31Jul
Rozšíření zabezpečení doménového jména systému( DNSSEC) je bezpečnostní technologie, která pomůže napravit jeden z slabých míst Internetu. Máme štěstí, že společnost SOPA neprošla, protože SOPA by DNSSEC zakázala.
DNSSEC přidává kritickou bezpečnost do místa, kde Internet opravdu nemá.Systém DNS( Domain Name System) funguje dobře, ale v žádném okamžiku procesu není ověřování, což dětem otvírá otvory.
Aktuální stav záležitostí
Vysvětlili jsme, jak funguje DNS v minulosti. Stručně řečeno, kdykoli se připojíte k doménovému názvu jako "google.com" nebo "howtogeek.com", váš počítač bude kontaktovat svůj server DNS a vyhledá přidruženou adresu IP pro tento název domény. Počítač se pak připojí k té IP adrese.
Důležité je, že při hledání DNS není použit žádný ověřovací proces. Váš počítač požádá server DNS o adresu přidruženou k webovému serveru, server DNS odpovídá na adresu IP a počítač říká "v pořádku!" A šťastně se k němu připojuje. Váš počítač nepřestává kontrolovat, zda je to platná odpověď.
Útočníci mohou přesměrovat tyto požadavky na DNS nebo nastavit škodlivé servery DNS určené k vrácení špatných odpovědí.Pokud jste například připojeni k veřejné síti Wi-Fi a pokoušíte se připojit se k adrese howtogeek.com, škodlivý server DNS v této veřejné síti Wi-Fi by mohl vrátit zcela jinou adresu IP.Adresa IP vám může vést k phishingovým webům. Váš webový prohlížeč nemá žádný reálný způsob, jak zkontrolovat, zda je adresa IP skutečně přiřazena k howtogeek.com;musí pouze důvěřovat odpovědi, kterou obdrží od serveru DNS.
šifrování HTTPS poskytuje některé ověření.Řekněme například, že se pokoušíte připojit k webu vaší banky a vidíte v panelu adresy HTTPS a ikonu zámku. Víte, že certifikační autorita ověřila, že tato webová stránka patří vaší bance.
Pokud jste přistoupili k webové stránce vaší banky z ohroženého přístupového bodu a DNS server vrátil adresu podvodného phishingového webu, phishingová stránka by nemohla zobrazit šifrování HTTPS.Stránky phishing se však mohou rozhodnout, že místo HTTPS použijí prostý protokol HTTP, sází se na to, že většina uživatelů by si toho nevšimla a v každém případě by zadávala informace o online bankovnictví.
Vaše banka nemá žádný způsob, jak říkat "Jedná se o legitimní IP adresy pro naše webové stránky."
Jak DNSSEC pomůže
Vyhledávání DNS se skutečně děje v několika fázích. Například, když počítač požádá o www.howtogeek.com, váš počítač provádí toto vyhledávání v několika fázích:
- Nejprve se zeptá "adresářové zóny", kde najde . com .
- Poté požádá adresář. com, kde najde howtogeek.com .
- Poté se zeptá Howtogeek.com, kde najde www.howtogeek.com .
DNSSEC zahrnuje "podepisování kořenového adresáře". Když se váš počítač pokusí požádat o kořenovou zónu, kde může najít. com, bude moci zkontrolovat podpisový klíč kořenové zóny a potvrdit, že je to oprávněná kořenová zóna s pravdivými informacemi. Kořenová zóna pak poskytne informace o podpisovém klíči nebo. com a jeho umístění, což umožní, aby váš počítač kontaktoval adresář. com a zajistil, že je legitimní.Adresář. com poskytne podpisový klíč a informace pro howtogeek.com, což mu umožní kontaktovat howtogeek.com a ověřit, že jste připojeni k reálnému howtogeek.com, což potvrzují zóny nad ním.
Když je služba DNSSEC plně spuštěna, bude váš počítač schopen potvrdit, že odpovědi DNS jsou oprávněné a pravdivé, zatímco v současné době nemá možnost zjistit, které z nich jsou falešné a které jsou skutečné.
Přečtěte si více o fungování šifrování.
Co by se mělo stát SOPA
Tak jak se na to všechno stalo zákon o zastavení online pirátství, lépe známý jako SOPA?No, pokud jste sledovali SOPA, uvědomíte si, že to napsali lidé, kteří nerozuměli internetu, a tak by "rozbíjel internet" různými způsoby. To je jeden z nich.
Nezapomeňte, že DNSSEC umožňuje majitelům doménových jmen podepisovat záznamy DNS.Například, thepiratebay.se může použít DNSSEC specifikovat IP adresy, s nimiž je spojena. Když počítač provádí vyhledávání DNS - ať už je to pro google.com nebo forpiratebay.se - DNSSEC by umožnil počítači zjistit, že přijímá správnou odpověď jako ověřenou majitelem doménového jména. DNSSEC je jen protokol;nesnaží se rozlišovat mezi "dobrými" a "špatnými" webovými stránkami.
SOPA by vyžadovalo, aby poskytovatelé internetových služeb přesměrovali vyhledávání DNS pro "špatné" webové stránky. Například pokud by se účastníci poskytovatele internetových služeb pokoušeli přistupovat k serveru piratebay.se, DNS servery ISP by vrátily adresu jiné webové stránky, což by je informovalo o tom, že byl server Pirate Bay zablokován.
S DNSSECem by takové přesměrování bylo nerozeznatelné od útoku typu man-in-the-middle, který byl DNSSEC navržen tak, aby mu zabránil. Poskytovatelé internetových služeb, kteří nasazují službu DNSSEC, budou muset reagovat se skutečnou adresou Pirate Bay a porušovat tak SOPA.Aby bylo možné vyhovět SOPA, musel by DNSSEC mít velký otvor, který by umožnil poskytovatelům internetových služeb a vládám přesměrování DNS žádostí o jména domén bez povolení majitelů doménových jmen. To by bylo obtížné( ne-li nemožné) dělat bezpečným způsobem, pravděpodobně otevřít nové bezpečnostní otvory pro útočníky.
Naštěstí je SOPA mrtvá a snad se nevrátí.Služba DNSSEC je v současné době nasazena a poskytuje tento problém dlouhodobě opravenou opravu. Obrázek
: Khairil Yusof, Jemimus na Flickru, David Holmes na Flickr