A política de censura de DNS da Malásia é uma ameaça à liberdade na Internet
A Comissão de Comunicações e Multimídia da Malásia (MCMC) causou bastante alvoroço no início deste mês ao ordenar que os provedores de serviços de internet (ISPs) no país redirecionassem consultas de DNS enviadas a provedores alternativos de DNS de volta para seus próprios servidores.
Na época, a MCMC afirmou que a medida visava proteger o público contra “conteúdos prejudiciais”, a saber, websites “relacionados a jogos de azar online, pornografia, violação de direitos autorais, golpes e outras infrações à lei da Malásia.”
Antes de desenvolver o tema, vamos retroceder um pouco e nos lembrar do que é DNS e qual seu papel na infraestrutura da web.
DNS significa Sistema de Nomes de Domínio, e ele atua essencialmente como o "dicionário" da internet. Quando você digita um endereço de site no navegador, como www.exemplo.com, seu computador precisa traduzir esse endereço legível para humanos em um endereço IP, que é um rótulo numérico que identifica um servidor específico na internet. Essa tradução é realizada por um resolvedor de DNS. Esse resolvedor geralmente é operado pelo seu ISP ou por um serviço de DNS de terceiros que você configurou em seu dispositivo.
No contexto da ordem da agência reguladora da Malásia para que os ISPs redirecionem as consultas de DNS, isso significa que, se os usuários tentarem usar provedores de DNS alternativos (como Google DNS, Cloudflare DNS ou AdGuard DNS), suas consultas serão interceptadas e redirecionadas para os servidores de DNS do ISP. Tudo isso, supostamente, com o objetivo de protegê-los de websites “prejudiciais”.
Quão fácil é para um ISP interceptar e redirecionar o tráfego
Do ponto de vista técnico, isso é possível porque os provedores de internet (ISPs) têm controle sobre o tráfego de DNS que passa por suas redes. No entanto, uma distinção importante deve ser feita aqui. Se você usar um servidor de DNS não criptografado, em texto simples, que utiliza os protocolos IPv4 ou IPv6 para retornar endereços IP, seu provedor de internet pode ver os sites que você está visitando. Isso significa que suas consultas e respostas de DNS podem ser lidas, interceptadas e potencialmente modificadas por qualquer pessoa que tenha acesso ao tráfego da rede, principalmente seu ISP. Historicamente, o tráfego de DNS não é criptografado, e isso é o caso para a maioria dos usuários.
No entanto, será muito mais desafiador para os ISPs fazerem o mesmo com as solicitações dos usuários enviadas por meio de protocolos de DNS criptografados. Protocolos de DNS criptografados, embora ainda não sejam amplamente utilizados, estão ganhando força à medida que abordam os problemas de privacidade inerentes ao DNS não criptografado. Vários protocolos seguros são usados para transmitir essas solicitações criptografadas. Os mais amplamente adotados são o DNS-over-HTTPS (DoH) e o DNS-over-TLS (DoT). Há também um novo protocolo de ponta — DNS-over-QUIC (DoQ) — que é superior a esses dois em termos de velocidade e confiabilidade. Ainda está nas primeiras fases de adoção: AdGuard DNS foi o primeiro resolvedor público a oferecê-lo.
Embora o uso de um servidor de DNS criptografado proteja seu histórico de navegação de ser monitorado pelo seu ISP, ele ainda pode deduzir que você está utilizando um servidor de DNS alternativo. Isso ocorre devido a um processo conhecido como “bootstrap”. Quando seu dispositivo tenta usar pela primeira vez um servidor de DNS criptografado, ele precisa resolver o endereço IP desse servidor por meio do DNS tradicional, não criptografado. Essa etapa inicial, conhecida como bootstrap, envolve o envio de uma consulta padrão e não criptografada para o servidor DNS do seu ISP para obter o endereço IP do servidor DNS criptografado. Isso dá ao seu ISP uma pista de que você provavelmente está utilizando um servidor de DNS não fornecido por ele.
No entanto, esse processo não é tão simples e pode gerar muitos falsos positivos. Em termos de implementação, não temos certeza se os ISPs iriam além de apenas redirecionar o tráfego. Muito dependerá do escopo da ordem e das responsabilidades de um ISP sob ela. À primeira vista, parece que a única maneira dos ISPs garantirem que os usuários com DNS criptografado não recorrerão a provedores de DNS alternativos seria cortá-los da internet, e essa solução parece extrema.
Conclusão: se você usar um DNS criptografado, terá mais chances de se proteger contra o redirecionamento forçado do tráfego de DNS.
