Breaking News
AMR | Citrix Webinar: The Next New Normal

ผู้เชี่ยวชาญชี้ DNS-over-HTTPS อาจก่อปัญหามากกว่าสร้างประโยชน์

เมื่อไม่นานนี้ทาง Google และ Mozilla ต่างออกมาสนับสนุนและรองรับการใช้งาน DNS-over-HTTPS (DoH) แถมยังคุยว่าจะช่วยเรื่อง Privacy ในการใช้งาน อย่างไรก็ตามวันนี้เริ่มมีผู้เชี่ยวชาญจากหลายองค์กรได้ออกมาแสดงความคิดเห็นและจัดทำรายงานถึงความกังวลว่า DoH อาจก่อปัญหามากว่าประโยชน์ที่ได้รับ โดยเฉพาะกับการใช้งานระดับองค์กร

ประเด็นหลักที่ผู้เชี่ยวชาญไม่เห็นด้วยกับการโฆษณาและความสามารถจริงๆ ของ DoH สามารถสรุปได้ 3 ข้อดังนี้

1.ไม่สามารถติดตามการใช้งานได้ (Privacy)

Privacy คือหัวใจของการโปรโมต DoH จากทั้ง Mozilla และ Google ว่าผู้ใช้งานจะไม่ถูก ISP หรือ Censorship ติดตามได้ ทางผู้เชี่ยวชาญชี้ว่าเป็นการโฆษณาเกินจริง โดยมีเหตุผลสนับสนุนดังนี้

  • อันที่จริงแล้วการใช้งาน Internet ประกอบไปด้วยองค์ประกอบและโปรโตคอลหลายส่วน ซึ่งถ้าเอาเข้าจริง ISP ก็สามารถติดตามการใช้งานของผู้ใช้ได้อยู่ดี เช่น หากผู้ใช้เข้าเว็บด้วย HTTP การใช้งาน DoH ก็ไม่เกิดประโยชน์ หรือ HTTPS ไม่ได้เข้ารหัสทุกองค์ประกอบอย่าง SNI Fields หรือ OCSP Connection 
  • ISP รู้เส้นทางของทราฟฟิคอยู่แล้วว่าเรากำลังทำการเชื่อมต่อกับ IP ปลายทางอะไรจึงไร นอกจากนี้ยังมีรายงานจาก APNIC ว่าสามารถใช้ IP เพื่อดูว่ากำลังใช้เว็บไซต์อะไรได้อย่างแม่นยำถึง 95% 
  • APNIC ยังชี้ว่า DoH กระทบต่อ DNS Ecosystem เนื่องจากการตอบสนองฝั่ง DNS Server ต้องมี DoH Resolver ด้วย ซึ่งเครือข่ายของ DNS ปกติไม่ได้รองรับ ทำให้ DoH ใช้งานได้ไม่เทียบเท่ากับระบบ DNS ปกติ แถมเมื่อ Metadata วิ่งผ่าน Third-party ก็สามารถถูก Log ข้อมูลได้อยู่ดี ซึ่ง APNIC เสริมว่า “การเข้ารหัส DNS เป็นไอเดียที่ดีเพียงแต่ถ้ากระทำโดยไม่ต้องข้องเกี่ยวกับ Third-party น่าจะดีกว่า

ด้วยเหตุผลข้างต้นจึงยังสามารถแย้งคำโฆษณาได้อีกข้อหนึ่งว่า DoH จะแก้ไขปัญหาเรื่องการจำกัดการใช้งานในบางประเทศไม่ให้ถูกละเมิด Privacy

2.สร้างปัญหาแก่องค์กร

ผู้เชี่ยวชาญชี้ว่า DoH ยังก่อปัญหาร้ายแรงแก่องค์กรอย่างหลีกเลี่ยงไม่ได้คือ

  • User สามารถลัดผ่านการตรวจสอบขององค์กรได้ที่อาจละเมิดนโยบายการใช้งาน
  • องค์กรไม่สามารถป้องกันหรือตรวจจับการใช้งานได้เลยว่า DNS Request นั้นเป็นปกติ เกิดขึ้นจากมัลแวร์ ถูก Hijack ไปแล้วหรือไม่
  • เนื่องจากการทำงานของ DoH ต้องมี Resolver บนฝั่งเซิร์ฟเวอร์ด้วย ดังนั้นแอปพลิเคชันที่รองรับ DoH มักจะ Hardcode ลิสต์ของเซิร์ฟเวอร์มาแล้ว ซึ่งหากมีแอปที่รองรับ DoH มากขึ้นก็จะยิ่งมีจำนวนของ DNS Server เพิ่มขึ้นให้ต้องจัดการเช่นกัน

