31Jul
-verkkotunnuksen järjestelmän suojauslaajennukset( DNSSEC) on tietoturvateknologia, joka auttaa korjaamaan jonkin Internetin heikot kohdat. Olemme onnekkaita, ettei SOPA ole läpäissyt, koska SOPA olisi tehnyt DNSSEC: n laittoman.
DNSSEC tuo kriittisen turvallisuuden paikkaan, jossa Internetissä ei todellakaan ole mitään. Verkkotunnusjärjestelmä( DNS) toimii hyvin, mutta prosessin missään vaiheessa ei ole vahvistusta, joka jättää reiät auki hyökkääjille.
Nykyinen tila
Olemme selittäneet, miten DNS toimii aiemmin. Pähkinänkuoressa, kun muodostat yhteyden verkkotunnukseen, kuten "google.com" tai "howtogeek.com", tietokoneesi yhteyttä DNS-palvelimeen ja etsii kyseisen verkkotunnuksen IP-osoitteen. Tietokone liittää sitten kyseisen IP-osoitteen.
Tärkeää ei ole, että DNS-hakuun liittyy vahvistusta. Tietokone pyytää DNS-palvelimelta verkkosivustoon liittyvää osoitetta, DNS-palvelin vastaa IP-osoitteella ja tietokone sanoo "okei!" Ja onneksi yhteydessä kyseiseen verkkosivustoon. Tietokoneesi ei pysähdy tarkistamaan, onko tämä kelvollinen vastaus.
Hyökkääjät voivat ohjata näitä DNS-pyyntöjä tai luoda haittaohjelmia, jotka on suunniteltu palauttamaan huonoja vastauksia. Jos olet esimerkiksi yhteydessä julkiseen Wi-Fi-verkkoon ja yrität muodostaa yhteyden osoitteeseen howtogeek.com, kyseisen julkisen Wi-Fi-verkon haittaohjelma DNS-palvelimella saattaa palauttaa toisen IP-osoitteen kokonaan. IP-osoite saattaa johtaa sinut tietojenkalastelusivustoon. Web-selaimella ei ole todellista tapaa tarkistaa, onko IP-osoite todella liittynyt howtogeek.com-sivustoon.sen täytyy vain luottaa vastaukseen, joka se saa DNS-palvelimelta.
HTTPS-salaus antaa tarkistuksen. Oletetaan esimerkiksi, että yrität muodostaa yhteyden pankin verkkosivustoon ja näet HTTPS: n ja lukkokuvakkeen osoitekenttään. Tiedät, että sertifiointiviranomainen on todennut, että kyseinen sivusto kuuluu pankkiisi.
Jos käytät pankin verkkosivustoa vaaralliselta tukiasemalta ja DNS-palvelin palautti tietosuojavastaavan sivuston osoitteen, phishing-sivusto ei pysty näyttämään tätä HTTPS-salausta. Tietojenkalastelusivusto saattaa kuitenkin halutessaan käyttää HTTPS: n sijasta tavallista HTTP: tä, vedoten, että useimmat käyttäjät eivät huomaa eroa ja antavat verkkopankkitietonsa.
Pankillasi ei ole tapaa sanoa "Nämä ovat oikeat IP-osoitteet verkkosivuillamme."
Miten DNSSEC auttaa
DNS-haku toimii tosiasiallisesti useissa vaiheissa. Esimerkiksi, kun tietokone pyytää www.howtogeek.com, tietokone suorittaa tämän haun useassa vaiheessa:
- Se pyytää ensin "root zone -hakemiston", jossa se löytää . com .
- Sitten kysyy. com-hakemistoa, josta se löytää howtogeek.com .
- Sitten kysyy howtogeek.com josta se löytää www.howtogeek.com .
DNSSEC liittyy "allekirjoittamalla juuren". Kun tietokone menee kyselemään juurivyöhykettä, jossa se voi löytää. Com, se voi tarkistaa juurivyöhykkeen allekirjoituksen avaimen ja vahvistaa sen, että se on oikeutettu juurivyöhyke, jolla on todelliset tiedot. Juurivyöhyke antaa sitten tietoja allekirjoituksen avaimesta tai. com ja sen sijainnista, jolloin tietokoneesi voi ottaa yhteyttä. com-hakemistoon ja varmistaa, että se on oikeutettu..com-hakemistossa annetaan allekirjoituksen avain ja tiedot howtogeek.com-sivustolle, jolloin se voi ottaa yhteyttä howtogeek.com-sivustoon ja varmistaa, että olet yhteydessä todelliseen howtogeek.com-sivustoon.
Kun DNSSEC on täysin avattu, tietokoneesi voi vahvistaa, että DNS-vastaukset ovat oikeita ja tosia, mutta tällä hetkellä ei ole mitään keinoa tietää, mitkä ovat väärennöksiä ja mitkä ovat todellisia.
Lue lisää siitä, miten salaus toimii täällä.
Mitä SOPA olisi tehnyt
Miten siis Stop Online Piracy Act, joka tunnetaan paremmin nimellä SOPA, pelataan kaiken tämän? Jos olet seurannut SOPAa, huomaat, että sen kirjoittajat ovat ihmisiä, jotka eivät ymmärtäneet Internetiä, joten se "murtaisi Internetin" monin tavoin. Tämä on yksi niistä.
Muista, että DNSSEC sallii verkkotunnusten omistajien allekirjoittaa DNS-tietueensa. Joten esimerkiksi thepiratebay.se voi käyttää DNSSEC: tä määrittämään IP-osoitteet, joihin se liittyy. Kun tietokone suorittaa DNS-haun - oli kyseessä google.com tai thepiratebay.se - DNSSEC sallisi tietokoneen päättää, että se saa oikean vastauksen verkkotunnuksen omistajien validoimana. DNSSEC on vain protokolla;se ei yritä erottaa "hyviä" ja "huonoja" verkkosivustoja.
SOPA olisi pyytänyt Internet-palveluntarjoajia ohjaamaan DNS-hakuja "huonoille" verkkosivustoille. Esimerkiksi jos Internet-palveluntarjoajan tilaajat yrittävät käyttää thepiratebay.se-palvelua, ISP: n DNS-palvelimet palauttaisivat toisen verkkosivuston osoitteen, joka ilmoittaisi heille, että Pirate Bay oli estetty.
DNSSEC: n avulla tällainen uudelleenohjaus ei olisi erotettavissa keskitetystä miehestä, jonka DNSSEC oli suunniteltu estämään. DNSSEC: n käyttöön ottavien Internet-palveluntarjoajien olisi vastattava Pirate Bayn varsinaiseen osoitteeseen ja rikkovat siten SOPAa. SOPA: n sijoittamiseksi DNSSEC: llä pitäisi olla suuri aukko leikattu, mikä mahdollistaisi sen, että Internet-palveluntarjoajat ja hallitukset voivat ohjata verkkotunnuksen DNS-pyyntöjä ilman verkkotunnuksen omistajien lupaa. Tämä olisi vaikeaa( jos ei mahdotonta) tehdä turvallisella tavalla, todennäköisesti avaamalla uusia suojausreikiä hyökkääjille.
Onneksi SOPA on kuollut ja toivottavasti ei tule takaisin. DNSSEC on parhaillaan käytössä, mikä tarjoaa pitkäaikaisen korjauksen tästä ongelmasta.
Kuvamäärä: Khairil Yusof, Jemimus Flickr, David Holmes Flickr