A aplicação da ordem foi adiada: possíveis problemas
Vários dias após a MCMC emitir a ordem, sua aplicação foi suspensa. A vice-ministra das Comunicações da Malásia, Teo Nie Ching, anunciou no dia 9 de setembro que as autoridades deveriam ter consultado líderes do setor antes de seguir em frente com a ordem. Ela mencionou que esse processo de consulta ocorrerá agora, sem um prazo específico definido. "Queremos que a MCMC conduza uma interação adequada e abrangente. Se eles precisarem de um mês, que façam. Se precisarem de três meses, que façam,” ela disse.
A reversão do governo malaio sobre o assunto segue as críticas que a MCMC recebeu após forçar os ISPs a cumprir sua determinação. Houve relatos de que pessoas que usavam resolvedores públicos de DNS operados pelo Google e Cloudflare estavam enfrentando problemas para acessar a Internet. Também houve reclamações de sites que alegam hospedar conteúdo legítimo, mas que se tornaram inacessíveis por terem sido pegos no meio dessa situação. A MCMC aconselhou os proprietários desses sites a entrarem em contato com seus ISPs, e, se isso não funcionasse, com a própria MCMC diretamente — mas aparentemente isso não foi suficiente, já que a aplicação da ordem agora está suspensa indefinidamente.
Existem vários cenários sobre o que pode ter dado errado. Mas primeiro precisamos fazer um desvio rápido para abordar algo importante. Para começar, não acreditamos que ordens como essa tenham lugar no mundo digital interconectado de hoje. O espírito dessa ordem está em desacordo com a ideia de uma Web livre, e não apenas isso — ela interfere em nosso direito básico de escolher o serviço que melhor atende às nossas necessidades.
Embora a intenção possa ser proteger os usuários de conteúdo prejudicial, dar tanto controle ao governo é arriscado e abre portas para possíveis abusos. Acreditamos firmemente que cabe ao usuário individual decidir qual conteúdo quer consumir e qual quer bloquear. Por exemplo, serviços de DNS públicos gratuitos como o AdGuard DNS oferecem modos sem filtro, bloqueio de anúncios e proteção familiar para ajudar os usuários a gerenciar sua experiência online. O usuário deve ter essa autonomia, e não o provedor de serviços.
Quanto ao que pode ter dado errado na aplicação, além do descontentamento popular, uma das possibilidades é que os servidores de DNS aprovados pelo governo tenham ficado sobrecarregados com as solicitações redirecionadas dos servidores de DNS bloqueados. Alguns podem ter sido afetados pelo problema de falsos positivos, quando sites aparentemente legítimos não abriam.
O que vem a seguir?
As autoridades malaias podem ter enviado a decisão para revisão, mas não voltaram à estaca zero. A ideia ainda está muito em pauta, e há uma boa chance de que ela seja implementada. Se não na próxima semana, em algum momento deste ano.
A MCMC também afirmou que não proibiria redes privadas virtuais (VPNs) como parte da aplicação da ordem. A criptografia fornecida por uma VPN garante que o ISP não possa ver as consultas de DNS do usuário ou qualquer outro dado. O ISP pode detectar quando um usuário está conectado a uma VPN e identificar o endereço IP do servidor da VPN, mas não pode acessar ou alterar o conteúdo do tráfego, incluindo as consultas de DNS feitas por meio da VPN. Essas consultas de DNS serão gerenciadas pelos próprios servidores DNS da VPN.
À primeira vista, a decisão de não bloquear serviços de VPN parece estranha, já que usar uma VPN provavelmente prejudicaria a eficácia da ordem. Uma possível explicação é que as autoridades podem não esperar que muitas pessoas se esforcem para usar VPNs para contornar as restrições.
Ao não ter como alvo as VPNs, o governo malaio estará criando uma brecha para acessar conteúdo bloqueado. No entanto, a ordem ainda é preocupante para a privacidade e a segurança dos usuários. Ela poderia dar aos ISPs e ao governo acesso irrestrito à lista de nomes de domínio (como google.com, dailymail.com ou pornhub.com) que o usuário visitou. Além disso, se usuários de DNS criptografado tiverem seu acesso à internet cortado, isso prejudicaria sua experiência (no mínimo), sua segurança e comprometeria os padrões de segurança online em geral.
Além dessas preocupações, tais políticas podem servir de exemplo para outros países, especialmente aqueles com pouca consideração pelas liberdades democráticas, estabelecendo um precedente potencialmente perigoso. A comunidade deve se unir contra essas ameaças à web livre e deixar clara sua desaprovação. Pode ser a Malásia agora, mas seu país pode ser o próximo.