Nieuws
image

Grapperhaus: impact versleuteld dns-verkeer lastig in te schatten

maandag 17 augustus 2020, 15:01 door Redactie, 14 reacties

De werkelijke impact van versleuteld dns-verkeer, ook wel DNS-over-HTTPS (DoH) genoemd, is op dit moment lastig in te schatten, zo heeft minister Grapperhaus van Veiligheid en Justitie vorige maand aan de Tweede Kamer laten weten. Standaard worden DNS (domain name system)-verzoeken, waarmee de browser het adres van een website opvraagt, onversleuteld verstuurd.

DNS over HTTPS versleutelt dns-verzoeken van internetgebruikers, zodat die niet meer zijn in te zien of aan te passen. Deze verzoeken bevatten namelijk informatie over de gebruiker en de website die hij opvraagt. Begin dit jaar is Mozilla begonnen om DoH onder Amerikaanse Firefox-gebruikers in te schakelen. Vorig jaar kwam het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie en Veiligheid nog met een factsheet waarin werd gesteld dat DNS-over-HTTP het lastiger maakt om dns-verzoeken te monitoren.

Naar aanleiding van de plannen van browserontwikkelaars om het dns-verkeer te versleutelen stuurde Grapperhaus een brief naar de Tweede Kamer (pdf). Daarin laat hij weten dat DoH het filteren en blokkeren van websites op basis van dns-verkeer lastiger maakt. Een ander risico is dat straks slechts een beperkt aantal partijen al het dns-verkeer gaat verwerken. De werkelijke impact is, vanwege het beperkte gebruik op dit moment, echter lastig in te schatten, aldus de minister.

"Versleuteld dns-verkeer tegenhouden lijkt geen reële optie en de toepassing van versleuteling van dns-verkeer heeft ook duidelijke voordelen", merkt Grapperhaus op. "Waar het uiteindelijk om gaat is hoe de leveranciers van internetbrowsers hun standaardinstellingen gaan bepalen, naar welke dns-servers ze gaan verwijzen en door wie deze beheerd worden."

Volgens de minister is voor de Nederlandse en Europese situatie van cruciaal belang dat het dns-verkeer wordt verwerkt op een manier die is gebaseerd op de Europese situatie en regelgeving. Staatssecretaris Keijzer van Economische Zaken is met verschillende Nederlandse partijen in gesprek over de versleuteling van dns-verkeer en de gevolgen daarvan. Het gaat dan onder andere om de mogelijke concentratie van data bij browserleveranciers. De uitkomst van deze gesprekken zal in Brussel op de agenda worden gezet.

Reacties (14)
17-08-2020, 15:25 door Anoniem
Kortom: hij wil het niet, maar ziet (eindelijk...) ook wel in dat hij het niet tegen gaat houden.
Zou er hoop zijn?
17-08-2020, 15:34 door Anoniem
Het blijft mogelijk de DNS verzoeken naar servers van je provider te zetten, dit lijkt me i.v.m. de privacy overigens de beste optie omdat deze toch al kan zien met welke websites je verbinding maakt (niet de inhoud) of je zou van een VPN gebruik moeten maken, dat is dan overigens ook te zien maar wat je dan verder doet weer niet.
17-08-2020, 15:35 door pe0mot - Bijgewerkt: 17-08-2020, 15:38
Ik snap het niet.
Wat heeft onze minister te maken met het opzoeken in een telefoonboek (wat het DNS is)?
Waarom wil hij weten wat ik opzoek, hij kan dit toch wel zien aan het IP verkeer wat er daarna plaatsvindt.
DNS is niet interessant, IP verkeer gaat het om meneer de minister.
Welke knurften adviseren deze man?
17-08-2020, 15:36 door Anoniem
Ik gebruik Expressvpn,daarbij ook hun versleutelde dns servers.
Dus al mijn data gaat versleuteld de wereld over.
De servers van Ziggo gebruik ik eigenlijk niet,alleen de internet service die Ziggo biedt en natuurlijk mijn basis tv pakket.
Ook mobiel gebruik ik Vodafone-Ziggo. ook mijn data via internet gaat dan ook via de vpn daarop.
17-08-2020, 15:43 door Anoniem
Door pe0mot: Ik snap het niet.
Wat heeft onze minister te maken met het opzoeken in een telefoonboek (wat het DNS is)?
Waarom wil hij weten wat ik opzoek, hij kan dit toch wel zien aan het IP verkeer wat er daarna plaatsvindt.
DNS is niet interessant, IP verkeer gaat het om meneer de minister.
Welke knurften adviseren deze man?

