V říjnu se na konferenci International AVAR Cybersecurity Conference pořádané v Japonsku společností ESET setkaly světové špičky z oblasti digitální bezpečnosti. Náš kolega Tony Anscombe využil příležitosti, aby se zeptal Paula Vixieho, co si myslí o novinkách v oblasti kybernetické ochrany.
Kdo je Paul Vixie?
Dr. Paul Vixie je americký počítačový vědec. Navrhl např. protokoly DNS (Domain Name System) nebo přispěl k rozvoji software s otevřeným zdrojovým kódem.
V roce 1998 spolupracoval na vytvoření první platformy na ochranu uživatelů proti spamu. V roce 2011 získal na Keio University titul Ph.D. za svou práci na DNS a jeho zabezpečení.
Tony Anscombe: Paule, konference AVAR se koná již přes 20 let. Svým programem sleduje evoluci internetu. Co vás napadá, když si vzpomenete na letošní publikum v Japonsku.
Paul Vixie: S partnery z APAC (Asie a ostrovy v Tichém oceánu) pracuji zhruba 20 let. Je to region plný chytrých a ambiciózních lidí. Propojení přes optické vlákno je třeba v Japonsku a Koreji mnohem dál než například v USA. APAC také určuje mezinárodní standardy technologií, jako je IDN (Internationalized Domain Names) pro DNS. Jsme jim za mnoho vděční.
TA: Podle vás má „pacifické století“ jedinečné místo ve vývoji internetu?
PV: Myslím, že pacifické století je tím obdobím, kdy s pomocí internetu, jako arbitra s ekonomickou a kulturní hodnotou, uznáme asijské národy za světové mocnosti. Internet nedává přednost konkrétní kulturní normě, ale lze ho použít jako ukazatel souhlasu uživatelů. To brzy povede k ohrožení APAC internetovou kriminalitou více než ve zbytku světa.
TA: Téma letošní konference bylo „Hacker versus counter-hacker: From retribution to attribution“. Jakou roli hraje DNS, respektive DNSSEC? Myslíte, že analytici, vývojáři a školitelé věnují dostatek pozornosti faktu, že DNS je základem řady internetových funkcí a bezpečnostních aktivit?
PV: Přes tři dekády se tady bojuje o kontrolu nad DNS. Tento střet se vyostřuje tím, že si řada hackerů, firem i státních institucí všimla možnosti využití DNS jako kontrolního a monitorovacího bodu pro jiné činnosti. Aby byla zachována jakákoli bezpečnost, musí si být technici i online komunita vědomi možností a rizik DNS. Například s DNSSEC bychom mohli mít živější globální obchodní systém, ale webová komunita se snaží prosazovat způsoby, jak podpořit ekonomiku bez DNSSEC. Lidé z blockchainu samozřejmě hledají způsob, jak na DNSSEC nejvíce vydělat. DNSSEC přichází dlouho, ale všichni se musíme spojit.
TA: Zdá se, že otevřenější a spolupracující přístup se stává normou. ESET například přispívá do znalostní databáze ATT&CK. Myslíte, že širší spolupráce v oblasti kybernetické bezpečnosti pomůže?
PV: Sdílení informací o hrozbách funguje už 15 let. Nováčci v této oblasti si přesto myslí, že je to nevyřešený problém, kde mohou oni něco změnit a třeba si i vydělat. Analytici z ESET vždy sdíleli své poznatky, jsou součástí STIX/TAXII a IODEF/IDMEF. Je důležité, aby všichni, kteří se na ekonomice podílejí, vnímali, že žádný ochranný systém nemůže být o moc silnější než průměr. Takže jen díky spolupráci můžeme změnit současný trend, kdy prohráváme.
TA: Vy sám jste spoluzakladatel iniciativy SIE Europe, která se snaží zabezpečit digitální ekonomiku pomocí sdílení a sběru dat, která nespadají pod ochranu GDPR. Nicméně okolo osobních údajů se točí velké peníze. Jen v USA má obchod s daty hodnotu desítek miliard dolarů. Jak může za takových podmínek SIE Europe a jí podobné chránit digitální ekonomiku?
PV: Poté, co jsem v devadesátých letech prohrál první kulturní boj proti spamu, strávil jsem několik let hledáním toho, co jsme pokazili u první anti-spamové společnosti (Mail Abuse Prevention System, neboli MAPS). Nakonec jsem zjistil, že budování cest má z dlouhodobého hlediska větší význam, než budování zdí, a MAPS takovou zdí byl. Spammeři budují cesty, takže nás porazili. To samé dělají ti, kteří se snaží zpeněžit data. Máme-li je porazit, musíme také budovat cesty. Plynou z toho také další výhody.
