31Jul
Extensiones de seguridad del sistema de nombres de dominio( DNSSEC) es una tecnología de seguridad que ayudará a reparar uno de los puntos débiles de Internet. Tenemos suerte de que SOPA no haya aprobado, porque SOPA hubiera convertido a DNSSEC en ilegal.
DNSSEC agrega seguridad crítica a un lugar donde Internet realmente no tiene ninguno. El sistema de nombres de dominio( DNS) funciona bien, pero no hay verificación en ningún momento del proceso, lo que deja agujeros para los atacantes.
El estado actual de los asuntos
Explicamos cómo funciona el DNS en el pasado. En pocas palabras, cada vez que se conecta a un nombre de dominio como "google.com" o "howtogeek.com", su computadora contacta su servidor DNS y busca la dirección IP asociada para ese nombre de dominio. Su computadora luego se conecta a esa dirección IP.
Es importante destacar que no hay un proceso de verificación involucrado en una búsqueda de DNS.Su computadora le pregunta a su servidor DNS por la dirección asociada con un sitio web, el servidor DNS responde con una dirección IP y su computadora dice "¡está bien!" Y se conecta felizmente a ese sitio web. Su computadora no se detiene para verificar si esa es una respuesta válida.
Es posible que los atacantes redirijan estas solicitudes de DNS o configuren servidores DNS maliciosos diseñados para devolver respuestas incorrectas. Por ejemplo, si está conectado a una red Wi-Fi pública e intenta conectarse a howtogeek.com, un servidor DNS malicioso en esa red Wi-Fi pública podría devolver una dirección IP diferente por completo. La dirección IP podría llevarlo a un sitio web de phishing. Su navegador web no tiene una forma real de verificar si una dirección IP está realmente asociada con howtogeek.com;solo tiene que confiar en la respuesta que recibe del servidor DNS.El cifrado
HTTPS proporciona cierta verificación. Por ejemplo, supongamos que intentas conectarte al sitio web de tu banco y ves HTTPS y el icono de candado en la barra de direcciones. Usted sabe que una autoridad de certificación ha verificado que el sitio web pertenece a su banco.
Si accedió al sitio web de su banco desde un punto de acceso comprometido y el servidor DNS devolvió la dirección de un sitio de phishing impostor, el sitio de phishing no podría mostrar ese cifrado HTTPS.Sin embargo, el sitio de phishing puede optar por usar HTTP simple en lugar de HTTPS, apostando a que la mayoría de los usuarios no notarían la diferencia e ingresarían su información de banca en línea de todos modos.
Su banco no tiene manera de decir "Estas son las direcciones IP legítimas para nuestro sitio web".
Cómo DNSSEC ayudará a
Una búsqueda de DNS realmente ocurre en varias etapas. Por ejemplo, cuando su computadora solicita www.howtogeek.com, su computadora realiza esta búsqueda en varias etapas:
- Primero pregunta al "directorio de la zona raíz" donde puede encontrar . com .
- Luego le pregunta al directorio. com dónde puede encontrar howtogeek.com .
- Luego pregunta howtogeek.com donde puede encontrar www.howtogeek.com .
DNSSEC implica "firmar la raíz". Cuando su computadora va a preguntar a la zona raíz dónde puede encontrar. com, podrá verificar la clave de firma de la zona raíz y confirmar que es la zona raíz legítima con información verdadera. La zona raíz luego proporcionará información sobre la clave de firma o. com y su ubicación, permitiendo que su computadora se comunique con el directorio. com y se asegure de que sea legítimo. El directorio. com proporcionará la clave de firma y la información de howtogeek.com, lo que le permite ponerse en contacto con howtogeek.com y verificar que esté conectado a howtogeek.com real, tal como lo confirman las zonas que se encuentran encima.
Cuando DNSSEC está completamente desplegado, su computadora podrá confirmar que las respuestas DNS son legítimas y verdaderas, mientras que actualmente no tiene forma de saber cuáles son falsas y cuáles son reales.
Obtenga más información sobre cómo funciona el cifrado aquí.
Lo que SOPA habría hecho
Entonces, ¿cómo jugó la Ley de Detener la Piratería en Línea, más conocida como SOPA, en todo esto? Bueno, si siguió SOPA, se da cuenta de que fue escrito por personas que no entendían Internet, por lo que "rompería Internet" de varias maneras. Este es uno de ellos.
Recuerde que DNSSEC permite a los propietarios de nombres de dominio firmar sus registros DNS.Entonces, por ejemplo, thepiratebay.se puede usar DNSSEC para especificar las direcciones IP a las que está asociado. Cuando su computadora realiza una búsqueda de DNS, ya sea para google.com o thepiratebay.se, DNSSEC permitirá que la computadora determine que está recibiendo la respuesta correcta según lo validado por los propietarios del nombre de dominio. DNSSEC es solo un protocolo;no trata de discriminar entre sitios web "buenos" y "malos".
SOPA habría exigido a los proveedores de servicios de Internet redirigir las búsquedas DNS para sitios web "malos".Por ejemplo, si los suscriptores de un proveedor de servicios de Internet intentaron acceder a thepiratebay.se, los servidores DNS del ISP devolverían la dirección de otro sitio web, lo que les informaría que Pirate Bay había sido bloqueado.
Con DNSSEC, dicha redirección sería indistinguible de un ataque de hombre en el medio, que fue diseñado para prevenir DNSSEC.Los ISP que implementan DNSSEC tendrían que responder con la dirección real de Pirate Bay y, por lo tanto, estarían violando SOPA.Para dar cabida a SOPA, DNSSEC tendría que tener un corte grande en él, que permita a los proveedores de servicios de Internet y los gobiernos redirigir las solicitudes DNS de nombres de dominio sin el permiso de los propietarios del nombre de dominio. Esto sería difícil( si no imposible) de hacer de una manera segura, probablemente abriendo nuevos agujeros de seguridad para los atacantes.
Afortunadamente, SOPA está muerto y es de esperar que no regrese. DNSSEC se está implementando actualmente, proporcionando una solución largamente esperada para este problema. Crédito de imagen
: Khairil Yusof, Jemimus en Flickr, David Holmes en Flickr
