31Jul

In che modo DNSSEC contribuirà a proteggere Internet e come SOPA lo abbia reso quasi illegale

Le estensioni di sicurezza del sistema dei nomi di dominio

( DNSSEC) sono una tecnologia di sicurezza che contribuirà a correggere uno dei punti deboli di Internet. Siamo fortunati che SOPA non sia passato, perché SOPA avrebbe reso illegale DNSSEC.

DNSSEC aggiunge sicurezza fondamentale in un luogo in cui Internet non ne possiede davvero. Il DNS( Domain Name System) funziona bene, ma non c'è alcuna verifica in qualsiasi punto del processo, che lascia i buchi aperti agli aggressori.

Lo stato attuale degli affari

Abbiamo spiegato come funziona il DNS in passato. In poche parole, ogni volta che ti connetti a un nome di dominio come "google.com" o "howtogeek.com", il tuo computer contatta il suo server DNS e cerca l'indirizzo IP associato per quel nome di dominio. Il tuo computer quindi si connetterà a quell'indirizzo IP.

È importante notare che non vi è alcun processo di verifica coinvolto in una ricerca DNS.Il tuo computer chiede al server DNS l'indirizzo associato a un sito Web, il server DNS risponde con un indirizzo IP e il tuo computer dice "okay!" E si collega felicemente a quel sito web. Il tuo computer non si ferma per verificare se questa è una risposta valida.

È possibile che gli aggressori reindirizzino queste richieste DNS o configurino server DNS dannosi progettati per restituire risposte errate. Ad esempio, se si è connessi a una rete Wi-Fi pubblica e si tenta di connettersi a howtogeek.com, un server DNS dannoso su tale rete Wi-Fi pubblica potrebbe restituire un indirizzo IP diverso interamente. L'indirizzo IP potrebbe portare a un sito Web di phishing. Il tuo browser non ha un modo reale per verificare se un indirizzo IP è effettivamente associato a howtogeek.com;deve solo fidarsi della risposta che riceve dal server DNS.La crittografia

HTTPS fornisce alcune verifiche. Ad esempio, supponiamo che provi a connetterti al sito web della tua banca e visualizzi HTTPS e l'icona a forma di lucchetto nella barra degli indirizzi. Sapete che un'autorità di certificazione ha verificato che il sito Web appartiene alla vostra banca.

Se si accede al sito Web della banca da un punto di accesso compromesso e il server DNS ha restituito l'indirizzo di un sito di phishing, il sito di phishing non sarebbe in grado di visualizzare tale crittografia HTTPS.Tuttavia, il sito di phishing può scegliere di utilizzare HTTP semplice invece di HTTPS, scommettendo sul fatto che la maggior parte degli utenti non noterebbe la differenza e inserirà comunque le proprie informazioni bancarie online.

La tua banca non ha modo di dire "Questi sono gli indirizzi IP legittimi per il nostro sito web".

In che modo DNSSEC aiuterà

Una ricerca DNS avviene in realtà in diverse fasi. Ad esempio, quando il computer richiede www.howtogeek.com, il computer esegue questa ricerca in più fasi:

  • Prima chiede la "directory root zone" dove può trovare . com .
  • Richiede quindi la directory. com dove può trovare howtogeek.com .
  • Quindi chiede howtogeek.com dove può trovare www.howtogeek.com .

DNSSEC implica "firmare la radice". Quando il computer va a chiedere alla zona radice dove può trovare. com, sarà in grado di controllare la chiave di firma della zona radice e confermare che si tratta della zona radice legittima con informazioni vere. La zona radice fornirà quindi informazioni sulla chiave di firma o su. com e sulla sua posizione, consentendo al computer di contattare la directory. com e assicurarsi che sia legittimo. La directory. com fornirà la chiave per la firma e le informazioni per howtogeek.com, permettendogli di contattare howtogeek.com e verificare di essere connesso al vero howtogeek.com, come confermato dalle zone sopra di esso.

Quando DNSSEC è completamente implementato, il tuo computer sarà in grado di confermare che le risposte DNS sono legittime e veritiere, mentre al momento non ha modo di sapere quali sono false e quali sono reali.

Ulteriori informazioni su come funziona la crittografia qui.

Cosa avrebbe fatto SOPA

Quindi come ha fatto lo Stop Online Piracy Act, meglio conosciuto come SOPA, a giocare a tutto questo? Bene, se hai seguito SOPA, ti rendi conto che è stato scritto da persone che non hanno capito Internet, quindi "rompere Internet" in vari modi. Questo è uno di loro.

Ricordare che DNSSEC consente ai proprietari dei nomi di dominio di firmare i propri record DNS.Ad esempio, thepiratebay.se può utilizzare DNSSEC per specificare gli indirizzi IP a cui è associato. Quando il computer esegue una ricerca DNS, sia per google.com che per thepiratebay.se, DNSSEC consente al computer di determinare che sta ricevendo la risposta corretta come convalidato dai proprietari del nome del dominio. DNSSEC è solo un protocollo;non cerca di discriminare tra siti web "buoni" e "cattivi".

SOPA avrebbe richiesto ai provider di servizi Internet di reindirizzare le ricerche DNS per i siti Web "cattivi".Ad esempio, se gli abbonati di un provider di servizi Internet hanno tentato di accedere a thepiratebay.se, i server DNS dell'ISP restituirebbero l'indirizzo di un altro sito Web, che li informerebbe che il Pirate Bay era stato bloccato.

Con DNSSEC, tale reindirizzamento sarebbe indistinguibile da un attacco man-in-the-middle, che DNSSEC è stato progettato per prevenire. Gli ISP che implementano DNSSEC dovrebbero rispondere con l'indirizzo effettivo di Pirate Bay e quindi violerebbero SOPA.Per ospitare SOPA, DNSSEC avrebbe dovuto scavare un grosso buco, che consentisse ai provider di servizi Internet e ai governi di reindirizzare le richieste DNS dei nomi di dominio senza il permesso dei proprietari del nome di dominio. Ciò sarebbe difficile( se non impossibile) da fare in modo sicuro, probabilmente aprendo nuove falle nella sicurezza per gli aggressori.

Fortunatamente, SOPA è morto e si spera che non ritorni. DNSSEC è attualmente in fase di distribuzione, fornendo una soluzione a lungo scaduta per questo problema. Credito immagine

: Khairil Yusof, Jemimus su Flickr, David Holmes su Flickr