31Jul
domenų vardų sistemos saugos plėtiniai( DNSSEC) yra saugumo technologija, kuri padės pataisyti vieną iš interneto silpnybių.Mes pasisekė, SOPA nepavyko, nes SOPA būtų padaręs DNSSEC neteisėtą.
DNSSEC prideda kritišką saugumą toje vietoje, kur internetas tikrai neturi. Domeno vardo sistema( DNS) gerai veikia, tačiau procese nėra jokio patikrinimo, kuris užkietėjusiems asmenims atviras.
Dabartinė reikalų būklė
Mes paaiškinome, kaip DNS veikia anksčiau. Trumpai tariant, kiekvieną kartą, kai prisijungiate prie domeno pavadinimo, pvz., "Google.com" arba "howtogeek.com", jūsų kompiuteris prisijungia prie jo DNS serverio ir ieškos atitinkamo to domeno vardo IP adreso. Jūsų kompiuteris prisijungia prie šio IP adreso.
Svarbu tai, kad DNS paieškoje nėra patvirtinimo proceso. Jūsų kompiuteris kreipiasi į savo DNS serverį su adresu, susijusiu su svetaine, DNS serveris reaguoja su IP adresu, o jūsų kompiuteris sako "gerai" ir laimingai prisijungia prie šios svetainės. Jūsų kompiuteris nesibaigia patikrinti, ar tai yra tinkamas atsakymas.
Tai įmanoma užpuolikams nukreipti šiuos DNS užklausimus arba nustatyti kenksmingus DNS serverius, sukurtus grąžinti blogus atsakymus. Pvz., Jei esate prisijungę prie viešojo "Wi-Fi" tinklo ir bandote prisijungti prie "howtogeek.com", kenksmingas DNS serveris šiame viešajame "Wi-Fi" tinkle gali visiškai sugrąžinti kitą IP adresą.IP adresas gali nukreipti jus į sukčiavimo svetainę.Jūsų žiniatinklio naršyklėje nėra tikrų būdų patikrinti, ar IP adresas yra faktiškai susietas su howtogeek.com;tai tik turi pasitikėti atsakymu, kurį jis gauna iš DNS serverio.
HTTPS šifravimas suteikia tam tikrą patvirtinimą.Pvz., Tarkime, kad bandote prisijungti prie banko svetainės, o adresų juostoje rodote HTTPS ir užrakto piktogramą.Žinai, kad sertifikavimo institucija patvirtino, kad svetainė priklauso jūsų bankui.
Jei pasiekėte banko svetainę iš pažeisto prieigos taško ir DNS serveris grąžino apgaulingos svetainės adresą, sukčiavimo svetainė negalėtų rodyti šio HTTPS šifravimo. Tačiau sukčiavimo svetainė gali nuspręsti naudoti paprastą HTTP, o ne HTTPS, lažinydama, kad dauguma vartotojų pastebėtų skirtumą ir vis tiek patektų į savo internetinės bankininkystės informaciją.
Jūsų banke negalima sakyti: "Tai yra teisėti IP adresai mūsų tinklalapyje".
Kaip DNSSEC padės
DNS paieška iš tikrųjų vyksta keliais etapais. Pavyzdžiui, kai jūsų kompiuteris prašo www.howtogeek.com, jūsų kompiuteris atlieka šį peržiūrą keliais etapais:
- Visų pirma jis klausia "šaknies zonos katalogo", kur jis gali rasti . com .
- Tada jis klausia katalogo. com, kur jis gali rasti howtogeek.com .
- Tada klausia howtogeek.com, kur jis gali rasti www.howtogeek.com .
DNSSEC apima "šaknų pasirašymą". Kai jūsų kompiuteris eina paklausti šakninės zonos, kurioje gali rasti ".com", jis galės patikrinti šaknies zonos pasirašymo raktą ir patvirtinti, kad tai yra teisėta šaknies zona su tikra informacija.Šaknies zona tada suteiks informaciją apie pasirašymo raktą arba. com ir jo vietą, leidžiančią jūsų kompiuteriui susisiekti su. com katalogu ir užtikrinti, kad jis teisėtas. Katalogas. com pateiks parašo raktą ir "howtogeek.com" informaciją, leidžiančią susisiekti su "howtogeek.com" ir patvirtinti, kad esate prijungtas prie realaus "howtogeek.com", kaip tai patvirtina jos viršuje esančios zonos.
Kai DNSSEC bus visiškai išjungtas, jūsų kompiuteris galės patvirtinti, kad DNS atsakymai yra teisėti ir teisingi, tuo tarpu šiuo metu negalima žinoti, kurie iš jų yra padirbti ir kurios yra realios.
Skaitykite daugiau apie tai, kaip šifravimas veikia čia.
Kokia SOPA būtų padariusi
Taigi, kaip viską apibūdino "Stop Online Piracy Act", geriau žinomas kaip SOPA?Na, jei stebėjote SOPA, jūs suprantate, kad tai parašė žmonės, kurie nesuprato interneto, todėl jie "išsiveržė" internetą įvairiais būdais. Tai vienas iš jų.
Atminkite, kad DNSSEC leidžia domeno savininkams pasirašyti savo DNS įrašus. Pavyzdžiui, thepiratebay.se gali naudoti DNSSEC, norėdamas nurodyti su ja susijusius IP adresus. Kai kompiuteris atlieka DNS paieškos - ar tai yra google.com ar thepiratebay.se - DNSSEC leistų kompiuteriui nustatyti, ar jis gauna teisingą atsakymą, kurį patvirtina domeno vardo savininkai. DNSSEC yra tik protokolas;jis nesistengia diskriminuoti "geros" ir "blogos" svetainės.
SOPA reikėjo, kad interneto paslaugų teikėjai peradresuotų "blogų" svetainių DNS paieškos. Pvz., Jei interneto paslaugų teikėjo abonentai bando pasiekti thepiratebay.se, ISP DNS serveriai grąžins kitos svetainės adresą, kuris informuotų juos, kad "Pirate Bay" buvo užblokuotas.
Naudodamiesi DNSSEC, tokia peradresavimas nebūtų atskirtas nuo "man-in-the-middle" užpuolimo, kurį DNSSEC sukūrė užkirsti kelią.Interneto tiekėjai, kurie dislokuoja DNSSEC, turės atsakyti į faktinį "Pirate Bay" adresą ir taip pažeidžia SOPA.Kad būtų galima pritaikyti SOPA, DNSSEC turėtų būti išpjautos didelė skylė, kuri leistų interneto paslaugų teikėjams ir vyriausybėms nukreipti domeno vardo DNS užklausas be domeno vardo savininkų leidimo. Tai būtų sunku( jei nebūtų neįmanoma) daryti saugiai, greičiausiai atveriant naujus saugumo spragas priepuoliams.
Laimei, SOPA mirė ir, tikiuosi, nebus grįžti. DNSSEC šiuo metu yra dislokuotos, suteikiant ilgą laiką išspręstą problemą.
Image Credit: Khairil Yusof, Jemimus Flickr, David Holmes, "Flickr
".