محافظت بیشتر از حریم خصوصی کاربران با DNS امن Cloudflare
سرویس جدید DNS امن شرکت cloudflare با آدرس اینترنتی ۱.۱.۱.۱

شرکت Cloudflare وعده داده که سرویس DNS امن این شرکت که با آدرس اینترنتی 1.1.1.1 شناخته می شود علاوه بر این که سریعتر خواهد بود، نسبت به رقبا نیز امنیت بیشتری را برای کاربران اینترنتی فراهم خواهد کرد. با این وجود، این سرویس هنوز تفاوت چندانی با سرویسهای ارایه شده توسط رقبای اصلی این شرکت همچون گوگل ندارد.
Cloudflare ادعا میکند تحلیلگر DNS این شرکت می تواند حریم خصوصی کاربران را افزایش دهد. این شرکت که سرویس DNS resolver یا تحلیلگر DNS به آدرس 1.1.1.1 را معرفی کرده است، اعلام کرده از آن برای مقابله با اقدام های صورت گرفته توسط شرکتهای ارایه دهنده خدمات اینترنتی (ISPها) برای جمعآوری اطلاعات کاربران استفاده میکند.
Matthew Prince مدیرعامل و از مؤسسان شرکت Cloudflare در یک پست وبلاگی نوشته است که: «در حالت پیشفرض، ISP شبکه بی سیمی که به آن متصل شدهاید و ارایه دهنده شبکه موبایلی شما لیست تمام وبسایتهایی که از آنها بازدید میکنید را دارند». وی همچنین گفته قوانینی که ISPها را از فروش این دادهها منع کند، لغو شدهاند.
بنابراین با توجه به وجود نگرانیهایی که در خصوص جمعآوری دادههای کاربران توسط شرکت هایی مثل گوگل و فیسبوک وجود دارد؛ اضافه شدن ISPهایی همچون Comcast ،Time Warner و AT&T به این لیست باعث افزایش نگرانیها نیز شده است. هر چند این مشکل فقط مشکل کشور آمریکا نیست و ISPهای سراسر جهان هم از این امر ممکن است برای نقض حریم خصوصی کاربران سوءاستفاده کنند.
با این وجود، تنها هدف شرکت Cloudflare فقط ISPها نبوده اند. در صفحه رسمی وب سایت DNS امن این شرکت گفته شده که: «در حال حاضر بعضی از ارایه دهندگان سرویس DNS، اطلاعات مربوط به فعالیتهای اینترنتی کاربران را فروخته یا از این اطلاعات برای نمایش تبلیغات هدفمند به کاربران استفاده میکنند».
Cloudflare مستقیماً اشارهای نکرده که کدام سرویسهای ارایه دهنده DNS اقدام به انجام چنین اعمالی کرده اند اما وعده داده که شرایط اصلاح خواهد شد.
Prince در ادامه گفته: «ما متعهد هستیم هرگز آدرس IP کاربرانی که از سایتهای مختلف بازدید میکنند را روی هیچ دیسکی ذخیره نکرده و تمام فایلهای لاگ را نیز در عرض 24 ساعت پاکسازی کنیم. کسبوکار شرکت Cloudflare هیچ وقت بر محور ردیابی و نظارت بر کاربران یا فروش اطلاعات آنها برای تبلیغات شکل نگرفته است. ما به اطلاعات کاربران به عنوان یک دارایی نگاه نمیکنیم بلکه ببیشتر آن را یک دارایی مسموم می دانیم».
Nick Sullivan رئیس بخش رمزنگاری شرکت Cloudflare هم به وبسایت SearchSecurity اعلام کرده که یکی از تفاوتهای عمده بین 1.1.1.1 DNS با ISPها و سایر ارایه دهندگان خدمات DNS این است که شرکت Cloudflare «خط مشی بسیار قوی در زمینه حفظ حریم خصوصی کاربران دارد».