TA: Vnímám snahy rozdělit web do „regionálního internetu“, prostředí chráněných firewally a podobně. Jak daleko jsme odstoupili od ideje bezplatného globálního internetu? Existují další bezpečnostní kompromisy, kudy se vydat? Jaká je role přístupu k bezpečnosti založené na DNS a výzkumu hrozeb při udržení rovnováhy mezi bezplatným a bezpečným internetem?
PV: Všichni jsme vydáni na milost či nemilost nejhůře spravovaným sítím a nejhůře vyvinutému hardwaru připojenému k internetu, i když jej přímo nevyužíváme. Dokud si útočníci mohou koupit služby nebo zařízení potřebné k provedení útoků, jsme všichni zranitelní. Nemyslím, že by vlády měly rozhodující úlohu při rozhodování, kdo se s kým může spojit. Musí ale pro internet vytvořit legislativy o vzájemné obraně, které budou srovnatelné se smlouvami o šíření jaderných zbraní nebo obchodování s lidmi. Přesněji je nutné, aby kybernetický zločin byl potrestán rychle a trest zahrnoval i finanční restrikce. Myslím, že je potřeba například zásah do voleb označit také jako kybernetický zločin. To, že některé země nechtějí demokratické zřízení, neznamená, že zabrání tomu, aby demokracie existovaly jinde. Abychom zvrátili tento trend, je nutné uvalit obchodních sankce i na zločiny související s internetem.
TA: Existuje řada způsobů, jak mohou uživatelé v budoucnu využívat web. Je nějaký „domácí úkol“, který by si měli naši čtenáři splnit?
PV: Doufám, že si přečtou můj článek z minulého roku „Benefits of DNS Service Locality“. Řada problémů, které narušují bezpečnost internetu, je způsobena generační propastí mezi lidmi, kteří si pamatují dobu, kdy každá síť provozovala své vlastní DNS servery, a lidmi, kteří od prvního dne online používají veřejné DNS 8.8.8.8, aniž by věděli proč. Musíme získat zpět svou autonomii. To znamená, že bychom měli přestat využívat outsoursované DNS a převzít si za ně zodpovědnost.
TA: Jak vnímáte zvyšující se tlak na posun rekurzivních DNS (rDNS) směrem od zákaznických sítí k poskytovatelům internetových služeb. Tento posun se často uvádí jako jeden z důvodů obav o ztrátu soukromí. Byl tento proces klíčovým faktorem, který nás tlačil do současné situace s GDPR, CCPA a dalšími předpisy na ochranu údajů??
PV: Ano, protože jakýkoli trend se bez opozice akceleruje a neexistuje nic, co by nešlo zneužít. Poskytovatelé DNS využili svou pozici, což je přirozené a nevyhnutelné. Jako u většiny negativních sociálních trendů si všichni musíme uvědomit i rizika, abychom mohli vytvořit pravidla pro svět, ve kterém bychom žili raději.
TA: Co pohání novinky jako „DNS over HTTPS“ (nebo DoH protokol), který hodně prosazuje Mozilla a další? Je to něco, co skutečně zvýší ochranu soukromí?
PV: DoH protokol nemá z hlediska soukromí žádný vliv. Například DoT (DNS over TLS) nabízí stejnou míru ochrany soukromí jako DoH, protože oba tyto protokoly spoléhají na TLS (Transport Layer Security). Čím se ale DoH liší, je fakt, že operátoři sítě nemohou protokol jednoduše blokovat, a donutit tak uživatele a aplikace, aby použili jejich lokální DNS servery, které lze snáze monitorovat a odfiltrovat tak známé útoky.
Specifikace DoH (RFC 8484) říká, že je jejím cílem „zabránit vzájemnému ovlivňování probíhajících DNS operací“. Každé zařízení pro rodičovskou kontrolu či zajištění firemního zabezpečení „zasahuje do probíhajících DNS operací“.
TA: Jak můžeme ochránit protokoly DNS transakcí, kde jsou uložené osobní informace? Je ochrana soukromí tou nejsilnější zbraní, kterou mohou bezpečnostní experti použít?
PV: Existuje aforismus: když neplatíte za produkt, jste produktem vy. Nikdo, kdo nabízí DNS služby zdarma, se nestará o prospěch zákazníka. Každý má vlastní zájmy, které nemusejí dávat otevřeně najevo a které mohou, ale nemusí být v nejlepším zájmu uživatele. Moje rada zní, používejte ISP nebo DNS zaměstnavatele, pokud nemáte komerční VPN, která vám smluvně garantuje ochranu soukromí včetně vašich DNS přístupů. Pokud spravujete rodinnou nebo firemní síť, pořiďte si vlastní DNS server a používejte jej. DNS nikdy nebyl navržen tak, aby byl centralizovaný, takže bychom nyní měli centralizaci odolávat.