U eri masovnog nadzora i prikupljanja podataka, korisnici se sve više okreću alatima za zaštitu privatnosti. DNS preko HTTPS-a (DoH) i TLS 1.3 se često reklamiraju kao konačna rešenja koja nas čine “nevidljivima” za provajdere internet usluga (ISP). Međutim, istina je mnogo kompleksnija. Kroz praktičnu laboratorijsku vežbu, koristeći Wireshark i fizički ethernet tap (uređaj za presretanje saobraćaja), dokazaćemo da vaš ISP i dalje može videti svaku veb-stranicu koju posetite. 1. Šta je zapravo šifrovani DNS (DoH)? Tradicionalni DNS (Domain Name System) je “telefonski imenik” interneta. Kada ukucate google.com, vaš računar šalje upit serveru da sazna IP adresu. Ovaj upit je decenijama bio u čistom tekstu (plain text). Svako na putu — vaš ruter, ISP ili lokalni haker — mogao je da vidi šta tražite. DNS over HTTPS (DoH) rešava ovaj specifičan problem tako što upit šalje kroz šifrovani tunel. Vaš ISP više ne može da “prisluškuje” vaše DNS zahteve. Ali, ovde nastaje zabluda: korisnici misle da je tu kraj priče. 2. Problem zvan SNI: Rupa u vašem oklopu Čak i ako sakrijete DNS upit, ostaje proces uspostavljanja veze sa veb-serverom, poznat kao TLS Handshake. Kada vaš brauzer pokuša da se poveže sa sajtom koji koristi HTTPS, on šalje prvi paket pod nazivom Client Hello. Unutar tog paketa nalazi se polje koje se zove Server Name Indication (SNI). Zašto SNI postoji? Moderni serveri često hostuju stotine različitih veb-sajtova na jednoj IP adresi. Da bi server znao koji SSL sertifikat da pokaže vašem brauzeru, on mora da zna koji sajt pokušavate da posetite pre nego što se enkripcija uopšte uspostavi. Zbog toga se ime sajta (npr. mojabanka.com) šalje u čistom, nešifrovanom tekstu. Wireshark dokaz: Ako pokrenete Wireshark i filtrirate saobraćaj pomoću: tls.handshake.type == 1 …i pogledate unutar Extension: server_name, videćete tačan domen koji posećujete. Vaš ISP ne vidi šta radite na sajtu, ali zna gde ste. 3. ECH (Encrypted Client Hello): Budućnost ili lažna nada? Encrypted Client Hello (ECH) je nova tehnologija (koju podržavaju Firefox i Cloudflare) koja pokušava da šifruje i taj početni paket. Iako ovo zvuči kao rešenje, u praksi se suočava sa velikim preprekama: Bootstrapping problem: Brauzer mora unapred znati javni ključ servera. Ako ISP blokira specifične DNS zapise (HTTPS/SVCB) koji prenose ovaj ključ, ECH se automatski isključuje i vraća na nesigurni SNI. Korporativna kontrola: U poslovnim okruženjima, ECH se često namerno blokira jer onemogućava firewall uređajima da filtriraju maliciozne sajtove. Nepotpuna podrška: Većina sajtova na internetu još uvek ne podržava ECH. 4. Zašto je VPN i dalje jedino pravo rešenje za “mrak”? Da biste zaista postali nevidljivi za svoj ISP, morate sakriti samu destinaciju paketa. Kada koristite VPN (Virtual Private Network), dešava se sledeće: Vaš računar kreira šifrovani tunel direktno do VPN servera. Svi vaši paketi (uključujući DNS i TLS Handshake sa SNI poljem) su spakovani unutar drugog paketa. Vaš ISP vidi samo da šaljete nasumične podatke ka jednoj IP adresi (VPN serveru). On ne zna da li gledate YouTube, čitate vesti ili pristupate banci. Zaključak Tehnologije poput šifrovanog DNS-a su odlične za sprečavanje masovnog profilisanja i “hijackovanja” saobraćaja, ali one nisu alat za potpunu anonimnost. Dokle god se SNI šalje u čistom tekstu, vaš ISP ostaje tihi posmatrač vaših digitalnih koraka. Ako želite “ugasiti svetlo” na žici, jedini pouzdan način je kvalitetan VPN koji enkapsulira sav vaš saobraćaj od trenutka kada napusti vaš mrežni adapter. Post navigation Detaljna Analiza Sajber-napada na ANTS i Lekcije za Budućnost VPN (Virtual Private Network)
