Statslig DNS censur i det amerikanske SOPA lovforslag -- og i Danmark -- truer internetsikkerheden
I dette notat analyserer IT-Politisk Forening internetcensurdelen af SOPA lovforslaget. Vi påpeger at den omfattende amerikanske kritik af SOPA, specielt den del som inddrager konsekvenserne for internetsikkerheden, er yderst relevant for den danske internetcensur. Obama administrationens klare afvisning af DNS censur, og lignende indgreb i internettets grundlæggende tekniske infrastruktur, bør give stof til eftertanke for de danske politikere.
SOPA og internet/DNS censur
I de udenlandske netmedier har der i den seneste tid været meget debat om det amerikanske SOPA lovforslag (Stop Online Piracy Act). Et af elementerne i SOPA er blokering af websites uden for USA via DNS systemet. Hvis www.roguesite.invalid skal blokeres, sker dette ved at DNS opslaget for domænet roguesite.invalid manipuleres (DNS censur), således at internetbrugerne sendes til en STOP side i stedet for den rigtige side (som stadigvæk eksisterer på internettet, men bare ikke er tilgængelig via DNS).
Det er en model som vi kender særdeles godt i Danmark. Siden 2005 har danske internetudbydere efter først kraftig pression fra staten og senere domstolskendelser brugt DNS censur til at blokere websider med påstået børnepornoindhold, ophavsretslige krænkelser (allofmp3.com, thepiratebay.org), salg af medicin som ikke er godkendt i Danmark, samt udenlandske spilleudbydere som ikke har dansk godkendelse. Det er ikke usandsynligt at den danske praksis med DNS blokering/censur har virket som inspiration for de amerikanske lovgivere.
Kritikken af SOPA
Der har været en massiv kritik af SOPA fra internetbrugerne, sociale medier som Facebook og YouTube, andre innotative virksomheder som arbejder med internettet som Google og eBay, samt borgerrettighedsorganisationer som ACLU og EFF (Electronic Frontier Foundation). Kritikken af internetcensuren i SOPA er især gået på to ting
1) Det er dobbeltmoralsk at indføre internetcensur samtidig med at man selv aktivt promoverer et åbent og frit internet, som udenrigsminister Hillary Clinton har gjort i denne berømte tale
http://www.state.gov/secretary/rm/2010/01/135519.htm
2) DNS censuren i SOPA forringer internetsikkerheden fordi DNS censur er i direkte konflikt med principperne i DNSSEC. Dette argument er blevet fremført af Dan Kaminsky og andre specialister i DNS og internetsikkerhed.
Dette indlæg vil primært behandle det andet kritikpunkt, altså at DNS censur truer internetsikkerheden. De øvrige elementer i SOPA lovforslaget udover DNS censur, for eksempel tredjepartsansvar for brugergenereret indhold på blogs og sociale medier og den deraf følgende selvcensur, bliver heller ikke diskuteret her.
DNS systemet og sikkerhedsproblemer ved DNS
DNS er en kritisk del af internettets infrastruktur. IT-Politisk Forenings hjemmeside befinder sig på IP adressen 178.209.166.158, men det er selvsagt umuligt for internetbrugerne at huske IP adresser for alle mulige websites, og disse IP adresser kan ændres når servere flyttes. Derfor opfandt man i starten af 1980'erne DNS systemet, der virker som en slags telefonbog. Der laves et navneopslag på www.itpol.dk, og den korrekte IP adresse returneres. Alt dette sker naturligvis helt automatisk på en computer eller smartphone, og meget få internetbrugere tænker over DNS i det daglige.
DNS systemet er udviklet på et tidspunkt hvor der var relativt få brugere og websites på internettet, og sikkerhedsmodellen i DNS er stort set ikke eksisterende. I 1980'erne var der ingen alvorlige phishing trusler på internettet, og internettet blev ikke brugt til internethandel, netbank eller selvbetjening hos det offentlige ("digitalisering"). Det er relativt nemt for en hacker at forfalske svaret på et DNS opslag med et såkaldt man-in-the-middle angreb, så brugerne sendes til en falsk hjemmeside. Det kan selvsagt have katastrofale følger for e-handel, netbank og offentlig selvbetjening.
SSL er ikke [længere] nok til at sikre kommunikationen
SSL/HTTPS, udviklet i 1990'erne, prøver at løse disse problemer ved at internetbrowseren checker om man kommer til det "rigtige" website, og kommunikationen mellem bruger og website krypteres. Det sker ved hjælp af certifikater som signeres af en CA (certificate authority). Browseren stoler på et antal CAs og hvis en af disse CA'ere har signeret et SSL certifikat for et website, skabes en godkendt SSL forbindelse til dette website. Det ses typisk ved en hængelås i browseren eller anden speciel markering af domænenavnet (den præcise metode varierer fra browser til browser).
