31Jul
( DNSSEC) to technologia bezpieczeństwa, która pomoże naprawić jeden z słabych punktów Internetu. Mamy szczęście, że SOPA nie przeszło, ponieważ SOPA uczyniłby DNSSEC nielegalnym.
DNSSEC dodaje krytyczne bezpieczeństwo do miejsca, w którym Internet tak naprawdę nie ma żadnego. System nazw domen( DNS) działa dobrze, ale w żadnym momencie procesu nie ma żadnej weryfikacji, która pozostawia luki dla atakujących.
Aktualny stan spraw
Wyjaśniliśmy, jak działa DNS w przeszłości. W skrócie, za każdym razem, gdy łączysz się z nazwą domeny, np. "Google.com" lub "howtogeek.com", twój komputer kontaktuje się z serwerem DNS i wyszukuje powiązany adres IP dla tej nazwy domeny. Twój komputer następnie łączy się z tym adresem IP.
Co ważne, nie ma żadnego procesu weryfikacyjnego związanego z wyszukiwaniem DNS.Komputer prosi serwer DNS o adres powiązany ze stroną internetową, serwer DNS odpowiada adresem IP, a komputer mówi "w porządku!" I z przyjemnością łączy się z tą witryną.Komputer nie zatrzymuje się, aby sprawdzić, czy jest to poprawna odpowiedź.
Możliwe jest, że atakujący przekierują żądania DNS lub skonfigurują złośliwe serwery DNS zaprojektowane do zwracania złych odpowiedzi. Na przykład, jeśli masz połączenie z publiczną siecią Wi-Fi i próbujesz połączyć się z howtogeek.com, złośliwy serwer DNS w tej publicznej sieci Wi-Fi może zwrócić całkowicie inny adres IP.Adres IP może doprowadzić do witryny phishingowej. Twoja przeglądarka nie ma prawdziwego sposobu na sprawdzenie, czy adres IP jest rzeczywiście powiązany z howtogeek.com;musi tylko zaufać odpowiedzi otrzymanej z serwera DNS.
Szyfrowanie HTTPS zapewnia pewną weryfikację.Załóżmy na przykład, że próbujesz połączyć się z witryną banku, a na pasku adresu zobaczysz ikonę HTTPS i ikonę kłódki. Wiesz, że urząd certyfikacji zweryfikował, że witryna należy do Twojego banku.
Jeśli uzyskasz dostęp do witryny internetowej swojego banku ze skompromitowanego punktu dostępu, a serwer DNS zwróci adres fałszywej witryny wyłudzającej informacje, witryna phishingowa nie będzie mogła wyświetlić tego szyfrowania HTTPS.Jednak strona phishingowa może zdecydować się na użycie zwykłego HTTP zamiast HTTPS, zakładając, że większość użytkowników nie zauważy różnicy i mimo to wprowadzi ich dane bankowości internetowej.
Twój bank nie może powiedzieć "To są uzasadnione adresy IP naszej witryny."
Jak DNSSEC pomoże
Wyszukiwanie DNS faktycznie odbywa się w kilku etapach. Na przykład, gdy komputer prosi o www.howtogeek.com, komputer wykonuje to wyszukiwanie w kilku etapach:
- Najpierw zadaje "katalog strefy głównej", gdzie można znaleźć . PL .
- Następnie prosi o katalog. com, w którym może znaleźć howtogeek.com .
- Następnie pyta howtogeek.com, gdzie można znaleźć www.howtogeek.com .
DNSSEC polega na "podpisywaniu root'a". Kiedy twój komputer pójdzie zapytać strefy głównej, gdzie może znaleźć. com, będzie mógł sprawdzić klucz podpisujący strefy głównej i potwierdzić, że jest to prawidłowa strefa root z prawdziwymi informacjami. Strefa główna będzie dostarczać informacje na temat klucza podpisu lub. com i jego lokalizacji, umożliwiając komputerowi skontaktowanie się z katalogiem. com i upewnienie się, że jest to uzasadnione. Katalog. com dostarcza klucz podpisu i informacje do howtogeek.com, pozwalając mu skontaktować się z howtogeek.com i zweryfikować, czy jesteś połączony z prawdziwym howtogeek.com, co potwierdzają strefy nad nim.
Po pełnym wdrożeniu systemu DNSSEC komputer będzie mógł potwierdzić, że odpowiedzi DNS są prawidłowe i prawdziwe, podczas gdy obecnie nie ma możliwości sprawdzenia, które z nich są fałszywe, a które prawdziwe.
Przeczytaj więcej o tym, jak działa szyfrowanie.
Co SOPA zrobiłby
Jak więc działała ustawa o piractwie Stop Online, lepiej znana jako SOPA?Cóż, jeśli poszedłeś za SOPA, zdajesz sobie sprawę, że został napisany przez ludzi, którzy nie rozumieli internetu, więc "łamałby Internet" na różne sposoby. To jedna z nich.
Pamiętaj, że DNSSEC umożliwia właścicielom nazw domen podpisywanie ich rekordów DNS.Na przykład, thepiratebay.se może użyć DNSSEC do określenia adresów IP, z którymi jest związany. Kiedy komputer wykonuje wyszukiwanie DNS - czy to na google.com, czy na thepiratebay.se - DNSSEC umożliwi komputerowi określenie, czy otrzymuje prawidłową odpowiedź zweryfikowaną przez właścicieli nazw domen. DNSSEC to tylko protokół;nie próbuje rozróżniać między "dobrymi" i "złymi" stronami internetowymi.
SOPA wymagałoby od usługodawców internetowych przekierowania wyszukiwań DNS dla "złych" stron internetowych. Na przykład, jeśli subskrybenci usługodawcy internetowego próbowali uzyskać dostęp do strony piratebay.se, serwery DNS usługodawcy internetowego zwrócą adres innej witryny internetowej, która poinformuje ich, że blokada Pirate Bay została zablokowana.
Dzięki DNSSEC takie przekierowanie byłoby nie do odróżnienia od ataku man-in-the-middle, którego DNSSEC zaprojektowano, aby zapobiegać.Dostawcy usług internetowych wdrażający DNSSEC będą musieli odpowiedzieć rzeczywistym adresem Pirate Bay, a tym samym będą naruszać SOPA.Aby obsłużyć SOPA, DNSSEC musiałby mieć duży otwór, który pozwoliłby usługodawcom internetowym i rządom na przekierowanie żądań DNS nazw domen bez zgody właścicieli nazw domen. Byłoby to trudne( jeśli nie niemożliwe) w bezpieczny sposób, prawdopodobnie otwierając nowe luki bezpieczeństwa dla atakujących.
Na szczęście SOPA nie żyje i mam nadzieję, że nie wróci. System DNSSEC jest obecnie wdrażany, zapewniając długo wymaganą naprawę tego problemu.
Image Credit: Khairil Yusof, Jemimus na Flickr, David Holmes na Flickr