31Jul
Domain Name System Security Extensions( DNSSEC) olyan biztonsági technológia, amely segít az internet gyenge pontjainak javításában. Szerencsénk van, hogy a SOPA nem járt el, mert a SOPA a DNSSEC-t illegálisvá tenné.
A DNSSEC kritikus biztonságot nyújt olyan helyre, ahol az internetnek nincs valójában. A domain név rendszer( DNS) jól működik, de a folyamat bármely pontján nincs ellenőrzés, ami nyitva hagyja a támadók számára nyitott lyukakat.
A jelenlegi ügyállapot
Megmagyaráztuk, hogyan működik a DNS a múltban. Dióhéjban, amikor olyan domainnevhez csatlakozik, mint a "google.com" vagy a "howtogeek.com", akkor a számítógép kapcsolatba lép a DNS-kiszolgálójával, és felkeresi a társított IP-címet az adott domain névhez. Ezután a számítógép csatlakozik az adott IP-címhez.
Fontos megjegyezni, hogy nincs olyan ellenőrzési folyamat, amely a DNS-keresést érintette. A számítógép felkéri a DNS-kiszolgálót a weboldalhoz társított címre, a DNS-kiszolgáló IP-címmel válaszol, és a számítógép azt mondja, hogy "rendben van!", És boldogan csatlakozik ehhez a webhelyhez. A számítógép nem hagyja abba annak ellenőrzését, hogy ez érvényes válasz.
A támadók átirányíthatják ezeket a DNS kéréseket, vagy rosszindulatú DNS-kiszolgálókat hozhatnak létre, amelyek rossz válaszokat adnak vissza. Ha például nyilvános Wi-Fi hálózathoz csatlakozik, és megpróbál csatlakozni a howtogeek.com webhelyhez, egy rosszindulatú DNS-kiszolgáló ezen a nyilvános Wi-Fi hálózaton teljesen más IP-címet adhat vissza. Az IP-cím vezethet az adathalász webhelyhez. A webböngészőnek nincs valódi módja annak, hogy ellenőrizze, hogy egy IP-cím ténylegesen társult-e a howtogeek.com-val;csak bízhat a DNS-kiszolgálótól kapott válaszban. Az
HTTPS titkosítás bizonyos ellenőrzést nyújt. Tegyük fel például, hogy próbálja meg csatlakozni a bank webhelyéhez, és megjelenik a HTTPS és a lezáró ikon a címsávban. Tudja, hogy egy hitelesítő hatóság ellenőrizte, hogy a webhely a bankjához tartozik-e.
Ha egy megfertőzött hozzáférési pontból elérte bankjának webhelyét, és a DNS-kiszolgáló visszavette az adók adathalász webhelyének címét, akkor az adathalász webhely nem fogja tudni megjeleníteni a HTTPS titkosítást. Az adathalász webhely azonban úgy dönthet, hogy egyszerű HTTPS protokollt használ a HTTPS helyett, fogadva, hogy a legtöbb felhasználó nem veszi észre a különbséget, és egyébként is bevezeti az online banki információit.
A bankodnak nincs módja annak mondani, hogy "ezek a legitim IP-címek weboldalunkhoz."
Hogyan segíthet a DNSSEC
DNS-kereső valójában több lépésben történik. Például amikor a számítógép a www.howtogeek.com webhelyet kéri, a számítógép több lépésben végrehajtja ezt a keresést:
- Először a "root zone directory" -ot kéri, ahol megtalálhatja az . com fájlt.
- Ezután megkéri a. com könyvtárat, ahol megtalálhatja az howtogeek.com fájlt.
- Ezután megkérdezi howtogeek.com hol talál www.howtogeek.com .
A DNSSEC magában foglalja "a gyökér aláírását". Amikor a számítógép megkeresi a gyökérzónát, ahol megtalálja a. com-t, képes lesz ellenőrizni a gyökér zóna aláíró kulcsát, és megerősíteni, hogy ez a legitim gyökérzónája valódi információval. A gyökérzónát ezután tájékoztatja az aláíró kulcsról vagy a. com-ről és annak helyéről, amely lehetővé teszi a számítógép számára, hogy kapcsolatba lépjön a. com könyvtárral, és biztosítsa annak jogszerűségét. A. com könyvtár megadja az aláíró kulcsot és információt a howtogeek.com-nak, amely lehetővé teszi számukra, hogy kapcsolatba lépjen a howtogeek.com-val és ellenőrizze, hogy csatlakozik-e a valódi howtogeek.com oldalhoz, amint azt a fenti zónák megerősítették.
Amikor a DNSSEC teljesen ki van húzva, a számítógép képes lesz arra, hogy megerősítse a DNS-válaszok jogszerűek és igazak, miközben jelenleg nem tudja tudni, melyik hamis és melyik valós.
További információ a titkosítás működéséről.
Milyen SOPA volna kész
Szóval hogyan játszott a Stop Online Piracy Act, más néven SOPA, játszani mindezt? Nos, ha követted a SOPA-t, rájössz, hogy olyan emberek írtak, akik nem értették az internetet, így "megtörni az internetet" különböző módon. Ez egyike azoknak.
Ne feledje, hogy a DNSSEC lehetővé teszi a domainnevek tulajdonosainak a DNS-rekordok aláírását.Így például a thepiratebay.se a DNSSEC-t használhatja annak az IP-címnek a megadásához, amelyhez kapcsolódik. Amikor a számítógép DNS-keresést végez - legyen szó akár a google.com vagy a thepiratebay.se-ről - a DNSSEC lehetővé tenné a számítógép számára, hogy meghatározza, hogy megkapja-e a megfelelő választ a domain név tulajdonosai által hitelesített. A DNSSEC csak egy protokoll;nem próbálja megkülönböztetni a "jó" és "rossz" weboldalakat.
A SOPA előírta volna az internetszolgáltatók számára, hogy átirányítsák a "rossz" weboldalak DNS-keresését. Például, ha egy internetszolgáltató előfizetői megpróbálták elérni a thepiratebay.se-t, az ISP DNS szerverei visszaadják egy másik webhely címét, amely tájékoztatja őket arról, hogy a Pirate Bay blokkolva volt.
A DNSSEC-rel ez a átirányítás megkülönböztethetetlenné válna egy olyan embertől a középső támadásban, amelyet a DNSSEC megakadályozott. A DNSSEC telepítését végző internetszolgáltatóknak a Pirate Bay tényleges címével kell reagálniuk, és így megsértenék a SOPA-t. A SOPA befogadásához a DNSSEC-nek nagy lyukra lenne szüksége, amely lehetővé tenné az internetszolgáltatók és a kormányok számára, hogy a domain név DNS-kérelmeit a domain név tulajdonosainak engedélye nélkül átirányítsák. Ez nehéz lenne( ha nem lehetetlen) biztonságos módon megtenni, valószínűleg megnyitva új biztonsági lyukat a támadóknak.
Szerencsére a SOPA halott, és remélhetőleg nem fog visszatérni. A DNSSEC jelenleg telepítve van, és régóta esedékes megoldást nyújt ehhez a problémához.
képminőség: Khairil Yusof, Jemimus a Flickr-en, David Holmes a Flickr-en