31Jul
Domain Name System Security Extensions( DNSSEC) היא טכנולוגיית אבטחה שתעזור לתקן את אחת מנקודות התורפה של האינטרנט.אנחנו מזל SOPA לא עבר, כי SOPA היה עושה DNSSEC חוקי.
DNSSEC מוסיף אבטחה קריטית למקום שבו לאינטרנט אין באמת.מערכת שם התחום( DNS) פועלת היטב, אך אין אימות בשלב כלשהו בתהליך, מה שמשאיר חורים פתוחים לתוקפים.
מצב העניינים הנוכחי
הסברנו כיצד DNS פועל בעבר.בקיצור, בכל פעם שאתה מתחבר לשם תחום כמו "google.com" או "howtogeek.com", המחשב שלך יוצר קשר עם שרת ה- DNS שלו ואת מחפש את כתובת ה- IP המשויכת עבור שם התחום.לאחר מכן המחשב מתחבר לכתובת IP זו.
חשוב לציין, שאין תהליך אימות מעורב בחיפוש DNS.המחשב שלך שואל את שרת ה- DNS שלו עבור הכתובת המשויכת לאתר אינטרנט, שרת ה- DNS מגיב עם כתובת IP, והמחשב שלך אומר "בסדר!" ומתחבר בשמחה לאותו אתר.המחשב שלך אינו מפסיק לבדוק אם מדובר בתגובה חוקית.
ייתכן שתוקפים יפנו מחדש בקשות DNS אלה או יקימו שרתי DNS זדוניים שנועדו להחזיר תגובות גרועות.לדוגמה, אם אתה מחובר לרשת Wi-Fi ציבורית ואתה מנסה להתחבר ל- howtogeek.com, שרת DNS זדוני ברשת ה- Wi-Fi הציבורית יכול להחזיר כתובת IP שונה לחלוטין.כתובת ה- IP עלולה להוביל אותך לאתר אינטרנט של התחזות.דפדפן האינטרנט שלך אין דרך אמיתית לבדוק אם כתובת ה- IP קשורה למעשה עם howtogeek.com;זה רק צריך לסמוך על התגובה שהוא מקבל משרת ה- DNS.ההצפנה HTTPS
מספק קצת אימות.לדוגמה, נניח שאתה מנסה להתחבר לאתר האינטרנט של הבנק שלך ואתה רואה את HTTPS ואת סמל המנעול בסרגל הכתובות שלך.אתה יודע שרשות אישורים אימתה שאתר זה שייך לבנק שלך.
אם ניגשת לאתר הבנק שלך מנקודת גישה שנפרצה, שרת ה- DNS החזיר את הכתובת של אתר פישינג מתחזה, אתר הדיוג לא יוכל להציג את ההצפנה של HTTPS.עם זאת, אתר התחזות עשוי לבחור להשתמש ב- HTTP רגיל במקום ב- HTTPS, הימורים שרוב המשתמשים לא ישים לב להבדל ויכניסו את פרטי הבנקאות המקוונת שלהם בכל מקרה.
הבנק שלך אין שום דרך לומר "אלה כתובות ה- IP לגיטימי עבור האתר שלנו."
איך DNSSEC יעזור
בדיקת DNS למעשה קורה בכמה שלבים.לדוגמה, כאשר המחשב מבקש www.howtogeek.com, המחשב מבצע בדיקה זו במספר שלבים:
- הוא שואל תחילה את "ספריית אזור השורש", שם הוא יכול למצוא את . com .
- ואז זה שואל את המדריך. Com שבו הוא יכול למצוא howtogeek.com .
- ואז הוא שואל howtogeek.com איפה זה יכול למצוא www.howtogeek.com .
DNSSEC כוללת "חתימה על השורש". כאשר המחשב שלך יבקש את אזור השורש שבו הוא יוכל למצוא את. com, הוא יוכל לבדוק את מפתח החתימה של אזור הבסיס ולאשר שהוא אזור השורש החוקי עם מידע אמיתי.אזור הבסיס יספק מידע על מפתח החתימה או. com ועל מיקומו, דבר שיאפשר למחשב שלך ליצור קשר עם ספריית. com ולוודא שזה לגיטימי.המדריך. Com יספק את החתימה מפתח ומידע עבור howtogeek.com, ומאפשר לו ליצור קשר עם howtogeek.com ולוודא שאתה מחובר howtogeek.com אמיתי, כפי שאושר על ידי אזורים מעל זה.
כאשר DNSSEC מתגלגל במלואו, המחשב יוכל לאשר את תגובות ה- DNS הן לגיטימיות ואמיתיות, בעוד שאין כרגע אפשרות לדעת אילו הן מזויפות ואילו מהן אמיתיות.
קרא עוד על אופן הפעולה של ההצפנה כאן.
מה SOPA היה עושה
אז איך להפסיק את פירטיות Online Act, הידוע יותר בשם SOPA, לשחק לתוך כל זה?ובכן, אם אתה בעקבות סופה, אתה מבין שזה נכתב על ידי אנשים שלא מבינים את האינטרנט, אז זה היה "לשבור את האינטרנט" בדרכים שונות.זה אחד מהם.
זכור ש- DNSSEC מאפשר לבעלי שמות תחום לחתום על רשומות ה- DNS שלהם.כך, למשל, thepiratebay.se יכול להשתמש DNSSEC כדי לציין את כתובות ה- IP שהוא משויך.כאשר המחשב מבצע חיפוש DNS - בין אם הוא עבור google.com או thepiratebay.se - DNSSEC יאפשר למחשב לקבוע שהוא מקבל את התגובה הנכונה כפי שאומתה על ידי הבעלים של שם התחום.DNSSEC הוא רק פרוטוקול;זה לא מנסה להפלות בין "טוב" ו "רע" אתרי אינטרנט.
SOPA היה דורש מספקי שירותי אינטרנט להפנות חיפושי DNS לאתרים "רעים".לדוגמה, אם המנויים של ספק שירותי האינטרנט ניסו לגשת אל thepiratebay.se, שרתי ה- DNS של ספק שירותי האינטרנט יחזירו את הכתובת של אתר אינטרנט אחר, אשר יודיע להם כי מפרץ פיראטים נחסם.
עם DNSSEC, ניתוב מחדש כזה יהיה בלתי ניתן להבדיל בין אדם ב-באמצע התקפה, אשר DNSSEC נועד למנוע.ספקי שירותי אינטרנט לפריסת DNSSEC יצטרכו להגיב עם הכתובת האמיתית של מפרץ הפיראטים, ובכך היו מפרים את SOPA.כדי להתאים את SOPA, DNSSEC היה צריך להיות גדול חור לחתוך לתוכו, אחד שיאפשר ספקי שירותי אינטרנט וממשלות להפנות מחדש את שם התחום DNS בקשות ללא אישור של הבעלים של שם התחום.זה יהיה קשה( אם לא בלתי אפשרי) לעשות בצורה בטוחה, סביר להניח פתיחת חורי אבטחה חדשים עבור התוקפים.
למרבה המזל, SOPA הוא מת והוא מקווה לא יחזור.DNSSEC נמצא כעת בפריסה, ומספק פתרון ארוך מראש עבור בעיה זו.
תמונה אשראי: חאיריל יוסוף, Jemimus על פליקר, דוד הולמס על Flickr