31Jul
domēnu nosaukumu sistēmas drošības paplašinājumi( DNSSEC) ir drošības tehnoloģija, kas palīdzēs izkopt kādu no interneta vājākajiem punktiem. Mēs esam laimīgi SOPA neizturēja, jo SOPA būtu padarījis DNSSEC nelikumīgu.
DNSSEC pievieno kritisku drošību vietai, kur internetam patiešām nav. Domēna vārda sistēma( DNS) darbojas labi, taču nevienā procesa posmā netiek veikta verifikācija, kas uzbrucējiem ļauj piekļūt urbumiem.
Pašreizējais stāvoklis
Mēs esam paskaidrojuši, kā DNS darbojas pagātnē.Īsāk sakot, ikreiz, kad izveidojat savienojumu ar domēna vārdu, piemēram, "google.com" vai "howtogeek.com", jūsu dators pieslēdzas sava DNS serverim un meklē attiecīgo domēna vārda attiecīgo IP adresi. Jūsu dators pēc tam savienojas ar šo IP adresi.
Svarīgi, ka DNS meklēšanā nav iesaistīts verifikācijas process. Jūsu dators prasa savu DNS serveri ar adresi, kas saistīta ar vietni, DNS serveris reaģē ar IP adresi, un jūsu dators saka "labi!", Un ar prieku savieno to ar šo vietni. Jūsu dators neapstājas, lai pārbaudītu, vai tā ir derīga atbilde.
Iespējams, ka uzbrucēji pārorientē šos DNS pieprasījumus vai izveido ļaunprātīgus DNS serverus, kas paredzēti, lai atgrieztu sliktas atbildes. Piemēram, ja esat izveidojis savienojumu ar publisko Wi-Fi tīklu un mēģināt izveidot savienojumu ar howtogeek.com, ļaunprātīgs DNS serveris šajā publiskā Wi-Fi tīklā var pilnībā atgriezt citu IP adresi. IP adrese var novest pie pikšķerēšanas vietnes. Jūsu tīmekļa pārlūkam nav īstu iespēju pārbaudīt, vai IP adrese ir faktiski saistīta ar howtogeek.com;tai vienkārši jāatbalsta atbilde, ko tā saņem no DNS servera.
HTTPS šifrēšana nodrošina noteiktu pārbaudi. Piemēram, pieņemsim, ka mēģināt izveidot savienojumu ar jūsu bankas vietni, un adreses joslā tiek parādīta HTTPS un atslēgas ikona. Jūs zināt, ka sertifikācijas iestāde ir apstiprinājusi, ka vietne pieder jūsu bankai.
Ja piekļūstat bankas vietnei no kompromitēta piekļuves punkta un DNS serveris atgriež ķemmēšanas vietas pikšķerēšanas vietnes adresi, pikšķerēšanas vietne nevarēs parādīt šo HTTPS šifrēšanu. Tomēr pikšķerēšanas vietne var izvēlēties izmantot vienkāršu HTTP, nevis HTTPS, derot, ka lielākā daļa lietotāju neievēro atšķirību un jebkurā gadījumā iekļūs viņu tiešsaistes banku informācijā.
Jūsu bankai nav iespējas pateikt: "Tās ir mūsu vietnes likumīgās IP adreses."
Kā DNSSEC palīdzēs
DNS meklēšana faktiski notiek vairākos posmos. Piemēram, kad jūsu dators prasa www.howtogeek.com, jūsu dators veic šo meklēšanu vairākos posmos:
- Vispirms tiek prasīts "saknes zonas direktorijs", kurā var atrast . com .
- Pēc tam tā uzdod. com direktoriju, kur var atrast howtogeek.com .
- Pēc tam tā jautā howtogeek.com, kur var atrast www.howtogeek.com .
DNSSEC ietver "root parakstīšanu". Kad dators iet uz jautājumu par saknes apgabalu, kur var atrast. com, tas varēs pārbaudīt saknes zonas parakstīšanas atslēgu un apstiprināt, ka tā ir likumīga saknes zona ar patiesu informāciju. Tad saknes zona sniegs informāciju par parakstīšanas taustiņu vai. Com un tās atrašanās vietu, ļaujot datoram sazināties ar. com direktoriju un nodrošināt tā likumību. Katalogs. com nodrošina parakstīšanas atslēgu un informāciju par howtogeek.com, ļaujot tai sazināties ar howtogeek.com un pārbaudīt, vai esat izveidojis savienojumu ar reālo portālu waytourist.com, kā to apstiprina zonas, kas atrodas virs tā.
Kad DNSSEC tiek pilnībā izlaists, jūsu dators varēs apstiprināt, ka DNS atbildes ir likumīgas un patiesas, bet pašlaik nav iespējams uzzināt, kuri no tiem ir viltoti un kuri ir reāli.
Lasiet vairāk par to, kā šifrēšana darbojas šeit.
Ko SOPA būtu izdarījis
Tātad, kā to visu izdarīja spēles likums Stop Online pirātisma likumā, kas pazīstams kā SOPA?Nu, ja jūs sekojāt SOPA, jūs sapratīsit, ka to ir uzrakstījuši cilvēki, kuri nesaprot Internetu, tādēļ tas dažādos veidos "pārtrauktu internetu".Tas ir viens no tiem.
Atcerieties, ka DNSSEC ļauj domēna vārda īpašniekiem parakstīt savus DNS ierakstus. Tātad, piemēram, thepiratebay.se var izmantot DNSSEC, lai norādītu ar to saistītās IP adreses. Kad dators veic DNS meklēšanu - neatkarīgi no tā, vai tas ir google.com vai thepiratebay.se - DNSSEC ļautu datoram noteikt, ka tā saņem pareizo atbildi, kā apstiprina domēna vārda īpašnieki. DNSSEC ir tikai protokols;tā nemēģina diskriminēt "labas" un "sliktas" vietnes.
SOPA būtu pieprasījis, lai interneta pakalpojumu sniedzēji novirzītu DNS meklēšanu uz "sliktām" vietnēm. Piemēram, ja interneta pakalpojumu sniedzēja abonenti mēģināja piekļūt thepiratebay.se, ISP DNS serveri atgriezīs citas vietnes adresi, kas informētu viņus, ka Pirate Bay ir bloķēta.
Izmantojot DNSSEC, šāda novirzīšana nebūtu atšķirama no vīriešiem-vidējā uzbrukuma, kuru DNSSEC mērķis bija novērst. Interneta pakalpojumu sniedzējiem, kas izvieto DNSSEC, būtu jāatbild ar Pirate Bay faktisko adresi, tādējādi pārkāpjot SOPA.Lai varētu uzņemt SOPA, DNSSEC vajadzētu būt tajā ievietot lielu caurumu, kas ļautu interneta pakalpojumu sniedzējiem un valdībām pārorientēt domēna nosaukumu DNS pieprasījumus bez domēna vārda īpašnieku atļaujas. Tas būtu grūti( ja ne neiespējami) to darīt drošā veidā, visticamāk, atverot jaunus drošības caurumus uzbrucējiem.
Par laimi SOPA ir miris un, cerams, neatgriezīsies. DNSSEC pašlaik tiek izmantots, nodrošinot ilgstošu problēmu novēršanu.
attēla kredīts: Khairil Yusof, Jemims par Flickr, David Holmes par Flickr
