Dansk DNS blokering truer internetsikkerheden

Det amerikanske SOPA lovforslag affødte voldsomme protester fra borgere og virksomheder. En del af kritikken gik på at DNS blokeringerne i SOPA ville forringe internetsikkerheden fordi udrulning af DNSSEC ville blive besværliggjort. The White House anerkendte eksplicit dette argument i deres kritiske kommentar om SOPA den 14. januar, og en uge senere var SOPA i øvrigt udsat på ubestemt tid.  Danmark anvender allerede DNS blokeringer efter samme model som i SOPA lovforslaget, og den amerikanske kritik af sikkerhedsproblemerne ved denne praksis er derfor yderst relevant for Danmark.

DNSSEC er udviklet fordi DNS opslag er meget nemme af forfalske via et såkaldt man-in-the-middle angreb. Hvis DNS opslaget for borger.dk forfalskes, kan en hacker med interesse for identitetstyveri sende folk til en phishing side i stedet for den rigtige side. Der er naturligvis SSL/HTTPS, som er designet til at forhindre dette og samtidig kryptere kommunikationen med det pågældende website. Problemet med SSL er imidlertid at en webbrowser i dag stoler på flere hundrede CA'ere (Certificate Authority), og de kan udstede SSL certifikater til alle domæner. I Diginotar farcen i 2011 så vi, med al ønsket tydelighed, hvad der kan ske hvis en CA bliver hacket. For at gøre en lang historie kort: fremover er HTTPS/SSL næppe tilstrækkelig til at sikre kommunikation på internettet. Der er brug for mere sikkerhed, og specielt DNSSEC.

Advarer brugeren
Ideen med DNSSEC er at DNS opslaget skal signeres, og dermed er det muligt for internetbrugeren at se om DNS serveren returnerer den korrekte IP adresse, eller om svaret er modificeret undervejs. Det vil ganske vist forudsætte at webbrowseren forstår DNSSEC, men der findes allerede plugins til Firefox og Chrome som gør dette (DNSSEC Validator). På den måde kan webbrowseren advare brugeren hvis domænet ikke er signeret med DNSSEC, og især hvis DNS serveren returnerer et forkert svar for et signeret domæne. Det svarer til de sikkerhedsadvarsler som webbrowsere giver ved ugyldige SSL certifikater, men modsat SSL er DNSSEC en integreret del af domæneregistreringssystemet. Der er kun een organisatorisk enhed som kan signere DNS opslaget for borger.dk, men et SSL certifikat kan udstedes af flere hundrede CA'ere. I skrivende stund er der desværre ingen af de større danske internetudbydere som tilbyder DNSSEC-validering i deres DNS servere, men det vil forhåbentlig ændre sig i takt med at DNSSEC udbredes på domæneniveau.

Forfalskning
DNS blokering (censur) skaber imidlertid et stort problem for udrulningen af DNSSEC. Konflikten er nærmest åbenlys: formålet med DNSSEC er at forhindre at DNS opslaget forfalskes, men DNS censuren går netop ud på at en ISP skal manipulere DNS opslaget så brugerne sendes til en STOP side i stedet for den rigtige side med det "uønskede" indhold. Statens man-in-the-middle angreb på internettet udføres på nøjagtig samme måde som de kriminelles MiTM angreb, og det er lige præcis det som DNSSEC skal forhindre. Til at starte med er det uklart hvordan en internetudbyder på fornuftig vis skal håndtere DNS censur sammen med DNSSEC. Det kan illustreres med et eksempel: i forbindelse med overgangen til DNSSEC for nylig har Comcast (en stor amerikansk ISP) droppet en "domain helper service", som sendte brugerne til en søgemaskine hvis de indtastede et ikke-eksisterende domæne i webbrowseren (typisk på grund af en stavefejl). Det gøres teknisk set ved at forfalske DNS opslaget, og den slags er i strid med DNSSEC principperne.

Sløvet opmærksomhed
Det vil være teknisk umuligt for internetudbyderne at levere et korrekt signeret DNS svar for de domæner som er udsat for den danske DNS censur. Det udelukker selvfølgelig ikke at DNSSEC implementeres, og at der returneres korrekte, DNSSEC-signerede svar for de øvrige (ikke-censurerede) domæner. Men selv denne "best case" er undergravende for den sikkerhed som DNSSEC faciliterer, idet internetbrugerne vil se DNSSEC advarsler på de censurramte sites. Hvis brugerne ser mange DNSSEC advarsler på grund af omfattende statslig DNS censur, vil deres opmærksomhed være sløvet den dag hvor DNSSEC advarslen skyldes et rigtigt MiTM angreb fra ondsindede kriminelle.

Der har løbende været diskussion om den danske DNS censur siden den startede med blokering af påstået børnepornoindhold i 2005. Efterfølgende har glidebanen udvidet censuren til ophavsretslige krænkelser, ikke-godkendt medicin og senest ikke-godkendte spilleudbydere (hvor de første blokeringer må forventes i 2012). IT-Politisk Forening har løbende kritiseret denne udvikling, men det virker desværre som om at folketingspolitikerne synes at fordelene ved DNS censur er større end ulemperne.

Dårligere it-sikkerhed
Det er fair nok at det politiske system laver den slags afvejninger, men det er vigtigt at alle fordele og ulemper vurderes, og implikationerne for danskernes internetsikkerhed bør medtages i den henseende. Prisen for en i øvrigt meget ineffektiv blokering af uønskede udenlandske websites kan i fremtiden være en betydelig forringelse af internetsikkerheden for den danske befolkning. De IT-kyndige kan naturligvis selv skifte DNS resolver til CensurfriDNS, som tilbyder DNSSEC-validering og er uden censur, men det efterlader den øvrige del af befolkningen med en langt dårligere IT sikkerhed.
----
IT-Politisk Forening har udarbejdet et notat som uddyber disse synspunkter
http://www.itpol.dk/notater/dns-censur-truer-internetsikkerheden