Dat wilt hij niet weten; Wat hij NIET wilt is dat er in browsers hierdoor 'standaard' DNS servers gebruikt zullen worden die bijv. in beheer zijn van landen buiten de EU (waar privacy wetten nog slechter zijn.)
17-08-2020, 16:12 door -Peter-
Door pe0mot: Ik snap het niet.
Wat heeft onze minister te maken met het opzoeken in een telefoonboek (wat het DNS is)?
Waarom wil hij weten wat ik opzoek, hij kan dit toch wel zien aan het IP verkeer wat er daarna plaatsvindt.
DNS is niet interessant, IP verkeer gaat het om meneer de minister.
Welke knurften adviseren deze man?

Hij wordt geadviseerd door mensen die snappen dat achter 1 IP adres honderen of duizenden sites kunnen zitten. En dat die veelal legitiem zijn.
Door rmensen die weten dat een crimineel zijn sites vaak host op verschillende servers en dat het IP adres, dat jij nu van je nameserver krijgt, wat anders kan zijn dan het IP adres waar je besmette server gistern mee verbinding maakte.
Dat zijn mensen die de principes van DGA snappen en dus ook weten dat je niet eens een IP adres terug hoeft te krijgen om te weten dat je serieus problemen hebt met je machine als die een paar DGA domeinen opvraagt. En dat je dat bij voorkeur oplost voordat je machine ook echt een IP adres terugkrijgt en daar verbinding mee maakt.

Peter
17-08-2020, 20:10 door Anoniem
Door pe0mot: Ik snap het niet.
Wat heeft onze minister te maken met het opzoeken in een telefoonboek (wat het DNS is)?
Waarom wil hij weten wat ik opzoek, hij kan dit toch wel zien aan het IP verkeer wat er daarna plaatsvindt.
DNS is niet interessant, IP verkeer gaat het om meneer de minister.
Welke knurften adviseren deze man?
Nou, eerst even de brief aan de Kamer lezen. Daar heeft de minister het over Nationale opsporingsautoriteiten zullen op dit punt eveneens een effect hiervan ondervinden. En dan spreken we het over aftappen van verkeer en aftapwet, zoals dat een aantal jaren in Nederland is toegestaan voor opsporingsinstanties. Logisch dat men dit niet leuk vindt. Omdat de overheid niet hoeft te weten waar ik naar toe ga - en ik niets te verbergen heb - is mijn DNS-verkeer standaard versleuteld.
17-08-2020, 22:03 door Anoniem
Door Anoniem: Ik gebruik Expressvpn,daarbij ook hun versleutelde dns servers.
Dus al mijn data gaat versleuteld de wereld over.
De servers van Ziggo gebruik ik eigenlijk niet,alleen de internet service die Ziggo biedt en natuurlijk mijn basis tv pakket.
Ook mobiel gebruik ik Vodafone-Ziggo. ook mijn data via internet gaat dan ook via de vpn daarop.

Ja, dat is tenminste verstandig! Een VPN gebruiken! Een volkomen onbekende derde partij, residerend onder onbekende wetgeving is natuurlijk veel betrouwbaarder dan Nederlandse partijen die zich aan wetgeving moeten houden.... en dat alleen maar omdat ze beloven (maar niet waar maken) dat er niets wordt gelogd.

