𝗜𝗠𝗣𝗥𝗘𝗦𝗦Ã𝗢 𝗗𝗜𝗚𝗜𝗧𝗔𝗟 𝗗𝗢 𝗦𝗘𝗨 𝗧𝗥Á𝗙𝗘𝗚𝗢 𝗡𝗔 𝗜𝗡𝗧𝗘𝗥𝗡𝗘𝗧
Podemos listar como os maiores X9, fofoqueiros, delatores, linguarudos dos sites e serviços que você acessa na internet:
- Seu provedor que tem acesso à logs de IP/NAT/DNS e que também tem o controle físico da rede onde os dispositivos da sua casa estão conectados à internet..
- O DNS. As consultas DNS revelam praticamente todos os sites acessados. No modem/roteador do seu provedor provavelmente já vem configurado para usar o DNS do provedor. E ao contrário do que se aprende por aí na internet isso é ótimo PARA A PERFORNANCE da navegação por que da forma como o provedor deixa configurado, o usuário usufrui da hierarquia de caching DNS, mas obviamente é péssimo para a privacidade.
A notícia ruim é que sobre o seu provedor você não pode fazer nada. A notícia boa é que o DNS, o segundo pior revelador da impressão digital da sua navegação, você pode controlar usando técnicas para ofuscação e criptografia do DNS, deixando para trás somente um rastro residual -- mas não eliminado --, do seu tráfego.
Claro que você pode meter um 𝗧𝗼𝗿 no seu sistema e submeter toda a navegação à passar por uns 𝟳𝟱𝟵 saltos e esperar mais uns 𝟵𝟲𝟮 anos para abrir um site de notícias.
Ou você pode, para navegação do dia-a-dia, dar uma tratada nesse rastro DNS dos seus dispositivos e dificultar um pouquinho a vida de quem tirou um tempo para te espionar.
A solução que eu adotei foi um Linux com DNScrypt-proxy e dnsmasq; nesta solução:
[𝗦𝗶𝘀𝘁𝗲𝗺𝗮/𝗔𝗽𝗽𝘀]
↓ (𝗽𝗼𝗿𝘁𝗮 𝟱𝟯)
[𝗱𝗻𝘀𝗺𝗮𝘀𝗾: 𝟭𝟮𝟳.𝟬.𝟬.𝟭:𝟱𝟯]
↓ (𝗽𝗼𝗿𝘁𝗮 𝟱𝟯𝟱𝟯)
[𝗱𝗻𝘀𝗰𝗿𝘆𝗽𝘁-𝗽𝗿𝗼𝘅𝘆: 𝟭𝟮𝟳.𝟬.𝟬.𝟭:𝟱𝟯𝟱𝟯]
↓ (𝗛𝗧𝗧𝗣𝗦/𝗽𝗼𝗿𝘁𝗮 𝟰𝟰𝟯)
[𝗥𝗲𝗹𝗮𝘆 𝗔𝗻𝗼𝗻𝗶𝗺𝗼]
↓ (𝗰𝗿𝗶𝗽𝘁𝗼𝗴𝗿𝗮𝗳𝗮𝗱𝗼)
[𝗦𝗲𝗿𝘃𝗶𝗱𝗼𝗿 𝗗𝗡𝗦 𝗙𝗶𝗻𝗮𝗹 (𝗲𝘅: 𝗖𝗹𝗼𝘂𝗱𝗳𝗹𝗮𝗿𝗲)]
↓ (𝗰𝗿𝗶𝗽𝘁𝗼𝗴𝗿𝗮𝗳𝗮𝗱𝗼)
[𝗦𝗶𝘁𝗲]
Dessa forma, seu provedor agora passa a desconhecer o destino das consultas DNS. Seu provedor sabe que você conversa com um relay anônimo, mas não sabe o conteúdo dessas conversas e o site ou destino que você está acessando só sabe o endereço do relay anônimo pois é ele quem está fazendo as consultas por você.
Em resumo: no seu PC seu nevegador/carteira BTC pede acesso á um serviço -> chamada vai para o dnsmasq que faz cache da solicitação e passa pra frente -> repassa para o DNScrypt que passa para um relay anônimo -> o relay anônimo passa para um resolvedor final (podem ser vários) -> o serviço que você pediu é acessado.
Acredite, é mais rápido do que parece.
Esta é uma breve introdução antes do passo a passo que adotei em meu Linux e reproduzirei para todos que tiverem interesse em implementar.
Replies (10)
Tor não é tão lento assim, dimunui a velocidade, mas não é para tanto. Infelizmente, não nos protegese de vazamento de consultas DNS, queria o DNS over Tor 😢
É impraticável navegar com Tor. Considero Tor uma ótima solução para um período curto onde queremos a maior privacidade possível, uma transação BTC mais parruda, trocar de carteira e transferir fundos, por exemplo, aí sim, DNScrypt + Tor.
Mas para o dia-a-dia, assistir vídeo, essas coisas, não entendo que uso do Tor faça sentido.
DNS over Tor, pensando aqui... de bate pronto, pela forma como o DNS é estruturado, não acho que seja possível.
Impraticável é muito forte, eu uso tor praticamente pra tudo, só não uso o navegador tor no celular por que por algum motivo a versão mobile é um lixo, mas o tor sempre está ativo no celular através de InviZible Pro. Existem algumas atividades que não uso tor, como jogar, mas a maior parte do tempo tor está comigo.
DNS, over Tor, ou qualquer nome que teria isso, assim como tor, poderia formar um circuito de 3 nós, adaptado ao DNS. Só assim para o DNS realmente ser "anonimo", uso DNSCrypt, mas ainda requer uma confiança que não gostaria de ter.
Entendi. Você usa Tor com as configurações padrão?
Isso. Aí sim, um "DNSoT" seria o estado da arte em termos de privacidade.
Sim, não mexo.
Na minha casa aceitaram trazer o cabo da Fibra direto pro meu roteador. Uso um Unifi UDM Pro, que e sensacional. Inclusive uso dois ISPs em Balancemento de carga usando adaptadores ethernet para SFP+ da propria Unifi.
Nele meus DNS sao criptografados apontados para Quad9.
Mesmo assim uso um client de Wireguard apontando pra um servidor de VPN do Brasil mesmo contratado do excelente provedor AirVPN.
Possuo duas redes Wifis, uma aberta e outra atras da VPN.
Todo dispositivo que conecta pelo Wifi com VPN automaticamente usa o DNS over HTTPs da AirVPN. Mesmo assim um LibreFox com sua propria configuracao de DNS over HTTPs. Caso ele falhe, e meu adguard mosta que acontece, a AirVPN processa a query pelo dela. Se falhasse, o que nunca aconteceu em mais de 4 anos, o Unifi UDM Pro redirecionaria para o Quad9.
E mesmo, se tudo isso falhasse, meu ISP primario e starlink o que dificulta um pouco pedidos de quebra de sigilo tematico pela natureza de compartilhamento de IPs do servico por satelite.
Me sinto extramemente seguro para quem nao briga com a NSA.
Rapahhhhhh isso não é um homelab, isso é um bunker caseiro
Nem e tanto. Visita o site da Unifi Store do BR e comeca pelo UDM Pro. Unifi vicia, dai pra frente vai crescendo com o tempo. Fora que ainda tenho no rack 3 RPI4 e 1 RPi5 num suporte de rack que ocupa 1U, fica bem bonito. Tenho mania de cortar cabo de rede pra deixar todo curto, juto e arrumado hehehe
