31Jul

Wie DNSSEC das Internet sichern kann und wie SOPA es fast illegal gemacht hat

Domain Name System Sicherheitserweiterungen( DNSSEC) ist eine Sicherheitstechnologie, die helfen wird, eine der Schwachstellen des Internets zu beheben. Wir haben Glück, dass SOPA nicht bestanden hat, weil SOPA DNSSEC illegal gemacht hätte.

DNSSEC fügt einem Ort, an dem das Internet nicht wirklich existiert, kritische Sicherheit hinzu. Das Domain Name System( DNS) funktioniert gut, aber es gibt zu keinem Zeitpunkt im Prozess eine Verifizierung, die Lücken für Angreifer offen lässt.

Der aktuelle Stand der Dinge

Wir haben erklärt, wie DNS in der Vergangenheit funktioniert. Kurz gesagt, wenn Sie eine Verbindung zu einem Domainnamen wie "google.com" oder "howtogeek.com" herstellen, kontaktiert Ihr Computer seinen DNS-Server und sucht die zugehörige IP-Adresse für diesen Domainnamen. Ihr Computer verbindet sich dann mit dieser IP-Adresse.

Wichtig ist, dass bei einer DNS-Suche kein Verifizierungsprozess stattfindet. Ihr Computer fragt seinen DNS-Server nach der mit einer Website verknüpften Adresse, der DNS-Server antwortet mit einer IP-Adresse, und Ihr Computer sagt "OK!" Und stellt eine Verbindung zu dieser Website her. Ihr Computer hört nicht auf zu überprüfen, ob das eine gültige Antwort ist.

Es ist möglich, dass Angreifer diese DNS-Anfragen umleiten oder bösartige DNS-Server einrichten, die schlechte Antworten zurückgeben. Wenn Sie beispielsweise mit einem öffentlichen WLAN-Netzwerk verbunden sind und versuchen, eine Verbindung mit howtogeek.com herzustellen, kann ein böswilliger DNS-Server in diesem öffentlichen WLAN-Netzwerk eine andere IP-Adresse vollständig zurückgeben. Die IP-Adresse könnte Sie zu einer Phishing-Website führen. Ihr Webbrowser hat keine Möglichkeit zu überprüfen, ob eine IP-Adresse tatsächlich mit howtogeek.com verknüpft ist. Es muss nur der Antwort vertrauen, die es vom DNS-Server erhält.

HTTPS-Verschlüsselung bietet einige Verifizierung. Angenommen, Sie versuchen, eine Verbindung zur Website Ihrer Bank herzustellen, und Sie sehen HTTPS und das Sperrsymbol in Ihrer Adressleiste. Sie wissen, dass eine Zertifizierungsstelle überprüft hat, dass die Website zu Ihrer Bank gehört.

Wenn Sie von einem kompromittierten Zugriffspunkt aus auf die Website Ihrer Bank zugegriffen haben und der DNS-Server die Adresse einer Betrüger-Phishing-Site zurückgegeben hat, kann die Phishing-Site diese HTTPS-Verschlüsselung nicht anzeigen. Die Phishing-Site kann jedoch auch die Verwendung von einfachem HTTP anstelle von HTTPS wählen und darauf wetten, dass die meisten Nutzer den Unterschied nicht bemerken würden und ihre Online-Banking-Informationen trotzdem eingeben würden.

Ihre Bank hat keine Möglichkeit zu sagen: "Dies sind die legitimen IP-Adressen für unsere Website."

Wie DNSSEC

hilft Ein DNS-Lookup findet tatsächlich in mehreren Phasen statt. Wenn Ihr Computer beispielsweise nach www.howtogeek.com fragt, führt Ihr Computer diese Suche in mehreren Stufen aus:

  • Zuerst wird das "Stammzonenverzeichnis" abgefragt, in dem . com gefunden werden kann.
  • Es fragt dann das Verzeichnis. com, wo es howtogeek.com finden kann.
  • fragt dann howtogeek.com, wo es www.howtogeek.com finden kann.

DNSSEC beinhaltet das Signieren des Stamms. Wenn Ihr Computer die Root-Zone fragt, in der er. com finden kann, kann er den Signaturschlüssel der Root-Zone überprüfen und bestätigen, dass es sich um die legitime Root-Zone mit echten Informationen handelt. Die Root-Zone stellt dann Informationen zum Signaturschlüssel oder. com und seinem Standort bereit, sodass Ihr Computer das. com-Verzeichnis kontaktieren und sicherstellen kann, dass es legitim ist. Das. com-Verzeichnis enthält den Signierungsschlüssel und Informationen für howtogeek.com, so dass es sich mit howtogeek.com in Verbindung setzen und überprüfen kann, ob Sie mit dem echten howtogeek.com verbunden sind, was durch die darüber liegenden Zonen bestätigt wird.

Wenn DNSSEC vollständig ausgerollt ist, kann Ihr Computer bestätigen, dass DNS-Antworten legitim und wahr sind, während er derzeit nicht wissen kann, welche gefälscht sind und welche echt sind.

Lesen Sie mehr darüber, wie die Verschlüsselung hier funktioniert.

Was SOPA getan hätte

Wie spielte das Stop Online Piracy Act, besser bekannt als SOPA, in all dies ein? Nun, wenn Sie SOPA befolgt haben, werden Sie feststellen, dass es von Leuten geschrieben wurde, die das Internet nicht verstanden haben, also würde es "das Internet" auf verschiedene Arten zerstören. Dies ist einer von ihnen.

Beachten Sie, dass DNSSEC Domaininhabern die Möglichkeit gibt, ihre DNS-Einträge zu signieren. Zum Beispiel kann thepiratebay.se DNSSEC verwenden, um die IP-Adressen anzugeben, mit denen es verknüpft ist. Wenn Ihr Computer eine DNS-Suche durchführt - sei es für google.com oder thepiratebay.se - würde DNSSEC dem Computer ermöglichen zu bestimmen, dass er die richtige Antwort erhält, wie von den Eigentümern des Domainnamens bestätigt. DNSSEC ist nur ein Protokoll;Es wird nicht versucht, zwischen "guten" und "schlechten" Websites zu unterscheiden.

SOPA hätte Internetdienstanbieter erforderlich gemacht, DNS-Lookups für "schlechte" Websites umzuleiten. Wenn beispielsweise die Abonnenten eines Internetdienstanbieters versuchen, auf diepiratebay.se zuzugreifen, geben die DNS-Server des Internetdienstanbieters die Adresse einer anderen Website zurück, die sie darüber informiert, dass die Pirate Bay gesperrt wurde.

Mit DNSSEC wäre eine solche Umleitung nicht zu unterscheiden von einem Man-in-the-Middle-Angriff, den DNSSEC verhindern sollte. ISPs, die DNSSEC einsetzen, müssten mit der tatsächlichen Adresse der Piratenbucht antworten und würden somit gegen SOPA verstoßen. Um SOPA unterzubringen, müsste DNSSEC ein großes Loch haben, das es Internetdienstanbietern und Regierungen ermöglichen würde, Domainnamen-DNS-Anfragen ohne die Erlaubnis der Eigentümer des Domain-Namens umzuleiten. Dies wäre schwierig( wenn nicht unmöglich) in einer sicheren Weise zu tun, wahrscheinlich neue Sicherheitslücken für Angreifer zu öffnen.

Glücklicherweise ist SOPA tot und wird hoffentlich nicht zurückkommen. DNSSEC wird derzeit bereitgestellt und bietet eine längst überfällige Lösung für dieses Problem.

Bildkredit: Khairil Yusof, Jemimus auf Flickr, David Holmes auf Flickr