31Jul
Domain Name System Security Extensions( DNSSEC) er en sikkerhedsteknologi, der hjælper med at lappe op på et af internets svage punkter. Vi har heldige SOPA passerede ikke, fordi SOPA ville have gjort DNSSEC ulovlig.
DNSSEC tilføjer kritisk sikkerhed til et sted, hvor internettet ikke har nogen. Domænenavnssystemet( DNS) fungerer fint, men der er ingen kontrol på noget tidspunkt i processen, hvilket åbner huller for angriberne.
Den nuværende tilstand af anliggender
Vi har forklaret, hvordan DNS fungerer tidligere. I en nøddeskal, når din forbindelse til et domænenavn som "google.com" eller "howtogeek.com", kontakter din computer sin DNS-server og ser den tilhørende IP-adresse til det pågældende domænenavn op. Din computer forbinder så til den IP-adresse.
Det er vigtigt, at der ikke er nogen verifikationsproces involveret i et DNS-opslag. Din computer spørger sin DNS-server til adressen, der er knyttet til et websted, DNS-serveren reagerer med en IP-adresse, og din computer siger "okay!" Og forbinder lykkeligt med den pågældende hjemmeside. Din computer stopper ikke for at kontrollere, om det er et gyldigt svar.
Det er muligt for angriberne at omdirigere disse DNS-anmodninger eller konfigurere ondsindede DNS-servere designet til at returnere dårlige svar. Hvis du f.eks. Har forbindelse til et offentligt Wi-Fi-netværk, og du forsøger at oprette forbindelse til howtogeek.com, kan en ondsindet DNS-server på det offentlige Wi-Fi-netværk fuldstændigt returnere en anden IP-adresse. IP-adressen kan føre dig til et phishing-websted. Din webbrowser har ingen reel måde at kontrollere, om en IP-adresse rent faktisk er forbundet med howtogeek.com;det skal bare stole på det svar, det modtager fra DNS-serveren.
HTTPS kryptering giver nogle verifikation. Lad os f.eks. Sige, at du forsøger at oprette forbindelse til din banks websted, og du kan se HTTPS og låsikonet i adresselinjen. Du ved, at en certificeringsmyndighed har bekræftet, at hjemmesiden tilhører din bank.
Hvis du har fået adgang til din banks hjemmeside fra et kompromitteret adgangspunkt, og DNS-serveren returnerede adressen til et falsk phishing-websted, ville phishing-stedet ikke kunne vise den HTTPS-kryptering. Phishing-webstedet kan dog vælge at bruge almindelig HTTP i stedet for HTTPS, væddemål om, at de fleste brugere ikke ville bemærke forskellen, og alligevel ville indtaste deres online-bankoplysninger.
Din bank har ingen måde at sige "Disse er de legitime IP-adresser for vores hjemmeside."
Hvordan DNSSEC vil hjælpe
Et DNS-opslag forekommer faktisk i flere faser. Når din computer f.eks. Spørger til www.howtogeek.com, udfører din computer dette opslag i flere faser:
- Den spørger først "root zone directory", hvor den kan finde . com .
- Det spørger derefter. com-mappen, hvor den kan finde howtogeek.com .
- Det spørger derefter howtogeek.com hvor det kan finde www.howtogeek.com .
DNSSEC involverer "signering af roden." Når din computer går hen til spørge rodzonen, hvor den kan finde. Com, vil den kunne kontrollere rotzones underskriftstast og bekræfte, at det er den legitime rodszone med ægte information. Rotzonen vil derefter give oplysninger om signaturnøglen eller. com og dens placering, så din computer kan kontakte. com-mappen og sikre, at den er legitim..com-mappen vil give signaturnøglen og informationen til howtogeek.com, så den kan kontakte howtogeek.com og kontrollere, at du er forbundet til den virkelige howtogeek.com, som bekræftet af zonerne ovenfor.
Når DNSSEC er fuldt udbygget, vil din computer kunne bekræfte, at DNS-svar er legitime og sande, mens det i øjeblikket ikke har nogen mulighed for at vide, hvilke der er falske og hvilke der er virkelige.
Læs mere om, hvordan kryptering fungerer her.
Hvad SOPA ville have gjort
Så hvordan spillede Stop Online Piracy Act, bedre kendt som SOPA, ind i alt dette? Nå, hvis du fulgte SOPA, indser du, at det var skrevet af folk, der ikke forstod internettet, så det ville "bryde internettet" på forskellige måder. Dette er en af dem.
Husk at DNSSEC giver domænenavneejere mulighed for at underskrive deres DNS-poster. Så kan for eksempel thepiratebay.se bruge DNSSEC til at angive de IP-adresser, den er knyttet til. Når din computer udfører et DNS-opslag - uanset om det er for google.com eller thepiratebay.se - vil DNSSEC tillade computeren at bestemme, at den modtager det korrekte svar som valideret af domænenavnets ejere. DNSSEC er blot en protokol;det forsøger ikke at diskriminere mellem "gode" og "dårlige" hjemmesider.
SOPA ville have krævet internetudbydere at omdirigere DNS-opslag for "dårlige" hjemmesider. Hvis en internetudbyderes abonnenter forsøgte at få adgang til thepiratebay.se, ville internetudbyderens DNS-servere f.eks. Returnere adressen på en anden hjemmeside, hvilket ville informere dem om, at Pirate Bay var blevet blokeret.
Med DNSSEC ville en sådan omdirigering ikke skelnes fra et menneske-i-midterangreb, som DNSSEC var designet til at forhindre. Internetudbydere, der anvender DNSSEC, skulle svare med den faktiske adresse på Pirate Bay, og ville således være i strid med SOPA.For at imødekomme SOPA ville DNSSEC skulle have et stort hul skåret ind i det, hvilket ville give internetudbydere og regeringer mulighed for at omdirigere DNS-anmodninger om domænenavne uden tilladelse fra domænenavnets ejere. Dette ville være svært( hvis ikke umuligt) at gøre på en sikker måde, sandsynligvis at åbne nye sikkerhedshuller for angribere.
Heldigvis er SOPA død og det forhåbentlig ikke kommer tilbage. DNSSEC er i øjeblikket ved at blive implementeret, hvilket giver en langvarig løsning på dette problem.
Billedkredit: Khairil Yusof, Jemimus på Flickr, David Holmes på Flickr