31Jul
Domain Name System Security Extensions( DNSSEC) je bezpečnostná technológia, ktorá pomôže zlepšiť niektoré z internetových slabých miest. Mali sme šťastie, že SOPA neprešla, pretože SOPA by urobila DNSSEC nezákonné.
DNSSEC pridá kritickú bezpečnosť do miesta, kde internet skutočne nemá.Doménový systém( DNS) funguje dobre, ale v žiadnom okamihu procesu nie je žiadne overenie, čo otvára otvory pre útočníkov.
Aktuálny stav záležitostí
Vysvetlili sme, ako funguje DNS v minulosti. Stručne povedané, kedykoľvek sa pripojíte k doménovému menu ako "google.com" alebo "howtogeek.com", počítač sa skontaktuje s jeho serverom DNS a vyhľadá priradenú IP adresu pre daný názov domény. Váš počítač sa potom pripája k tejto adrese IP.
Dôležité je, že pri vyhľadávaní DNS nie je zapojený žiadny overovací proces. Váš počítač požiada svoj server DNS o adresu priradenú k webovým stránkam, server DNS odpovie IP adresou a váš počítač hovorí "v poriadku!" A šťastne sa pripája k tejto webovej lokalite. Váš počítač neprestanú kontrolovať, či je to platná odpoveď.
Útočníci môžu presmerovať tieto žiadosti DNS alebo nastaviť škodlivé DNS servery určené na vrátenie zlé odpovede. Ak ste napríklad pripojení k verejnej sieti Wi-Fi a pokúsite sa pripojiť k adrese howtogeek.com, škodlivý server DNS v tejto verejnej sieti Wi-Fi by mohol úplne vrátiť inú adresu IP.Adresa IP vás môže priviesť na webovú lokalitu typu phishing. Váš webový prehliadač nemá reálny spôsob, ako skontrolovať, či je adresa IP skutočne priradená k stránke howtogeek.com.jednoducho musí dôverovať odpovedi, ktorú dostane od servera DNS.
šifrovanie HTTPS poskytuje určité overenie. Povedzme napríklad, že sa pokúšate pripojiť na webovú stránku svojej banky a v paneli s adresou vidíte protokol HTTPS a ikonu zámku. Viete, že certifikačná autorita overila, že táto webová stránka patrí vašej banke.
Ak ste sa dostali na webovú stránku vašej banky z napadnutého prístupového bodu a server DNS vrátil adresu stránky podvodného podvodu( phishing), lokalita neoprávneného získavania údajov by nemohla zobraziť toto šifrovanie HTTPS.Webová lokalita neoprávneného získavania údajov sa však môže rozhodnúť, že použije jednoduchý HTTP namiesto protokolu HTTPS, pričom sa domnieva, že väčšina používateľov by si nevšimla rozdiel a v každom prípade by zadala informácie o bankovníctve online.
Vaša banka nemôže povedať "Toto sú legitímne adresy IP pre naše webové stránky."
Ako DNSSEC pomôže
DNS vyhľadávanie sa skutočne deje v niekoľkých fázach. Napríklad, keď počítač požiada o www.howtogeek.com, váš počítač vykoná tento vyhľadávací postup v niekoľkých fázach:
- Najskôr sa spýta "adresár koreňovej zóny", kde nájde . com .
- Potom požiada adresár. com, kde môže nájsť howtogeek.com .
- potom požiada howtogeek.com, kde môže nájsť www.howtogeek.com .
DNSSEC zahŕňa "podpísanie koreňa". Keď sa počítač spýta na koreňovú zónu, kde môže nájsť. com, bude môcť skontrolovať podpisový kľúč koreňovej zóny a potvrdiť, že je to legitímna koreňová zóna s pravdivými informáciami. Koreňová zóna potom poskytne informácie o podpisovom kľúči alebo. com a jeho umiestnení, čo umožní počítaču kontaktovať adresár. com a zabezpečiť jeho legitímnosť.Adresár. com poskytne podpisový kľúč a informácie pre howtogeek.com, čo mu umožní kontaktovať howtogeek.com a overiť, či ste pripojení na skutočný howtogeek.com, čo potvrdzujú zóny nad ním.
Keď je DNSSEC plne rozvinutý, váš počítač bude schopný potvrdiť, že DNS odpovede sú legitímne a pravdivé, zatiaľ čo v súčasnosti nemá žiaden spôsob, ako vedieť, ktoré sú falošné a ktoré sú skutočné.
Prečítajte si viac o fungovaní šifrovania.
Čo by SOPA urobila
Tak ako sa na to všetko podieľa Stop Online Piracy Act, známejšie ako SOPA?No, ak ste sledovali SOPA, uvedomíte si, že to bolo napísané ľuďmi, ktorí nerozumeli internetu, a tak by to "rozbil internet" rôznymi spôsobmi. To je jeden z nich.
Pamätajte si, že DNSSEC umožňuje majiteľom doménových mien podpisovať svoje záznamy DNS.Napríklad, thepiratebay.se môže použiť DNSSEC na špecifikáciu IP adries, s ktorými je spojená.Keď počítač vykoná vyhľadávanie DNS - či už je to pre google.com alebo thepiratebay.se - DNSSEC umožní počítačovi určiť, že dostane správnu odpoveď ako je overená vlastníkmi doménového mena. DNSSEC je len protokol;nesnaží sa rozlišovať medzi "dobrými" a "zlými" webovými stránkami.
SOPA by od poskytovateľov internetových služieb vyžadovalo, aby presmerovali DNS vyhľadávania na "zlé" webové stránky. Napríklad, ak sa odberatelia poskytovateľa internetových služieb pokúsili o prístup na serverpiratebay.se, servery DNS poskytovateľa internetových služieb vrátia adresu inej webovej stránky, ktorá by ich informovala o tom, že spoločnosť Pirate Bay bola zablokovaná.
S DNSSEC by takéto presmerovanie bolo nerozoznateľné od útoku typu "man-in-the-middle", ktorý DNSSEC mal zabrániť.Poskytovatelia internetových služieb nasadzujúci DNSSEC by museli odpovedať skutočnou adresou Pirate Bay a tým by porušili SOPA.Aby sa vyhovelo SOPA, DNSSEC by musel mať do neho veľký otvor, ktorý by umožnil poskytovateľom internetových služieb a vládam presmerovať žiadosti DNS o názvy domén bez povolenia vlastníkov doménových mien. Bolo by ťažké( ak nie nemožné) robiť bezpečným spôsobom, pravdepodobne otvoriť nové bezpečnostné otvory pre útočníkov.
Našťastie SOPA je mŕtva a snáď sa nevráti. DNSSEC je v súčasnosti nasadený a poskytuje dlho opravenú opravu tohto problému.
Image Credit: Khairil Yusof, Jemimus na Flickr, David Holmes na Flickr