31Jul
Proširenja za sigurnosne sustave domene( DNSSEC) je sigurnosna tehnologija koja će pomoći u zakrpavanju jedne od slabih točaka Interneta. Sretni smo što SOPA nije prošao, jer bi SOPA učinila DNSSEC ilegalnim.
DNSSEC dodaje ključnu sigurnost na mjesto gdje Internet zapravo nema. Sustav naziva domene( DNS) dobro funkcionira, ali nema nikakvog provjere u bilo kojem trenutku procesa, što otvara otvor za napadače.
Sadašnje stanje poslova
Objasnili smo kako DNS funkcionira u prošlosti. Ukratko, svaki put kad se povežete s nazivom domene poput "google.com" ili "howtogeek.com", vaše računalo kontaktira svoj DNS poslužitelj i pregledava pridruženu IP adresu za taj naziv domene. Računalo se zatim povezuje s tom IP adresom.
Važno je da postupak DNS-a nije uključen. Vaše računalo traži njegov DNS poslužitelj za adresu povezanu s web stranicom, DNS poslužitelj odgovara IP adresom, a vaše računalo kaže "dobro" i sretno se povezuje s tom web-lokacijom. Vaše računalo ne prestaje provjeriti je li to valjani odgovor.
Za napadače moguće je preusmjeriti ove DNS zahtjeve ili postaviti zlonamjerne DNS poslužitelje dizajnirane za povrat loših odgovora. Na primjer, ako ste povezani s javnom Wi-Fi mrežom i pokušate se povezati s howtogeek.com, zlonamjerni DNS poslužitelj na toj javnoj Wi-Fi mreži može potpuno vratiti drugu IP adresu. IP adresa može vas dovesti do web stranice za krađu identiteta. Vaš web preglednik nema pravi način da provjerite je li IP adresa zapravo povezana s howtogeek.com;to samo mora vjerovati odgovor koji prima od DNS poslužitelja.
HTTPS enkripcija pruža neke provjere. Na primjer, pretpostavimo da se pokušajte povezati s web-lokacijom banke i vidjet ćete HTTPS i ikonu lokota u adresnoj traci. Znaš da je certifikacijsko tijelo potvrdilo da web stranica pripada vašoj banci.
Ako ste pristupili web stranici vaše banke s ugrožene pristupne točke, a DNS poslužitelj vratio je adresu neprijateljske stranice za krađu identiteta, web lokacija za krađu identiteta ne bi mogla prikazati taj HTTPS šifriranje. Međutim, web lokacija za krađu identiteta može se odlučiti za upotrebu običnog HTTP-a umjesto HTTPS-a, klađenjem da većina korisnika ne bi primijetila razliku i svejedno bi unijela svoje online bankovne podatke.
Vaša banka nema načina da kaže "Ovo su legitimne IP adrese za našu web stranicu."
Kako će DNSSEC pomoći
DNS traženje se zapravo događa u nekoliko faza. Na primjer, kada vaše računalo pita za www.howtogeek.com, vaše računalo obavlja ovu pretragu u nekoliko faza:
- Prvo pita "direktorij root zone" gdje može pronaći . com .
- Zatim pita the. com katalog gdje može pronaći howtogeek.com .
- Zatim pita howtogeek.com gdje može pronaći www.howtogeek.com .
DNSSEC uključuje "potpisivanje korijena". Kada vaše računalo ode tražiti korijensku zonu gdje može pronaći. com, moći će provjeriti ključ za potpisivanje korijenske zone i potvrditi da je legitimna korijenska zona s pravim informacijama. Zona korijena tada će pružiti informacije o ključu za potpisivanje ili. com i njegovom mjestu, omogućujući vašem računalu da kontaktira mapu. com i osigura da je legitimna. The. com katalog imat će potpisnu ključ i informacije za howtogeek.com, dopuštajući mu da kontaktirate howtogeek.com i provjerite jeste li povezani sa stvarnim howtogeek.com, što potvrđuje i zone iznad nje.
Kad je DNSSEC u potpunosti pokrenut, vaše računalo će moći potvrditi da DNS odgovori su legitimni i istiniti, a trenutno nema načina da znaju koji su lažni i koji su pravi.
Pročitajte više o načinu na koji šifriranje radi ovdje.
Što bi SOPA učinila
Pa kako je u svemu ovome djelovao Zakon o zaustavljanju online piratstva, poznatiji kao SOPA?Pa, ako ste slijedili SOPA, shvaćate da su ga napisali ljudi koji nisu razumjeli Internet pa bi "razbila Internet" na različite načine. Ovo je jedan od njih.
Ne zaboravite da DNSSEC omogućuje vlasnicima domena da potpišu svoje DNS zapise. Tako, na primjer, thepiratebay.se može koristiti DNSSEC da bi odredio IP adrese s kojima je povezana. Kada računalo obavlja DNS traženje - bilo da je riječ o google.com ili thepiratebay.se - DNSSEC će omogućiti računalu da utvrdi da prima ispravni odgovor kao potvrdu vlasnika domene. DNSSEC je samo protokol;ne pokušava diskriminirati "dobre" i "loše" web stranice.
SOPA bi tražio od davatelja internetskih usluga preusmjeravanje DNS pretraživanja za "loše" web stranice. Na primjer, ako su pretplatnici davatelja internetskih usluga pokušali pristupiti thepiratebay.se, DNS poslužitelji ISP-a vratit će adresu druge web stranice, koja bi ih obavijestila da je Pirate Bay bio blokiran.
S DNSSEC-om, takva preusmjeravanja ne bi se mogla razlikovati od napada na čovjeka u sredini, koji je DNSSEC dizajniran da spriječi. ISP-ovi koji će razmjenjivati DNSSEC morat će odgovoriti na stvarnu adresu Piratskog zaljeva i time bi prekršili SOPA.Kako bi prihvatio SOPA, DNSSEC bi trebao imati veliku rupu u njega, onu koja bi dopustila internetskim davateljima usluga i vladama da preusmjeravaju ime DNS domene bez dopuštenja vlasnika domene. To bi bilo teško( ako ne i nemoguće) učiniti na siguran način, vjerojatno otvarajući nove sigurnosne rupe za napadače.
Srećom, SOPA je mrtav i nadamo se da se neće vratiti. DNSSEC se trenutačno koristi, pružajući dugoročno rješenje za ovaj problem.
Image Credit: Khairil Yusof, Jemimus na Flickr, David Holmes na Flickr