وی همچنین اعلام کرده که «معمولاً ISPها سرویس resolver (تحلیلگر) را فراهم کرده و سپس اطلاعات مربوط به ترافیک اینترنتی کاربران را به تبلیغ کنندگان میفروشند. تابع تحلیلگر 1.1.1.1 DNS به جای انجام مسیریابی از طریق تابع تحلیلگر ISP، روی قسمتهایی از خود Cloudflare اجرا میشود. با توجه به این که Cloudflare سرویس DNS را برای حدود 7 میلیون دامنه فراهم میکند، تبدیل نام دامنه برای بیشتر سایتها به صورت لحظهای انجام میشود چون پاسخ مربوط به تبدیل URL به نام دامنه، در همین تابع تحلیلگر انجام می شود».
با این حال، Sullivan در صحبت هایش اشارهای به این موضوع نکرده است که خود تابع تحلیلگر Cloudflare چطور به تنهایی میتواند ترافیک بازدید کاربران را از ISPها مخفی کند!
مقایسه 1.1.1.1 DNS شرکت Cloudflare با رقبا
با وجود مخالفتهای شرکت Cloudflare با اقدام هایی که ISPها برای نظارت و ردیابی کاربران انجام میدهند، هنوز مشخص نیست که تابع تحلیل DNS 1.1.1.1 چطور این مشکل را برطرف میکند. در پست وبلاگی Prince، به دو سازوکار DNS-over-TLS و DNS-over-HTTPS اشاره شده که تابع تحلیلگر 1.1.1.1 DNS از هر دوی آنها پشتیبانی میکند؛ با این حال به ارتباط مستقیم این دو با حفظ حریم خصوصی کاربران در برابر اقدامات ISPها اشاره ای نشده است.
Prince تصدیق کرده که سرویس DNS گوگل تنها تحلیلگر عمدهای است که از سازوکار DNS-over-HTTPS پشتیبانی میکند. البته در عین حال نیز بیان کرده که «سیستمعاملهای غیراندرویدی و مرورگرهای غیرکروم، نسبت به ایجاد سرویسی که دادهها را به رقیب شان (گوگل) ارسال کند، بی میل هستند».
در این پست همچنین گفته شده که: «DNS ذاتاً بدون رمزنگاری است. به همین دلیل موجب نشت دادهها برای هر فرد یا شرکتی میشود که بر اتصالات شبکه ای شما نظارت دارد. هر چند در حالتی که تحلیلگر DNS متعلق به خود ISP نباشد و کاربران از تحلیلگر دیگری استفاده کنند، این کار سخت میشود اما باز هم امنیت لازم را ندارد.
چیزی که در حال حاضر به آن نیاز است، گویا حرکت به سمت یک پروتکل مدرن جدید است. چندین رویکرد مختلف در این زمینه وجود دارد که یکی از آنها DNS-over-TLS است که پروتکل DNS فعلی را دریافت کرده و لایه انتقال را رمزنگاری میکند. رویکرد بعدی نیز DNS-over-HTTPS است که علاوه بر داشتن امنیت، ویژگیهای پیشرفتهتری مثل پشتیبانی از سایر لایههای انتقال و فناوری هایی مانند HTTP/2 Server Push را نیز شامل می شود».
متخصصان خاطرنشان کردهاند که پشتیبانی از این پروتکلهای امنیت انتقال اطلاعات، به معنای پیادهسازی آنها نیست چون برای پیادهسازی هر دوی این سازوکارها نیاز به برقراری ارتباط بین DNS کلاینت با DNS تحلیلگر وجود دارد.
Shawn Webb از بنیانگذارن HardenedBSD که یکی از سیستمعامل های برگرفته از FreeBSD البته با امنیت بیشتر است، میگوید: «در صورتی که از سرویس DNS-over-TLS استفاده نکنید، یعنی همچنان پرسوجوهای مربوط به DNS و پاسخهای دریافتی را به صورت متن ساده تبادل میکنید» و تا به امروز ثابت شده که بعضی از ISPها این پرسوجوها را بررسی کرده و بر آنها نظارت دارند.