Van wie is express vpn? Is dat net zoiets als het verhaal van de Zwitserse Cryptomachine maker uit de 70'er jaren die van de CIA bleek te zijn?
18-08-2020, 00:10 door Anoniem
Mensen komen al heel snel bij een DNS provider als Cloudflare o.i.d uit als ze DoH willen. en daarom wordt er wel eens het geintje gemaakt "ahhh..je gaat DoT doen?..nee..DoH: DNS over HTTPS. via Cloudflare....ja precies...DoT: DNS over Trump.

Waarom zou je in vredesnaam je DNS dan wel door een US bedrijf
in willen laten zien. De US overheid kan bij wet elk US bedrijf dwingen alle DNS data inzichtelijk te maken. Dat moet je niet willen.
18-08-2020, 09:41 door Anoniem
Is dat net zoiets als het verhaal van de Zwitserse Cryptomachine maker uit de 70'er jaren die van de CIA bleek te zijn?
Ooit wel eens gehoord om de berichten zelf te versleutelen, zodat ook de inlichtingendiensten er niet bij kunnen komen?
18-08-2020, 14:15 door Anoniem
Door Anoniem: Mensen komen al heel snel bij een DNS provider als Cloudflare o.i.d uit als ze DoH willen. en daarom wordt er wel eens het geintje gemaakt "ahhh..je gaat DoT doen?..nee..DoH: DNS over HTTPS. via Cloudflare....ja precies...DoT: DNS over Trump.

Waarom zou je in vredesnaam je DNS dan wel door een US bedrijf
in willen laten zien. De US overheid kan bij wet elk US bedrijf dwingen alle DNS data inzichtelijk te maken. Dat moet je niet willen.

Je moet je DoH pakketten ook via een VPN tunnel naar cloudflare sturen. Dan is het iig ook bij cloudflare niet erg duidelijk wie die queries gedaan heeft. Maar ja je kan ook andere DoH servers gebruiken er zijn er zat.

Ik gebruik het al ff en ben blij met dit soort ontwikkelingen.
18-08-2020, 18:08 door Anoniem
Door Anoniem: Is dat net zoiets als het verhaal van de Zwitserse Cryptomachine maker uit de 70'er jaren die van de CIA bleek te zijn?

Een exemplaar van die illustere Aroflex codeermachine staat in het Crypto Museum. De voorloper van de AIVD heeft er hard aan meegewerkt en Philips in Eindhoven en het Duitse Siemens hebben er goed aan verdiend:

THESAURUS 1 (later: RUBICON), was a secret operation of the German Bundesnachrichtendienst (BND) and the US Central Intelligence Agency (CIA), to purchase the Swiss crypto manufacturer Crypto AG (Hagelin) — codenamed MINERVA — in order to control the company, its algorithms and – indirectly – its customers. From 12 June 1970 2 onwards, Crypto AG was jointly owned by CIA and BND, each with 50% of the shares, and from 30 June 1994 exclusively by the CIA.

https://www.cryptomuseum.com/intel/cia/rubicon.htm
18-08-2020, 18:11 door Anoniem
Door Anoniem: Mensen komen al heel snel bij een DNS provider als Cloudflare o.i.d uit als ze DoH willen. en daarom wordt er wel eens het geintje gemaakt "ahhh..je gaat DoT doen?..nee..DoH: DNS over HTTPS. via Cloudflare....ja precies...DoT: DNS over Trump.

Hihi, die kende ik nog niet. Maar zelf doe ik wel degelijk DoT, in de variant DNS-over-Tor en niet DNS-over-TLS. Zie bijvoorbeeld https://developers.cloudflare.com/1.1.1.1/fun-stuff/dns-over-tor/. Uiteraard is het ook mogelijk zelf een eigen Tor (entry)node te draaien en de DNSPort feature te gebruiken. Mogelijkheden zat dus.
19-08-2020, 06:48 door Anoniem
Ministerie van Justitie en Veiligheid
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search