיירפוקס הטמיעו.
המודל הזה כמובן הרבה יותר בטוח ומוריד מהפרק לא מעט התקפות אחרות. יש פה גם כמה סימני שאלה שעולים – האם נכון שה-Resolver יהיה בחברה שאין לנו איתה יחסי לקוח/ספק? כמה אפשר לסמוך על גוגל/קלאודפלייר?
כך או כך, עושה רושם שיש שתי דרכים לצנזורת רשת שעומדות בפני אנשים כמו חה"כ מיקי זוהר ודומיהם: או השיטה הסינית: הקמת חומת אש רצינית בינינו לבין האינטרנט העולמי הגבלה חמורה על בסיס IP של חלק גדול מהשירותים שגוררת גם האטה מכוונת של התשתית (דבר שכמובן ישבית את תעשיית ההייטק הישראלית שאחראית על יותר מחצי מהייצוא) או פשוט להרים ידיים ולמסור לכל הורה שאם הוא רוצה להגן על ילדיו – שיחנך אותם ואולי גם יתקין תוכנה על המחשב שלהם.
4 תגובות
תודה.
איך אני מגיע להגדיר את הDOH?
היי, רן
האם DOH מכסה גם בקשות SNI או שאותן גם צריך להצפין באמצעות שינוי הגדרות בדפדפן?
דווקא DOH? הם אוהבים את הומר?
D'oh!
תכלס, עדיין אפשר לדעת לאן גלשתי מבחינת כתובת אייפי, לא?
ואם נכון, אז למעט VPN יש דרך להמנע מזה?