Sikkerhedsmodellen i SSL er imidlertid også under pres, og i 2010-2011 har vi set en lang række falske certifikater "in the wild", som altså konkret er blevet brugt til man-in-the-middle angreb på en internetkommunikation der efter bogen skulle være sikret (authentikeret og krypteret). Det er ganske enkelt sikkerhedsbristen "som ikke måtte ske". Et af problemerne i SSL systemet er at den moderne browser stoler på flere hundrede forskellige CA'ere som kan udstede (signere) certifikater til alle websites. Disse CAere konkurrerer om kunderne, blandt andet på prisen for SSL certifikatet. Ligesom man kan skifte internetudbyder fra TDC til Telenor, kan man skifte CA fra Verisign til Comodo. Nogle SSL udstedere har i en periode haft en meget dårlig sikkerhed som i nogle tilfælde direkte er blevet kompromitteret, og da alle CAere kan udstede certifikater til alle websites, er sikkerheden reelt bestemt af den CA som har den dårligste sikkerhed. En kæde er ikke stærkere end dens svageste led.
Dette er ikke kun en teoretisk trussel: i 2011 blev en hollandsk CA, Diginotar, hacket i et sådant omfang at hackerne reelt havde fuld kontrol over Diginotar i en længere periode. Diginotar, eller rettere hackerne, udstedte falske certifikater til websites hvor hackerne var interesseret i at opfange trafikken (aflytte eller manipulere) med et MiTM angreb. I Diginotar sagen var det angiveligt den iranske regering som ville opfange krypteret trafik fra landets borgere til Facebook og Gmail. Men det kunne også have været kriminelle, som ville angribe danske netbanker eller borger.dk.
Mange af disse angreb på SSL involverer også forfalskning af DNS opslaget. Hvis hackeren kun forfalsker DNS opslaget til et website som bruger SSL, vil der komme en sikkerhedsadvarsel i browseren. Men på grund af de voksende sikkerhedsproblemer med SSL, vurderer mange sikkerhedseksperter at SSL i længden ikke er tilstrækkelig.
DNSSEC
DNSSEC er en lovende løsning på flere af de sikkerhedsproblemer som er nævnt ovenfor. Først og fremmest bliver selve DNS opslaget certificeret, således at slutbrugeren har mulighed for at se om det er den korrekte IP adresse (dvs. den som ejeren af domænet selv har indsat i DNS systemet, altså "telefonbogen"), eller om IP adressen er blevet forfalsket af en server mellem brugeren og det pågældende website (man-in-the-middle angreb). En hacker kan måske forfalske et DNS svar, men hackeren kan ikke levere et svar der er korrekt signeret efter DNSSEC, og derfor vil internetbrugeren kunne se dette.
Browserproducenter vil kunne indbygge advarselslamper som markerer når et DNS opslag for et website ikke er korrekt signeret med DNSSEC, herunder skelne mellem domæner som slet ikke er signeret, og DNS opslag hvor DNSSEC kontrollen fejler fordi der modtages en forkert IP adresse (specielt det sidste vil være et tegn på et man-in-the-middle angreb). Den fulde implementering af alt dette ligger et stykke ude i fremtiden, men der er allerede third-party plugins til Firefox og Chrome som gør det muligt at checke DNSSEC for domænet hvis man bruger en DNS resolver med DNSSEC-validering. Dette plugin hedder "DNSSEC Validator"
http://www.dnssec-validator.cz/
På længere sigt kan DNSSEC måske helt erstatte SSL fordi krypteringen og authentikeringen af websites (via HTTPS) kan ske via DANE protokollen. Dette projekt er dog stadig under udvikling, mens selve DNS valideringen i DNSSEC er taget i brug, indtil videre dog i begrænset omfang. En af de væsentlige forskelle mellem SSL og DNSSEC er den organisatorisk enhed som står for at signere (altså "validere") domænet. Med SSL er det de løst tilknyttede CAere som kan signere alle mulige domæner. Med DNSSEC er signeringen bygget ind i selve domæneregistreringssystemet. For et .dk domæne, skal DK Hostmaster signere DNS for domænet, og ICANN signerer DK Hostmaster som DNSSEC-ansvarlig for alle .dk domæner.
