31Jul
domeeninime turvavärskendused( DNSSEC) on turvalisuse tehnoloogia, mis aitab parandada mõnda Interneti nõrkust. Meil on õnne SOPA ei läbinud, sest SOPA oleks teinud DNSSEC ebaseaduslikuks.
DNSSEC lisab kriitilise turvalisuse kohale, kus Internetis tegelikult pole. Domeeninimede süsteem( DNS) toimib hästi, kuid selles protsessis ei ole mingit kontrolli, mis jätab ründajatele avama.
Asjade praegune seisund
Oleme selgitanud, kuidas DNS toimib minevikus. Lühidalt, iga kord, kui loote ühenduse domeeninimega "google.com" või "howtogeek.com," töötab teie arvuti oma DNS-serveriga ja otsib selle domeeninimega seotud IP-aadressi. Seejärel ühendab teie arvuti selle IP-aadressiga.
Oluline on, et DNS-i otsingus ei toimu mingit kontrolli. Teie arvuti küsib veebisaidiga seotud aadressil DNS-serverit, DNS-server vastab IP-aadressile ja teie arvuti ütleb "okei!" Ja õnnestub sellega veebisaidile. Teie arvuti ei peatu kontrollima, kas see on kehtiv vastus.
Võimalikud ründajad võivad neid DNS-päringuid suunata või luua pahatahtlikud DNS-serverid, mis on loodud halva vastuse tagamiseks. Näiteks kui olete ühendatud üldkasutatava Wi-Fi-võrguga ja proovite luua ühendust portaali howtogeek.com-ga, siis selle avaliku Wi-Fi võrgu pahatahtliku DNS-serveriga võidakse täielikult tagastada teine IP-aadress. IP-aadress võib viia teid andmepüügi veebisaidile. Teie veebibrauseris pole tõelist võimalust kontrollida, kas IP-aadress on tegelikult seotud howtogeek.com-ga;see lihtsalt peab usaldama vastust, mida ta saab DNS-serverist.
HTTPS krüpteerimine annab mõne kinnituse. Näiteks ütleme, et proovite oma pangakonverentsiga ühendust luua ja näete oma aadressiribal HTTPS-i ja lukuikooni. Teate, et sertifitseerimisasutus on kinnitanud, et see veebisait kuulub teie pangale.
Kui külastate pangakonto veebisaiti kahjustatud pääsupunktist ja DNS-server tagastas ebaseadusliku andmepüügi saidi aadressi, ei saaks andmepüügisait kuvada seda HTTPS-i krüptimist. Kuid andmepüügi saiti võib HTTPS-i asemel kasutada tavalist HTTP-d, kuid kihlvedu sõltub sellest, et enamik kasutajaid ei muuda seda erinevust ja sisestaksid oma online-panganduse teabe.
Teie pangal ei ole võimalust öelda: "Need on meie veebisaidi õigustatud IP-aadressid."
Kuidas DNSSEC aitab
-d DNS-lookup tegelikult toimub mitmel etapil. Näiteks kui teie arvuti küsib www.howtogeek.com, teeb teie arvuti selle otsingu mitmel etapil:
- Esmalt küsib "roottsooni kataloogi", kus see võib leida . com .
- Seejärel küsib kataloogi. com, kus saab leida howtogeek.com .
- Seejärel küsib HowTogeek.com, kus asub www.howtogeek.com .
DNSSEC hõlmab juure allkirjastamist. Kui teie arvuti läheb küsima juurtetsooni, kus ta leiab. com, saab kontrollida juuritsooni allkirjastamisklahvi ja kinnitada, et see on tõene teabe õigustatud juurteala. Seejärel annab juurte tsoon teavet allkirja võtme või. com ja selle asukoha kohta, võimaldades teie arvutil ühendust. com-kataloogiga ja tagada, et see on õigustatud..com-kataloog annab alltoodud võtme ja teabe, mis aadressile howtogeek.com, võimaldab ühendust võtta aadressiga howtogeek.com ja kinnitada, et olete ühendatud tõelise howtogeek.com-ga, nagu seda kinnitavad selle kohal olevad tsoonid.
Kui DNSSEC on täielikult valtsitud, saab teie arvuti DNS-vastused kinnitada, et need on seaduslikud ja tõesed, kuid praegu ei ole võimalik teada, millised on võltsitud ja millised on reaalsed.
Lisateave selle kohta, kuidas siin krüptimine toimib.
Milline SOPA oleks teinud
Niisiis, kuidas STOP-i piraatlusseaduse peatükk, mida nimetatakse SOPA-na, mängib kõike seda? Kui te järgite SOPA-d, siis mõistate, et seda kirjutasid inimesed, kes ei saanud Internetti aru, nii et see "murda Internetti" mitmel viisil. See on üks neist.
Pidage meeles, et DNSSEC võimaldab domeeninime omanikul DNS-kirjete allkirjastamist. Näiteks võib thepiratebay.se kasutada DNSSEC-i, et määrata IP-aadressid, millega see on seotud. Kui arvuti sooritab DNS-i otsingu - kas see on google.com või thepiratebay.se - DNSSEC lubab arvutil otsustada, kas ta saab õige vastuse, mida kinnitavad domeeninime omanikud. DNSSEC on lihtsalt protokoll;see ei püüa diskrimineerida "häid" ja "halbu" veebisaite.
SOPA oleks nõudnud Interneti-teenuse pakkujaid, et suunata DNS-i otsingud "halvaks" veebisaitidele. Näiteks kui Interneti-teenuse pakkuja abonendid proovisid juurdepääsu thepiratebay.se-le, tagastavad Interneti-teenuse pakkuja DNS-serverid teise veebisaidi aadressi, mis teavitab neid, et Pirate Bay oli blokeeritud.
DNSSEC-iga selline ümbersuunamine ei eristata meediates keskel toimuvast rünnakust, mille DNSSEC eesmärk oli vältida. Interneti-teenuse pakkujad, kes kasutavad DNSSEC-d, peaksid vastama Pirate Bay'i tegelikule aadressile ja rikkuma SOPA-d. SOPA mahutamiseks peaks DNSSECil olema suur auk, mis võimaldaks Interneti-teenuse pakkujatel ja valitsustel domeeninime DNS-taotluste ümbersuunamist ilma domeeninime omanike loata. See oleks raske( kui mitte võimatu) teha turvaliselt, tõenäoliselt avada ründajatele uued turvaaugud.
Õnneks on SOPA surnud ja loodetavasti ei tule tagasi. DNSSECi käivitatakse praegu, pakkudes selle probleemi lahendamiseks kaua aega.
piltkrediit: Khairil Yusof, Jemimus Flickril, David Holmes Flickril