- Setelah menghapus jejak disk dari infrastruktur VPN, Mullvad juga memindahkan layanan DNS Terenkripsi terpisah ke operasi berbasis RAM
- Pada perangkat yang tidak terhubung ke VPN, layanan ini mengenkripsi kueri DNS, sehingga pihak ketiga sulit mengintip isi pencarian antara perangkat dan server DNS Mullvad
- Layanan ini dapat digunakan gratis bahkan oleh pengguna yang bukan pelanggan berbayar, dan ditujukan bagi pengguna yang menginginkan DNS yang telah diaudit serta pemblokiran konten opsional
- Mullvad menyediakan server di seluruh dunia dan panduan konfigurasi, tetapi jika digunakan bersama VPN, layanan ini selalu lebih lambat dibanding resolver DNS dari server VPN yang terhubung, sehingga tidak direkomendasikan
- Server DNS Terenkripsi juga menggunakan kernel Linux serta pengaturan keamanan dan privasi yang sama dengan infrastruktur VPN, melanjutkan arah pengoperasian infrastruktur stateless dari RAM
DNS Terenkripsi juga beralih ke basis RAM
- Mullvad baru-baru ini menyelesaikan migrasi untuk menghapus jejak disk yang digunakan dalam infrastruktur VPN
- Dengan peralihan ini, layanan DNS Terenkripsi juga kini berjalan dari RAM
- Ini merupakan langkah berikutnya dalam upaya Mullvad mengoperasikan infrastruktur stateless dari RAM
Cara mengenkripsi kueri DNS
- DNS Terenkripsi juga dikenal sebagai DNS over TLS dan DNS over HTTPS
- Saat tidak terhubung ke layanan VPN, layanan ini mengenkripsi kueri DNS antara perangkat dan server DNS Mullvad
- Cara ini digunakan untuk mencegah pihak ketiga mengintip kueri DNS
Sasaran penggunaan dan batasan praktis
- Layanan ini terutama ditujukan untuk digunakan saat tidak terhubung ke server Mullvad VPN
- Dapat digunakan sepenuhnya gratis terlepas dari apakah pengguna adalah pelanggan berbayar atau bukan
- Siapa pun yang menginginkan layanan DNS Terenkripsi yang tepercaya dan telah diaudit, serta pemblokiran konten opsional, dapat menggunakannya
- Layanan ini disediakan dari server yang berlokasi di seluruh dunia, dan dapat dikonfigurasi melalui panduan konfigurasi di situs web Mullvad
- Layanan ini juga dapat digunakan bersama layanan VPN, tetapi tidak direkomendasikan karena selalu lebih lambat dibanding menggunakan resolver DNS dari server VPN yang terhubung
Konfigurasi keamanan yang diselaraskan dengan infrastruktur VPN
- Semua server DNS Terenkripsi dikonfigurasi dengan kernel Linux yang sama seperti infrastruktur VPN
- Tingkat keamanan dan privasinya juga diselaraskan agar sama dengan infrastruktur VPN
1 komentar
Opini Hacker News
DNS terenkripsi Mullvad bisa digunakan siapa saja, terlepas dari apakah mereka pengguna VPN berbayar atau tidak
Selain itu, mereka juga mendukung pemblokiran konten opsional lewat daftar blokir, jadi cukup atur server DNS TLS/HTTPS yang diinginkan
[1] https://github.com/mullvad/dns-blocklists
.mobileconfig) tidak berfungsi jika menggunakan Little Snitch atau Lulu untuk mencegah lalu lintas jaringan yang tidak diinginkanIni adalah keterbatasan macOS yang belum diperbaiki Apple
Untuk mengakses sebuah situs, kita perlu mendapatkan IP lewat DNS, tetapi ISP atau penyedia VPN bisa melihat fakta bahwa saya terhubung ke IP itu, entah baru saja dicari atau sudah diketahui sebelumnya
Kecuali modelnya adalah kebocoran ke DNS yang dicatat oleh pihak lain saat tetap memakai VPN, saya tidak begitu mengerti mengapa ini diperlukan
Saya penasaran apakah ini server fisik atau VM
Beberapa jenis VM bisa dihentikan, di-snapshot, digandakan, atau direplikasi secara live hingga mencakup isi memori, misalnya untuk merespons permintaan resmi, dan pada host bare metal seseorang bisa mengakses bagian dalam VM atau container
Saya penasaran apakah ada diagram konfigurasi fisik yang dipublikasikan
Kalau ada arsitek Mullvad di sini, semoga bisa membantu agar pembahasan tidak terjebak pada asumsi teoretis dan tumpukan kura-kura tanpa akhir
https://www.system-transparency.org
Ada alat yang menggunakan eBPF untuk mengekstrak aliran data saat ada permintaan berdasarkan parameter tertentu
Alat seperti Sysdig/Falco juga mungkin bisa melakukannya, dan akan berguna mengetahui apakah mereka mengompilasi kernel sendiri untuk menonaktifkan eBPF, atau melakukan hardening kernel tambahan untuk menghapus atau mematikan fungsi debugging saat diminta
Dengan begitu tidak ada objek yang bisa di-suspend
Dari sudut pandang orang luar yang naif, saya penasaran, apakah RAM pada 2023 mengenkripsi seluruh isinya?