3.ทำให้แนวป้องกันด้านความมั่นคงปลอดภัยอ่อนแอ

เมื่อผู้ใช้งานหันมาใช้ DoH บนบราวน์เซอร์จะทำให้โซลูชันที่อาศัยการตรวจจับ DNS แบบเดิมนั้นไร้ค่า โดยถึงขนาดว่า SANS Institute และศูนย์ความมั่นคงปลอดภัยของเนเธอแลนด์ยังได้ออกโรงมาชี้ว่า DoH จะสร้างปัญหาให้แนวตั้งรับแย่ลง

เช่นกันคนร้ายก็สามารถประยุกต์ใช้ DoH เพื่อผลประโยชน์ของตนได้ซึ่งมีเหตุการณ์ที่มัลแวร์ลอบใช้ประโยชน์จาก DoH บ้างแล้ว รวมถึงที่มีหลายฝ่ายออกมาแสดงความไม่พอใจต่อ Google และ Mozilla เช่น สร้างความเสี่ยงให้สังคมออนไลน์ของสหราชอาณาจักรฯ และเกิดประโยชน์ต่อการใช้งานเว็บด้านละเมิดทางเพศเด็กหรือเว็บไซต์ผิดกฏหมายอื่นๆ

อย่างไรก็ตามผู้เชี่ยวชาญชี้ว่ายังมีทางเลือกไปใช้ DNS over TLS (DoT) หรือหากต้องการด้าน Privacy จริงๆ ก็ควรใช้ DoT กับ VPN หรือ ToR ควบคู่กัน ทุกเทคโนโลยีย่อมมีผล 2 ด้านเสมอ ดังนั้นก็ลองชั่งน้ำหนักกันดูนะครับว่าเทคโนโลยีที่เกิดขึ้นสร้างประโยชน์คุ้มค่ากับผลลัพธ์หรือไม่

ที่มา :  https://www.zdnet.com/article/dns-over-https-causes-more-problems-than-it-solves-experts-say/



About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

CU Webinar: ขานรับการเติบโตของข้อมูล และการจัดการ Storage แบบง่ายๆ ด้วย IBM FlashSystem

TechTalkThai ขอเรียนเชิญ IT Manager, Data Center Engineer, ผู้ดูแลระบบ IT, และผู้ที่สนใจทุกท่าน เข้าร่วมฟัง TechTalk Webinar ในหัวข้อเรื่อง "ขานรับการเติบโตของข้อมูล และการจัดการ Storage แบบง่ายๆ ด้วย IBM FlashSystem" เพื่ออัปเดตเทคโนโลยีล่าสุดของ Flash Storage และเครื่องมือที่น่าสนใจสำหรับนำไปใช้เพื่อรองรับงานทางด้าน AI, Analytics, SAP HANA และ Red Hat OpenShift ในวันอังคารที่ 16 มิถุนายน 2020 เวลา 10.30 – 12.00 น. โดยมีกำหนดการและวิธีการลงทะเบียนดังนี้

Aruba ขอเชิญร่วมสัมมนาออนไลน์ฟรี ATM Digital 18 มิ.ย. 2020 พร้อมเนื้อหาภาษาไทยทุกหัวข้อ

Aruba ขอเชิญ CIO, CTO, IT Manager, Network Engineer, ผู้ดูแลระบบ IT และผู้ที่สนใจทุกท่าน เข้าร่วมงานสัมมนาออนไลน์ฟรี ATM Digital งานสัมมนาใหญ่ประจำปีที่จะอัปเดตทุกเทคโนโลยีของ Aruba พร้อมแขกรับเชิญจาก WIRED และ SpaceX โดยเนื้อหาทั้งหมดจะมี Subtitle ภาษาไทย ในวันที่ 18 มิถุนายน 2020 เวลา 9.00น. - 13.00น. โดยมีรายละเอียด กำหนดการ และวิธีการลงทะเบียนเข้าร่วมงานฟรีดังนี้