31Jul
Domain Name System Security Extensions( DNSSEC) é uma tecnologia de segurança que ajudará a reparar um dos pontos fracos da Internet. Nós somos afortunados que a SOPA não passou, porque a SOPA teria feito o DNSSEC ilegal.
DNSSEC adiciona segurança crítica a um local onde a Internet realmente não possui nenhum. O sistema de nomes de domínio( DNS) funciona bem, mas não há verificação em nenhum ponto do processo, o que deixa os espaços abertos para atacantes.
O estado atual dos assuntos
Explicamos como o DNS funciona no passado. Em poucas palavras, sempre que você se conecta a um nome de domínio como "google.com" ou "howtogeek.com", seu computador contata seu servidor DNS e procura o endereço IP associado para esse nome de domínio. Seu computador então se conecta a esse endereço IP.
Importante, não há nenhum processo de verificação envolvido em uma pesquisa de DNS.Seu computador pergunta ao servidor DNS o endereço associado a um site, o servidor DNS responde com um endereço IP e seu computador diz "tudo bem" e congratula-se com esse site. Seu computador não para verificar se essa é uma resposta válida.
É possível que os atacantes redirecionem esses pedidos de DNS ou criem servidores DNS maliciosos projetados para retornar respostas ruins. Por exemplo, se você estiver conectado a uma rede Wi-Fi pública e tentar se conectar ao howtogeek.com, um servidor DNS mal-intencionado naquela rede Wi-Fi pública poderá retornar um endereço IP diferente. O endereço IP pode levá-lo a um site de phishing. Seu navegador não possui uma maneira real de verificar se um endereço IP está realmente associado com o howtogeek.com;basta confiar na resposta que recebe do servidor DNS.
HTTPS criptografia fornece alguma verificação. Por exemplo, digamos que você tente se conectar ao site do seu banco e veja HTTPS e o ícone de bloqueio na barra de endereços. Você sabe que uma autoridade de certificação verificou que esse site pertence ao seu banco.
Se você acessou o site do seu banco de um ponto de acesso comprometido e o servidor DNS retornou o endereço de um site de phishing imposter, o site de phishing não poderá exibir essa criptografia HTTPS.No entanto, o site de phishing pode optar por usar HTTP simples em vez de HTTPS, apostando que a maioria dos usuários não perceberia a diferença e entraria suas informações bancárias on-line de qualquer maneira.
Seu banco não tem como dizer "Estes são os endereços IP legítimos para o nosso site."
Como o DNSSEC ajudará
Uma pesquisa DNS realmente acontece em vários estágios. Por exemplo, quando seu computador pede www.howtogeek.com, seu computador executa essa pesquisa em várias etapas:
- Primeiro pergunta o "diretório da zona raiz" onde pode encontrar . com .
- Então pergunta o diretório. com onde pode encontrar howtogeek.com .
- Então, pergunta ao howtogeek.com onde pode encontrar www.howtogeek.com .
DNSSEC envolve "assinar a raiz". Quando o seu computador perguntar a zona raiz onde pode encontrar. com, ele poderá verificar a chave de assinatura da zona raiz e confirmar que é a zona raiz legítima com informações verdadeiras. A zona raiz fornecerá informações sobre a chave de assinatura ou. com e sua localização, permitindo que seu computador entre em contato com o diretório. com e assegure-se de que é legítimo. O diretório. com fornecerá a chave de assinatura e informações para o howtogeek.com, permitindo que ele entre em contato com o howtogeek.com e verifique se você está conectado ao howtogeek.com real, conforme confirmado pelas zonas acima.
Quando o DNSSEC é totalmente lançado, o seu computador poderá confirmar que as respostas DNS são legítimas e verdadeiras, enquanto que atualmente não tem como saber quais são falsas e quais são reais.
Leia mais sobre como a criptografia funciona aqui.
O que SOPA teria feito
Então, como o Stop Online Piracy Act, mais conhecido como SOPA, tocou em tudo isso? Bem, se você seguiu a SOPA, percebeu que foi escrito por pessoas que não entendiam a Internet, de modo que "quebrar a Internet" de várias formas. Este é um deles.
Lembre-se de que o DNSSEC permite que os proprietários de nomes de domínio assinem seus registros de DNS.Então, por exemplo, thepiratebay.se pode usar DNSSEC para especificar os endereços IP associados. Quando o computador executa uma pesquisa de DNS - seja para google.com ou thepiratebay.se - DNSSEC permitiria ao computador determinar que está recebendo a resposta correta como validada pelos proprietários do nome de domínio. DNSSEC é apenas um protocolo;não tenta discriminar entre sites "bons" e "ruins".
A SOPA exigiria que os provedores de serviços de Internet redirecionassem pesquisas de DNS para sites "ruins".Por exemplo, se os assinantes de um provedor de serviços de Internet tentaram acessar thepiratebay.se, os servidores DNS do ISP retornariam o endereço de outro site, o que os informaria que o Pirate Bay havia sido bloqueado.
Com o DNSSEC, tal redirecionamento seria indistinguível de um ataque do homem no meio, que o DNSSEC foi projetado para prevenir. Os ISPs que implantarão o DNSSEC teriam que responder com o endereço real da Pirate Bay e, portanto, estarão violando o SOPA.Para acomodar a SOPA, o DNSSEC teria que ter um grande buraco, que permitiria aos provedores de serviços de Internet e aos governos redirecionar pedidos de DNS de nomes de domínio sem a permissão dos proprietários do nome de domínio. Isso seria difícil( se não impossível) fazer de forma segura, provavelmente abriendo novos buracos de segurança para atacantes.
Felizmente, SOPA está morta e, espero, não volte. DNSSEC está atualmente sendo implantado, fornecendo uma correção há muito atrasada para esse problema. Crédito da imagem
: Khairil Yusof, Jemimus no Flickr, David Holmes no Flickr