31Jul

Hoe DNSSEC zal helpen het internet te beveiligen en hoe SOPA het bijna illegaal maakte

Domain Name System Security Extensions( DNSSEC) is een beveiligingstechnologie die zal helpen om een ​​van de zwakke punten van het internet op te lossen. We hebben geluk dat SOPA niet is geslaagd, omdat SOPA DNSSEC illegaal zou hebben gemaakt.

DNSSEC voegt kritieke beveiliging toe aan een plaats waar internet niet echt beschikbaar is. Het domeinnaamsysteem( DNS) werkt goed, maar er is op geen enkel moment in het proces verificatie, waardoor gaten open blijven voor aanvallers.

De huidige toestand van zaken

We hebben uitgelegd hoe DNS in het verleden werkt. Kort gezegd: wanneer u verbinding maakt met een domeinnaam zoals 'google.com' of 'howtogeek.com', neemt uw computer contact op met de DNS-server en zoekt het bijbehorende IP-adres voor die domeinnaam op. Uw computer maakt vervolgens verbinding met dat IP-adres.

Belangrijk is dat er geen verificatieproces betrokken is bij een DNS-zoekopdracht. Uw computer vraagt ​​de DNS-server naar het adres dat aan een website is gekoppeld, de DNS-server antwoordt met een IP-adres en uw computer zegt "oké!" En maakt graag verbinding met die website. Uw computer stopt niet om te controleren of dat een geldig antwoord is.

Het is mogelijk voor aanvallers om deze DNS-verzoeken om te leiden of om kwaadwillende DNS-servers in te stellen die zijn ontworpen om slechte antwoorden te retourneren. Als u bijvoorbeeld bent verbonden met een openbaar Wi-Fi-netwerk en verbinding probeert te maken met howtogeek.com, kan een kwaadwillende DNS-server op dat openbare Wi-Fi-netwerk een ander IP-adres volledig retourneren. Het IP-adres kan u naar een phishingwebsite leiden. Uw webbrowser heeft geen echte manier om te controleren of een IP-adres daadwerkelijk is gekoppeld aan howtogeek.com;het hoeft alleen maar te vertrouwen op het antwoord dat het ontvangt van de DNS-server.

HTTPS-codering biedt enige verificatie. Stel dat u bijvoorbeeld probeert verbinding te maken met de website van uw bank en dat u HTTPS en het vergrendelingspictogram in uw adresbalk ziet. U weet dat een certificeringsinstantie heeft geverifieerd dat de website van uw bank is.

Als u de website van uw bank benaderde vanuit een beveiligd toegangspunt en de DNS-server het adres van een bedrieglijke phishing-site retourneerde, zou de phishing-site die HTTPS-codering niet kunnen weergeven. De phishing-site kan er echter voor kiezen om gewoon HTTP te gebruiken in plaats van HTTPS, weddend dat de meeste gebruikers het verschil niet zouden opmerken en toch hun online bankieren-informatie zouden invoeren.

Uw bank kan niet zeggen "Dit zijn de legitieme IP-adressen voor onze website."

Hoe DNSSEC

zal helpen Een DNS-lookup gebeurt eigenlijk in verschillende fasen. Als uw computer bijvoorbeeld vraagt ​​naar www.howtogeek.com, voert uw computer deze zoekopdracht in verschillende fasen uit:

  • Eerst wordt de "rootzone-map" gevraagd waar deze . com kan vinden.
  • Vervolgens vraagt ​​het de. com-directory waar het howtogeek.com kan vinden.
  • Vervolgens vraagt ​​howtogeek.com waar het www.howtogeek.com kan vinden.

DNSSEC betreft "het ondertekenen van de root." Wanneer uw computer naar de rootzone vraagt ​​waar het. com kan vinden, kan het de ondertekeningssleutel van de rootzone controleren en bevestigen dat het de legitieme rootzone met echte informatie is. De root-zone geeft dan informatie over de handtekeningsleutel of. com en de locatie, zodat uw computer contact kan opnemen met de. com-directory en ervoor kan zorgen dat deze legitiem is. De. com-map biedt de handtekeningsleutel en informatie voor howtogeek.com, zodat deze contact kan opnemen met howtogeek.com en kan controleren of u bent verbonden met de echte howtogeek.com, zoals wordt bevestigd door de zones erboven.

Wanneer DNSSEC volledig is uitgerold, kan uw computer bevestigen dat DNS-reacties legitiem en waar zijn, terwijl het op dit moment niet weet wat nep-reacties zijn en welke echt zijn.

Lees meer over hoe encryptie hier werkt.

Wat SOPA gedaan zou hebben

Dus hoe speelde de Stop Online Piraterijwet, beter bekend als SOPA, dit allemaal? Welnu, als je SOPA volgde, realiseer je je dat het is geschreven door mensen die het internet niet begrepen, dus het zou op verschillende manieren "het internet breken".Dit is er een van.

Onthoud dat DNSSEC eigenaren van domeinnamen toestaat hun DNS-records te ondertekenen. Dus, thepiratebay.se kan DNSSEC gebruiken om de IP-adressen te specificeren waaraan het is gekoppeld. Wanneer uw computer een DNS-lookup uitvoert - of het nu voor google.com of thepiratebay.se is - zou DNSSEC de computer toestaan ​​te bepalen of het de juiste reactie ontvangt zoals gevalideerd door de eigenaren van de domeinnaam. DNSSEC is slechts een protocol;het probeert niet te discrimineren tussen "goede" en "slechte" websites.

SOPA zou Internet-serviceproviders verplicht hebben DNS-lookups om te verwijzen naar "slechte" websites. Als de abonnees van een internetprovider bijvoorbeeld probeerden toegang te krijgen tot thepiratebay.se, zouden de DNS-servers van de internetprovider het adres van een andere website retourneren, wat hen zou informeren dat de piraatbaai was geblokkeerd.

Met DNSSEC zou een dergelijke omleiding niet te onderscheiden zijn van een man-in-the-middle-aanval, die DNSSEC was bedoeld om te voorkomen. ISP's die DNSSEC inzetten, moeten reageren met het daadwerkelijke adres van de Pirate Bay en zouden daarmee SOPA schenden. Om tegemoet te komen aan SOPA zou DNSSEC er een groot gat in moeten steken, een die het voor internetproviders en overheden mogelijk zou maken DNS-verzoeken voor domeinnamen om te leiden zonder toestemming van de eigenaars van de domeinnaam. Dit zou moeilijk( zo niet onmogelijk) zijn om op een veilige manier te doen, waardoor waarschijnlijk nieuwe gaten in de beveiliging voor aanvallers worden geopend.

Gelukkig is SOPA dood en hopelijk komt het niet meer terug. DNSSEC wordt momenteel geïmplementeerd en biedt een oplossing die al lang op zich laat wachten voor dit probleem.

Image Credit: Khairil Yusof, Jemimus op Flickr, David Holmes op Flickr