علاوه بر این، ادعای Cloudflare در این زمینه که تحلیلگر 1.1.1.1 DNS آدرسهای آی پی را به صورت دائم ثبت نمیکند ظاهراً با هدف متمایز کردن سیاستهای این شرکت از رقبا مطرح شده است. زمانی که این ادعا را با ادعاهای گوگل در خصوص حفظ حریم خصوصی کاربران (در قسمت پرسش و پاسخهای عمومی گوگل برای موضوع DNS) مقایسه میکنیم، زبان آنها کاملاً مشابه و یکسان به نظر میرسد.
گوگل در قسمت پرسش و پاسخهای مربوط به حریم خصوصی اینطور گفته که: «در فایلهای لاگ موقت، آدرس آی پی کامل دستگاه مورد استفاده کاربر ذخیره میشود. ما این کار را برای شناسایی رویدادهای ناخوشایندی مثل حملات DDoS و برای حل مشکلاتی مثل عدم نمایش دامنههایی خاص برای بعضی از کاربران انجام میدهیم.
این فایلهای لاگ موقت، ظرف مدت زمان 24 تا 48 ساعت حذف میشوند. در فایلهای لاگ دائم، هیچ اطلاعات قابل شناسایی و هیج آی پی را ذخیره نمیکنیم. ما اطلاعات موقعیتی را (در سطح شهر) حفظ میکنیم تا بتوانیم تفسیر و تحلیلهای لازم را در خصوص سوءاستفادههای احتمالی انجام دهیم. بعد از حفظ این اطلاعات برای مدت زمان دو هفته، به صورت تصادفی زیرمجموعه کوچکی از آنها را برای ذخیره دائم انتخاب میکنیم».
گوگل هم به کاربرانش وعده داده که از DNS عمومی خود در راستای اهداف تبلیغاتی استفاده ای نخواهد کرد.
نقش مرکز اطلاعاتی APNIC
یکی دیگر از معماهای موجود امنیت بیشتر کاربران با DNS امن Cloudflare ، در زمینه ذخیره دادهها، در 1.1.1.1 DNS، همکاری تحقیقاتی شرکت Cloudflare با مرکز اطلاعاتی “Asia Pacific Network Information Centre” یا به اختصار “APNIC” است؛ یک دفتر ثبت اینترنت منطقهای که آدرسهای آی پی در منطقه آسیا – اقیانوسیه را تعیین کرده و مالک آدرس آی پی 1.1.1.1 نیز است.
بر اساس برنامهریزیهای صورت گرفته، قرار است این همکاری پنج سال به طول انجامیده و بعد از گذشت این زمان، همکاری این دو شرکت بازبینی میشود و ممکن است APNIC تصمیم بگیرد که آدرس 1.1.1.1 را به صورت دائمی به Cloudflare تخصیص بدهد.
هر چند Cloudflare با صراحت اعلام کرده که اطلاعات مربوط به ترافیک وب را بیشتر از 24 ساعت ذخیره نمیکند اما جدول زمانی ذخیره دادهها توسط APNIC همچنان مبهم است.
Geoff Huston کارشناس ارشد APNIC بیان کرده: «ما متعهد هستیم برای امنیت بیشتر کاربران با DNS امن Cloudflare با دقت و مراقبت کامل، با همه دادهها رفتار کرده و توجه کافی به حفظ حریم خصوصی افراد داشته باشیم و امیدواریم بتوانیم مشکلات ناشی از نشت دادهها را به حداقل میزان ممکن برسانیم. ما تمام اطلاعات خام DNS را به محض انجام تحلیلهای آماری روی جریان گردش دادهها حذف میکنیم.
ما به هیچ عنوان اطلاعات مربوط به فعالیتهای کاربران را جمعآوری نمیکنیم تا از آن برای شناسایی افراد استفاده کنیم و تضمین میدهیم که همه اطلاعات پردازش شدهای که حفظ میشوند، تا حدی عمومی و کلی هستند که امکان بازسازی پروفایل افراد بر اساس آنها وجود نداشته باشد. همچنین دسترسی به دادههای اولیه و اصلی برای محققان آزمایشگاهی APNIC به شدت محدود خواهد بود و ما طبیعتاً به سیاستهای عدم افشای اطلاعات APNIC پایبند خواهیم بود».