Заработал первый в мире DNS-резолвер с поддержкой DNS-over-QUIC

Заработал первый в мире DNS-резолвер с поддержкой DNS-over-QUIC

Заработал первый в мире DNS-резолвер с поддержкой DNS-over-QUIC

Разработчики из AdGuard ввели в строй кеширующий DNS-сервер с поддержкой технологии DNS-over-QUIC (DoQ). Новинка уже доступна как экспериментальная опция пользователям Android- и iOS-приложений компании, предназначенных для блокировки непрошеной рекламы.

Новый резолвер AdGuard в качестве протокола транспортного уровня использует QUIC. До сих пор обмен данными в рамках процедуры преобразования DNS-имени в IP-адрес по умолчанию осуществлялся по UDP, и такой порядок давно перестал всех устраивать из-за широких возможностей для злоупотреблений.

Существенным недостатком UDP является отсутствие шифрования трафика. Эту проблему не раз пытались решить путем создания альтернативных протоколов — DNS-over-HTTPS (DoH), DNS-over-TLS (DoT). Однако новые технологии тоже оказались небезгрешны: DoH попросту прячет DNS-пакеты в шифрованном трафике HTTPS, оставляя возможность отследить действия пользователя на уровне провайдера, а DoT добавляет поддержку защитного протокола TLS, реализация которого и на стороне клиента, и на стороне DNS-сервера требует больших усилий.

В отличие от этих технологий DoQ не пытается пристегнуть другие прикладные протоколы, а производит замену на транспортном уровне — вместо ненадежного UDP использует QUIC.

Протокол QUIC (Quick UDP Internet Connections) был разработан в компании Google как альтернатива SPDY. Последний в свое время считался успешным проектом, способным заменить стареющий и уступающий в скорости TCP. Протокол SPDY был взят за основу при разработке спецификаций HTTP/2.

Технология QUIC в сравнении со SPDY обеспечивает более высокое быстродействие и надежность передачи пакетов, а также предусматривает встроенную поддержку TLS-шифрования. Интеграция QUIC с HTTP и HTTPS, первоначально названная HTTP-over-QUIC, теперь известна как стандарт HTTP/3, пока не утвержденный.

Проект DoQ — это схожая попытка замены устаревшего транспортного протокола с целью повышения скорости и надежности передачи данных. Спецификации DoQ существуют только в черновом варианте, но уже понятно, что этот стандарт более перспективен, чем DoH. Поддержка шифрования здесь реализуется на транспортном уровне (QUIC), а не прикладном (HTTP), поэтому DoQ не генерирует характерные для HTTP/HTTPS артефакты, которые можно использовать для отслеживания действий пользователя в интернете.

Единственным недостатком протокола DoQ, роднящим его с классическим DNS, DoH и DoT, является возможность определить источник запроса на стороне сервера. В DoH эту проблему попытались решить, добавив прокси-сервер между пользователем и DNS-резолвером (проект Oblivious DoH). В AdGuard полагают, что что-нибудь подобное можно со временем придумать и для DoQ, а пока намерены поэкспериментировать с рабочей версией стандарта.

Пользователи приложений AdGuard для iOS и Android могут опробовать DoQ-опцию, следуя инструкциям в блоге компании.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Роботы-официанты и курьеры оказались под угрозой удалённого взлома

Исследователь под ником BobDaHacker обнаружил серьёзную брешь в API управления роботами Pudu Robotics. Ошибка была настолько простой, что даже человек с минимальными техническими знаниями мог «угнать» любого робота — от официанта BellaBot в ресторане до робота-доставщика лекарств в больнице.

Проблема заключалась в том, что API требовал токены, но при этом не проверял права пользователя и «владение» устройством.

В итоге можно было смотреть историю вызовов, менять настройки, перенаправлять задания или даже заставить роботов крутиться по кругу.

 

В ресторане это выглядело бы как фарс: ваш ужин вдруг приезжает на соседний столик, все заказы массово отменяются в час пик, а роботы начинают кататься по залу и включать музыку.

Но в больнице или офисе последствия могли быть куда серьёзнее — от срыва доставки лекарств до кражи документов с охраняемых этажей.

BobDaHacker сообщил о проблеме ещё 12 августа, но Pudu Robotics игнорировала обращения почти три недели. Лишь после того как исследователь напрямую предупредил крупных клиентов вроде японских ресторанных сетей Skylark и Zensho, компания наконец «обнаружила» уязвимость и выпустила заплатку.

Реакция производителя вызвала не меньше вопросов, чем сама дыра. У Pudu не оказалось ни выделенного контакта для безопасности, ни прозрачного процесса обработки сообщений о проблемах. Ответ пришёл в виде шаблонного письма, где даже не удалили плейсхолдер «[Your Email Address]».

История показывает: красивые слова о «приверженности безопасности» на сайте мало что значат без реальных мер. Когда роботы обслуживают рестораны, отели, школы и особенно больницы, сбои в их работе могут обернуться не только испорченным ужином, но и угрозой для здоровья и безопасности.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru