31Jul

Πώς θα βοηθήσει το DNSSEC να προστατεύσει το Διαδίκτυο και πώς το SOPA το έκανε σχεδόν παράνομο

Το

επεκτάσεις ασφαλείας συστήματος ονόματος τομέα( DNSSEC) είναι μια τεχνολογία ασφάλειας που θα βοηθήσει να διορθώσει ένα από τα αδύναμα σημεία του Internet.Είμαστε τυχεροί που η SOPA δεν πέρασε, επειδή η SOPA θα έκανε το DNSSEC παράνομο.

Το DNSSEC προσθέτει κρίσιμη ασφάλεια σε έναν τόπο όπου το Διαδίκτυο δεν έχει πραγματικά κανένα.Το σύστημα ονομάτων τομέα( DNS) λειτουργεί καλά, αλλά δεν υπάρχει καμία επαλήθευση σε κανένα σημείο της διαδικασίας, η οποία αφήνει ανοικτές τρύπες για εισβολείς.

Η τρέχουσα κατάσταση των υποθέσεων

Εξηγήσαμε πώς λειτουργεί το DNS στο παρελθόν.Με λίγα λόγια, κάθε φορά που συνδέεστε με ένα όνομα τομέα όπως "google.com" ή "howtogeek.com", ο υπολογιστής σας επικοινωνεί με τον διακομιστή DNS του και αναζητά τη σχετική διεύθυνση IP για αυτό το όνομα τομέα.Στη συνέχεια, ο υπολογιστής σας συνδέεται με τη συγκεκριμένη διεύθυνση IP.

Είναι σημαντικό ότι δεν υπάρχει καμία διαδικασία επαλήθευσης που να εμπλέκεται σε μια αναζήτηση DNS.Ο υπολογιστής σας ζητάει τον διακομιστή DNS του για τη διεύθυνση που σχετίζεται με έναν ιστότοπο, ο διακομιστής DNS αποκρίνεται με μια διεύθυνση IP και ο υπολογιστής σας λέει "Εντάξει!" Και ευτυχώς συνδέεται με αυτόν τον ιστότοπο.Ο υπολογιστής σας δεν σταματά για να ελέγξει εάν αυτή είναι μια έγκυρη απάντηση.

Οι εισβολείς μπορούν να ανακατευθύνουν αυτά τα αιτήματα DNS ή να δημιουργήσουν κακόβουλους διακομιστές DNS με σκοπό να επιστρέψουν κακές απαντήσεις.Για παράδειγμα, εάν είστε συνδεδεμένοι σε ένα δημόσιο δίκτυο Wi-Fi και προσπαθείτε να συνδεθείτε στο howtogeek.com, ένας κακόβουλος διακομιστής DNS σε αυτό το δημόσιο δίκτυο Wi-Fi θα μπορούσε να επιστρέψει εξ ολοκλήρου διαφορετική διεύθυνση IP.Η διεύθυνση IP μπορεί να σας οδηγήσει σε έναν ιστότοπο ηλεκτρονικού "ψαρέματος".Το πρόγραμμα περιήγησης ιστού δεν έχει κανέναν πραγματικό τρόπο για να ελέγξει αν μια διεύθυνση IP συσχετίζεται πραγματικά με το howtogeek.com.πρέπει απλώς να εμπιστευτεί την απάντηση που λαμβάνει από το διακομιστή DNS.Η κρυπτογράφηση HTTPS

παρέχει κάποια επαλήθευση.Για παράδειγμα, ας υποθέσουμε ότι προσπαθείτε να συνδεθείτε στον ιστότοπο της τράπεζάς σας και ότι βλέπετε το HTTPS και το εικονίδιο κλειδώματος στη γραμμή διευθύνσεων.Γνωρίζετε ότι μια αρχή πιστοποίησης έχει επαληθεύσει ότι ο ιστότοπος ανήκει στην τράπεζά σας.

Εάν έχετε προσεγγίσει τον ιστότοπο της τράπεζάς σας από ένα συμβεβλημένο σημείο πρόσβασης και ο διακομιστής DNS επέστρεψε τη διεύθυνση ενός ιστότοπου απάτης που διέπεται από το phishing, ο ιστότοπος ηλεκτρονικού "ψαρέματος" δεν θα μπορούσε να εμφανίσει την κρυπτογράφηση HTTPS.Ωστόσο, ο ιστότοπος ηλεκτρονικού "ψαρέματος" μπορεί να επιλέξει να χρησιμοποιεί απλό HTTP αντί HTTPS, στοιχηματίζοντας ότι οι περισσότεροι χρήστες δεν θα αντιληφθούν τη διαφορά και θα μπουν ούτως ή άλλως στις ηλεκτρονικές τραπεζικές τους πληροφορίες.

Η τράπεζά σας δεν έχει κανέναν τρόπο να λέει "Αυτές είναι οι νόμιμες διευθύνσεις IP για τον ιστότοπό μας".

Πώς το DNSSEC θα βοηθήσει

Η αναζήτηση DNS στην πραγματικότητα συμβαίνει σε διάφορα στάδια.Για παράδειγμα, όταν ο υπολογιστής σας ζητά το www.howtogeek.com, ο υπολογιστής σας πραγματοποιεί αυτή την αναζήτηση σε διάφορα στάδια:

  • Αρχικά ζητά τον "κατάλογο ζώνης ρίζας" όπου μπορεί να βρει . com .
  • Στη συνέχεια, ρωτά τον κατάλογο. com όπου μπορεί να βρει howtogeek.com .
  • Στη συνέχεια, ζητά από το howtogeek.com, όπου μπορεί να βρει www.howtogeek.com .

Το DNSSEC περιλαμβάνει την υπογραφή της ρίζας. Όταν ο υπολογιστής σας πάει να ρωτήσει τη ζώνη ρίζας όπου μπορεί να βρει. com, θα μπορεί να ελέγχει το κλειδί υπογραφής της ριζικής ζώνης και να επιβεβαιώνει ότι είναι η νόμιμη ριζική ζώνη με αληθινές πληροφορίες.Στη συνέχεια, η ζώνη ρίζας παρέχει πληροφορίες σχετικά με το κλειδί υπογραφής ή το. com και τη θέση του, επιτρέποντας στον υπολογιστή σας να έρχεται σε επαφή με τον κατάλογο. com και να διασφαλίζει ότι είναι νόμιμη.Ο κατάλογος. com θα παράσχει το κλειδί υπογραφής και πληροφορίες για το howtogeek.com, επιτρέποντάς του να επικοινωνήσει με το howtogeek.com και να επαληθεύσει ότι είστε συνδεδεμένοι με τον πραγματικό howtogeek.com, όπως επιβεβαιώνεται από τις παραπάνω ζώνες.

Όταν ολοκληρωθεί η προβολή του DNSSEC, ο υπολογιστής σας θα είναι σε θέση να επιβεβαιώσει ότι οι απαντήσεις DNS είναι νόμιμες και αληθείς, ενώ αυτή τη στιγμή δεν έχει τρόπο να γνωρίζει ποιες είναι ψεύτικες και ποιες είναι πραγματικές.

Διαβάστε περισσότερα σχετικά με τον τρόπο λειτουργίας της κρυπτογράφησης εδώ.

Τι θα έπρεπε να γίνει η SOPA

Πώς λοιπόν η Συνθήκη περί Πειρατείας Online Πειρατείας, γνωστό και ως SOPA, παίζει σε όλα αυτά;Λοιπόν, αν ακολουθήσατε τη SOPA, συνειδητοποιείτε ότι γράφτηκε από άτομα που δεν κατάλαβαν το Διαδίκτυο, οπότε θα "σπάσει το Διαδίκτυο" με διάφορους τρόπους.Αυτό είναι ένα από αυτά.

Να θυμάστε ότι το DNSSEC επιτρέπει στους κατόχους ονομάτων τομέα να υπογράψουν τις εγγραφές DNS τους.Έτσι, για παράδειγμα, το thepiratebay.se μπορεί να χρησιμοποιήσει το DNSSEC για να καθορίσει τις διευθύνσεις IP με τις οποίες συσχετίζεται.Όταν ο υπολογιστής εκτελεί μια αναζήτηση DNS - είτε πρόκειται για google.com είτε για τοpiratebay.se - το DNSSEC θα επιτρέψει στον υπολογιστή να διαπιστώσει ότι λαμβάνει τη σωστή απάντηση όπως έχει επικυρωθεί από τους κατόχους του domain name.Το DNSSEC είναι απλώς ένα πρωτόκολλο.δεν προσπαθεί να κάνει διακρίσεις μεταξύ των «καλών» και των «κακών» ιστότοπων.Το

SOPA θα απαιτούσε από τους παρόχους υπηρεσιών Διαδικτύου να ανακατευθύνουν αναζητήσεις DNS για "κακούς" ιστότοπους.Για παράδειγμα, εάν οι συνδρομητές του παροχέα υπηρεσιών Internet προσπάθησαν να έχουν πρόσβαση στο piratebay.se, οι διακομιστές DNS του ISP θα επέστρεφαν τη διεύθυνση άλλου ιστότοπου, γεγονός που θα τους πληροφορούσε ότι το Pirate Bay είχε αποκλειστεί.

Με το DNSSEC, μια τέτοια ανακατεύθυνση θα ήταν αδιαίρετη από μια επίθεση από τον άνθρωπο στη μέση, την οποία το DNSSEC είχε σχεδιαστεί για να αποτρέψει.Οι ISP που αναπτύσσουν το DNSSEC θα πρέπει να ανταποκριθούν με την πραγματική διεύθυνση του Pirate Bay και, συνεπώς, θα παραβιάζουν την SOPA.Για να φιλοξενήσει τη SOPA, η DNSSEC θα έπρεπε να έχει μια μεγάλη τρύπα σε αυτήν, μία που θα επέτρεπε στους φορείς παροχής υπηρεσιών Διαδικτύου και τις κυβερνήσεις να ανακατευθύνουν τα ονόματα DNS domain names χωρίς την άδεια των κατόχων του domain name.Αυτό θα ήταν δύσκολο( αν όχι αδύνατο) να γίνει με ασφαλή τρόπο, πιθανόν να ανοίξει νέες τρύπες ασφαλείας για τους επιτιθέμενους.

Ευτυχώς, η SOPA είναι νεκρή και ελπίζουμε ότι δεν θα επιστρέψει.Το DNSSEC βρίσκεται σε εξέλιξη και παρέχει μια καθυστερημένη λύση για αυτό το πρόβλημα.Εικόνα πίστωσης

: Khairil Yusof, Jemimus στο Flickr, David Holmes στο Flickr