DNSSEC vil for alvor få betydning for internetsikkerheden den dag hvor det er de facto standarden for DNS, ligesom SSL og HTTPS i dag er standarden på områder som internethandel, netbank og sikker kommunikation med det offentlige. Danske internetbrugere bliver kraftigt opfordret til at holde øje med SSL hængelåsen i browseren, og om nødvendigt lukke browseren hvis der kommer en SSL advarsel. Det kunne jo være et forsøg på man-in-the-middle angreb fra en hacker. Hvis manglende DNSSEC validering en dag får samme "status" (via advarsler i browseren), vil det være en væsentlig forbedring af internetsikkerheden for den danske befolkning.
Der er stadig relativt få, men heldigvis et voksende antal domæner som bruger DNSSEC. I skrivende stund er der imidlertid ingen af de større danske internetudbydere som benytter DNSSEC i de DNS servere (DNS resolvere) som deres kunder gør brug af når de laver DNS opslag. Forhåbentlig vil det ændre sig i takt med at DNSSEC udbredes. En stor amerikansk ISP, Comcast, har for nylig implementeret DNSSEC i deres DNS resolvere
http://www.dnssec.comcast.net/
DNS censur skaber konflikt med DNSSEC
Statslig DNS censur, som vi allerede har det i Danmark og som det er foreslået i USA med SOPA, skaber imidlertid en række problemer for DNSSEC.
For det første er det uklart hvordan det overhovedet skal håndteres uden at gøre vold på DNSSEC, specielt hvis DNSSEC forventes for alle domæner. Comcast har i forbindelse med deres DNSSEC udrulning droppet en "domain helper service" som via falske DNS svar sendte brugerne til en intern søgemaskine, hvis brugerne i webbrowseren indtastede et ikke-eksisterende domæne (OpenDNS bruger også denne metode, og tjener penge på de reklamer som vises på søgemaskinen). Denne form for DNS redirection er imidlertid inkompatibel med DNSSEC, og Comcast har derfor droppet den, som de forklarer i deres DNSSEC FAQ
http://www.dnssec.comcast.net/faq.htm
Den fundamentale ide med DNSSEC er at det ikke skal være muligt at forfalske et DNS svar, men statslig DNS censur går netop ud på at forfalske DNS svaret, så internetbrugerne sendes til en STOP side (en falsk side). I bedste fald vil problemet være begrænset til manglende DNSSEC validering af de domæner som er udsat for DNS censuren, uden at sikkerheden i DNSSEC for de resterende domæner kompromitteres. Men selv denne "best case" er undergravende for den sikkerhed som DNSSEC faciliterer, idet internetbrugerne vil se DNSSEC advarsler på de censurramte sites (forudsat at webbrowseren forstår DNSSEC, jf. diskussionen ovenfor). Hvis brugerne ser mange DNSSEC advarsler pga. omfattende statslig DNS censur, vil deres opmærksomhed være sløvet den dag hvor DNSSEC advarslen skyldes et rigtigt MiTM angreb fra kriminelle.
Som nævnt ovenfor er SOPA blevet kraftigt kritiseret af specialister i DNS og internetsikkerhed fordi DNSSEC besværliggøres. Den mest præcise kritik er fremsat af Dan Kaminsky (kendt for at udbedre et stort sikkerhedshul i DNS) i et hvidpapir skrevet sammen med en række andre DNS specialister
http://dankaminsky.com/2011/05/26/filtering/
http://s3.amazonaws.com/dmk/PROTECT-IP-Technical-Whitepaper-Final.pdf
Stewart Baker (Assistant Secretary i Department of Homeland Security under G.W. Bush regeringen) har også kritiseret SOPA med henvisning til at det undergraver DNSSEC og internetsikkerheden
http://volokh.com/2011/11/18/finding-fault-with-the-stop-online-piracy-act/
Heldigvis har denne kritik fra "internet community" har vakt opmærksomhed. I en meddelelse den 14. januar skriver The White House (den amerikanske præsident) blandt andet
https://wwws.whitehouse.gov/petition-tool/response/combating-online-piracy-while...
We must avoid creating new cybersecurity risks or disrupting the underlying architecture of the Internet. Proposed laws must not tamper with the technical architecture of the Internet through manipulation of the Domain Name System (DNS), a foundation of Internet security. Our analysis of the DNS filtering provisions in some proposed legislation suggests that they pose a real risk to cybersecurity and yet leave contraband goods and services accessible online. We must avoid legislation that drives users to dangerous, unreliable DNS servers and puts next-generation security policies, such as the deployment of DNSSEC, at risk.