Saya penasaran apakah isi RAM bisa dibuat terlupakan dengan andal dengan mematikan daya dan membuat kunci enkripsi tertentu di memori yang lebih kecil dan lebih volatil hilang
Saya juga penasaran apa yang sudah dilakukan untuk memitigasi serangan cold boot pada RAM, apa yang berubah di hardware, dan apakah kunci enkripsi isi RAM disimpan di tempat seperti TPM
Tentu saja, jika server ditembus secara fisik, hal buruk bisa terjadi, tetapi karena tidak ada tempat untuk menyimpan malware secara permanen dan tidak bisa meninggalkan log di penyimpanan lokal baik karena kesalahan maupun kesengajaan, mengambil alih server secara berkelanjutan menjadi lebih sulit
Mengenkripsi isi RAM bisa memberi perlindungan tambahan, tetapi jika diimplementasikan dengan benar, apa yang tersisa di RAM kemungkinan besar secara realistis hanya sedikit lebih menarik daripada apa yang bisa dilihat di jalur jaringan
Paling-paling mungkin hanya sejumlah sangat kecil data permintaan aktif, tetapi itu sekadar dugaan
https://www.amd.com/system/files/documents/amd-memory-guard-...
https://www.amd.com/content/dam/amd/en/documents/epyc-busine...
Ada juga flag reboot EFI yang bisa diperbaiki agar RAM dipaksa dihapus saat boot berikutnya, tetapi biasanya dinonaktifkan
[1] https://en.wikipedia.org/wiki/Cold_boot_attack Di Windows, ini masih berfungsi berkat BitLocker
[2] https://www.usenix.org/legacy/event/sec08/tech/full_papers/h...
Saya menghubungi Mullvad dan mereka mengonfirmasi bahwa mereka hanya memakai bare metal, tanpa virtualisasi atau container sama sekali
https://ibb.co/XLDQGGt
Saya memakai DNS DoH Cloudflare (https://1.1.1.1) dan men-tunnel-nya di atas Mullvad VPN
Dengan cara ini Mullvad hanya bisa melihat IP yang saya kunjungi, Cloudflare hanya melihat permintaan DNS dari IP VPN, dan ISP tidak bisa melihat apa pun
DNS DoH Mullvad juga terlihat bagus, tetapi saya tidak akan memakainya karena mungkin privasi lebih rendah dibanding cara di atas
Saya ingin melihat statistik sebenarnya, tetapi berdasarkan insting dari pernah mengoperasikan aplikasi data yang intensif baca/tulis dengan SSD dan ECC RAM, keduanya cukup sering rusak, jadi dari sisi resiliensi, perubahan ini terasa hampir seperti peningkatan yang tidak terlalu berarti
Namun upaya untuk memeras performa murni beberapa persen lagi tetap patut diapresiasi. Sepertinya ini akan jadi proyek Redis yang menarik
Kemungkinan mereka akan melakukan boot jaringan dari image baca-saja
Mereka sudah melakukan ini di server VPN, dan sekarang menerapkan strategi yang sama ke server DNS
Saya penasaran apakah ada datasheet atau semacamnya yang menunjukkan tingkat kegagalannya
Saya sangat puas dengan semua yang dilakukan Mullvad, tetapi jadi kecewa ketika mereka mengumumkan akan menghentikan port forwarding, yang penting untuk sebagian konfigurasi saya yang cukup khusus
Saya memahami alasannya, tetapi kalau suatu hari mereka menyediakannya lagi, saya dengan senang hati akan kembali menjadi pelanggan
Dari sudut pandang Mullvad, manfaat mematikannya lebih besar daripada kerugiannya
Ada yang tahu bagaimana keamanan Mullvad VPN dibandingkan dengan Proton VPN?
Mereka punya rekam jejak menahan permintaan aparat penegak hukum, karena memang tidak ada yang bisa mereka serahkan
Semuanya berjalan di RAM dan hilang begitu server dimatikan; mereka benar-benar tidak menyimpan apa pun
Kamu juga bisa mengirim uang tunai lewat pos atau membeli akun Mullvad dengan kripto. Tidak perlu membuat akun dengan alamat email atau semacamnya
Berdasarkan hukum Swiss, pengguna tersebut diberi tahu sebelum datanya digunakan dalam proses pidana dan diberi kesempatan untuk menanggapinya di pengadilan”
Yang dilakukan VPN hanyalah menerobos pemblokiran geografis, dan mungkin membantu menghindari pemberitahuan DMCA saat mengunduh konten bajakan
Penyedia VPN OVPN (ovpn.com) juga sudah melakukan pendekatan ini