31Jul
Domain Name System Security Extensions( DNSSEC) adalah teknologi keamanan yang akan membantu menambal salah satu titik lemah Internet. Kami beruntung SOPA tidak lulus, karena SOPA akan membuat DNSSEC ilegal.
DNSSEC menambahkan keamanan penting ke tempat di mana Internet tidak benar-benar memilikinya. Sistem nama domain( DNS) bekerja dengan baik, namun tidak ada verifikasi pada setiap saat dalam prosesnya, yang membiarkan lubang terbuka bagi penyerang.
Urusan Saat Ini
Kami telah menjelaskan bagaimana DNS bekerja di masa lalu. Singkatnya, kapan pun Anda terhubung ke nama domain seperti "google.com" atau "howtogeek.com", komputer Anda menghubungi server DNS-nya dan mencari alamat IP terkait untuk nama domain tersebut. Komputer Anda kemudian terhubung ke alamat IP tersebut.
Yang penting, tidak ada proses verifikasi yang terlibat dalam pencarian DNS.Komputer Anda menanyakan server DNS-nya untuk alamat yang terkait dengan situs web, server DNS merespons dengan alamat IP, dan komputer Anda mengatakan "oke!" Dan dengan senang hati terhubung ke situs web itu. Komputer Anda tidak berhenti untuk memeriksa apakah itu jawaban yang valid.
Mungkin penyerang mengalihkan permintaan DNS ini atau menyiapkan server DNS jahat yang dirancang untuk mengembalikan tanggapan buruk. Misalnya, jika Anda terhubung ke jaringan Wi-Fi publik dan Anda mencoba menyambung ke howtogeek.com, server DNS berbahaya di jaringan Wi-Fi publik tersebut dapat mengembalikan alamat IP yang berbeda sama sekali. Alamat IP bisa membawa Anda ke situs phishing. Browser web Anda tidak memiliki cara nyata untuk memeriksa apakah alamat IP sebenarnya terkait dengan howtogeek.com;itu hanya harus percaya respon yang diterimanya dari server DNS.Enkripsi HTTPS
memang memberikan beberapa verifikasi. Sebagai contoh, katakanlah Anda mencoba menghubungkan ke situs web bank Anda dan Anda melihat HTTPS dan ikon kunci di bilah alamat Anda. Anda tahu bahwa otoritas sertifikasi telah memverifikasi bahwa situs web itu milik bank Anda.
Jika Anda mengakses situs web bank Anda dari jalur akses yang dikompromikan dan server DNS mengembalikan alamat situs phishing penipu, situs phishing tidak akan dapat menampilkan enkripsi HTTPS tersebut. Namun, situs phishing mungkin memilih untuk menggunakan HTTP biasa dan bukan HTTPS, bertaruh sebagian besar pengguna tidak akan memperhatikan perbedaannya dan akan memasukkan informasi perbankan online mereka.
Bank Anda tidak memiliki cara untuk mengatakan "Ini adalah alamat IP yang sah untuk situs web kami."
Bagaimana DNSSEC Akan Membantu
Pencarian DNS sebenarnya terjadi dalam beberapa tahap. Sebagai contoh, ketika komputer Anda meminta www.howtogeek.com, komputer Anda melakukan pencarian ini dalam beberapa tahap:
- Ini pertama-tama menanyakan "direktori root zone" di mana ia dapat menemukan .com .
- Kemudian menanyakan direktori. com dimana ia dapat menemukan howtogeek.com .
- Kemudian bertanya howtogeek.com dimana ia bisa menemukan www.howtogeek.com .DNDEC
melibatkan "penandatanganan akar." Saat komputer Anda masuk ke zona akar tempat ia dapat menemukan. com, ia akan dapat memeriksa kunci penandatanganan zona akar dan memastikan bahwa itu adalah zona akar yang sah dengan informasi yang benar. Zona akar kemudian akan memberikan informasi tentang kunci penandatanganan atau. com dan lokasinya, yang memungkinkan komputer Anda menghubungi direktori. com dan memastikannya sah. Direktori. com akan memberikan kunci penandatangan dan informasi untuk howtogeek.com, yang memungkinkannya untuk menghubungi howtogeek.com dan memverifikasi bahwa Anda terhubung ke howtogeek.com sebenarnya, seperti yang dikonfirmasi oleh zona di atasnya.
Ketika DNSSEC diluncurkan sepenuhnya, komputer Anda akan dapat mengkonfirmasi respons DNS yang sah dan benar, padahal saat ini tidak memiliki cara untuk mengetahui mana yang palsu dan mana yang nyata.
Baca lebih lanjut tentang bagaimana enkripsi bekerja di sini.
Apa SOPA yang Telah Dilakukan
Jadi, bagaimana Tindakan Pembajakan Hentikan Online, lebih dikenal dengan SOPA, bermain dalam semua ini? Nah, jika Anda mengikuti SOPA, Anda menyadari bahwa itu ditulis oleh orang-orang yang tidak mengerti Internet, jadi akan "memecahkan Internet" dengan berbagai cara. Ini salah satunya.
Ingat bahwa DNSSEC mengizinkan pemilik nama domain untuk menandatangani data DNS mereka. Jadi, misalnya, thepiratebay.se dapat menggunakan DNSSEC untuk menentukan alamat IP yang terkait dengannya. Ketika komputer Anda melakukan pencarian DNS - entah itu untuk google.com atau thepiratebay.se - DNSSEC akan membiarkan komputer menentukan bahwa ia menerima respons yang benar seperti yang divalidasi oleh pemilik nama domain. DNSSEC hanyalah sebuah protokol;itu tidak mencoba untuk membedakan antara situs web "baik" dan "buruk".SOPA
akan mewajibkan penyedia layanan Internet untuk mengalihkan pencarian DNS untuk situs web "buruk".Misalnya, jika pelanggan penyedia layanan Internet mencoba mengakses thepiratebay.se, server DNS ISP akan mengembalikan alamat situs web lain, yang akan memberi tahu mereka bahwa Teluk Pirate telah diblokir.
Dengan DNSSEC, pengalihan semacam itu tidak dapat dibedakan dari serangan man-in-the-middle, yang DNSSEC dirancang untuk mencegahnya. ISP yang mengerahkan DNSSEC harus menanggapi dengan alamat sebenarnya dari Pirate Bay, dan karenanya akan melanggar SOPA.Untuk mengakomodasi SOPA, DNSSEC harus memiliki lubang besar yang terpotong, yang memungkinkan penyedia layanan Internet dan pemerintah mengalihkan hak permintaan DNS nama domain tanpa izin pemilik nama domain. Ini akan sulit( jika tidak mungkin) dilakukan dengan cara yang aman, kemungkinan membuka lubang keamanan baru bagi penyerang.
Beruntung, SOPA sudah mati dan semoga tidak akan kembali. DNSSEC saat ini sedang digunakan, memberikan perbaikan lama untuk masalah ini.
Image Credit: Khairil Yusof, Jemimus on Flickr, David Holmes di Flickr