Seneste udvikling i sagen per 21. januar er at SOPA, og det tilsvarende lovforslag i senatet PIPA, er udsat på ubestemt tid. Det vil være særdeles positivt hvis den amerikanske DNS censur opgives. For det første fordi den amerikanske befolkning besvarer adgangen til et frit og ucensureret internet, eller i hvert fald ucensureret DNS system. Hvis man som iraner eller dansker skal opnå det samme, kræver det særlige "kunstgreb" (i Danmark er det indtil videre tilstrækkeligt at skifte DNS resolver, for eksempel til CensurfriDNS som IT-Politisk Forening anbefaler; se websiden www.censurfridns.dk for mere information om denne tjeneste, som udover fraværet af censur udmærker sig ved at levere DNSSEC-validering med AD flaget). For det andet fordi det vil gavne udbredelsen af DNSSEC i USA, og da USA udgør en stor del af internettet, vil det have betydning for internetbrugere i alle lande.
Behov for en re-vurdering af den danske DNS censur
IT-Politisk Forening mener at den DNSSEC-relaterede kritik af SOPA bør give anledning til en revurdering af den danske DNS censur. De problemer for internetsikkerheden som DNS specialisten Dan Kaminsky påpeger rammer også danske internetbrugere når den danske stat ønsker internetcensur via DNS.
IT-Politisk Forening har overfor danske politikere flere gange fremført argumentet om at censur grundlæggende er forkert,og at det er decideret dobbeltmoralsk at kritisere Kina og Iran for internetcensur samtidig med at Danmark (staten) selv gør det. Men vi må desværre erkende at vi ikke har opnået nævneværdige resultater af denne kritik, og DNS censuren er tværtimod blevet udvidet til at omfatte flere områder. Med spilleloven og lægemiddelloven blev det nærmest "institutionaliseret" at udenlandske websites kan blokeres hvis de ikke overholder dansk lov, hvilket er et princip som har fuldstændigt uoverskuelige konsekvenser. Internettet er globalt, og der er på mange områder betydelige forskelle i landenes lovgivning, ikke kun om ophavsret, spil og lægemidler. IT-Politisk Forening finder det meget forkert at udstrække dansk lov til at "gælde" i udlandet på den måde.
Politiske beslutninger handler ofte om afvejning af fordele og ulemper. Det er meget tænkeligt at de danske folketingspolitikere vurderer at de principielle problemer ved internetblokeringer, som IT-Politisk Forening løbende har påpeget, er acceptable ulemper i forhold til de resultater som man håber at opnå med censur/blokering af for eksempel udenlandske spilleudbydere, ulovligt medicinsalg eller udenlandske websites som anklages for ophavsretslige krænkelser (sidstnævnte kan blokeres efter dansk lov ved simple fogedsager mod internetudbydere, fordi der ikke er skabt tilstrækkelig klarhed i e-handelsloven om internetudbyderes ansvarsfrihed når de blot transporterer trafik efter "mere conduit" princippet i det bagvedliggende e-handelsdirektiv).
Det er også korrekt at den danske internetcensur er "selektiv" og rammer en forholdsvis lille del af det samlede antal internetdomæner, i hvert fald indtil videre. Men den danske internetcensur er allerede nu blevet så omfattende at den meget let kan blive et problem for brugen af DNSSEC i Danmark, og på den måde er der reelt tale om at den danske internetcensur undergraver internetsikkerheden for den danske befolkning.
Dette meget væsentlige, med hidtil oversete, aspekt bør medtages når politikere i Folketinget vurderer fordele og ulemper ved internetcensur. Når Obama administrationen udtaler sig kritisk om DNS censuren i SOPA er det ikke fordi de ønsker at støtte lovløse tilstande på internettet eller fremme piratkopiering og ulovlig medicinimport. Det fremgår klart og tydeligt af den øvrige del af udtalelsen af 14. januar, jf. linket ovenfor. Men Obama administrationen vurderer nøgternt at målene med SOPA ikke kan retfærdiggøre et frontalangreb på internettets grundlæggende tekniske infrastruktur, og specielt ikke hvis dette frontalangreb truer internetsikkerheden for de amerikanske borgere.
Præcis den samme problematik gør sig gældende i Danmark. Obama administrationens afvisning af DNS censur i SOPA, og specielt begrundelsen for denne afvisning, bør være en anledning til igen at diskutere om den danske DNS censur er hensigtsmæssig, ud fra en samlet vurdering vel at mærke. Prisen for en i øvrigt meget ineffektiv blokering af uønskede udenlandske websites kan i fremtiden være en betydelig forringelse af internetsikkerheden for den danske befolkning. Problemet for internetsikkerheden er måske ikke særligt stort i dag på grund af den begrænsede udbredelse af DNSSEC, men udbredelsen af DNSSEC kan hurtigt vokse, og den danske internetcensur bliver ikke afskaffet fra den ene dag til den anden. Derfor ønsker IT-Politisk Forening at starte denne diskussion nu.