31Jul

Kako bo DNSSEC pomagal zavarovati internet in kako je SOPA skoraj nezakonito

Domain Name System Security Extensions( DNSSEC) je varnostna tehnologija, ki bo pripomogla k zamenjavi ene od šibkih točk interneta. Imamo srečo, da SOPA ni prešla, ker bi SOPA naredil DNSSEC nezakonit.

DNSSEC dodaja kritično varnost mestu, kjer internet nima resnično nobenega. Sistem domenskih imen( DNS) dobro deluje, vendar v nobenem trenutku v postopku ni nobenega preverjanja, zaradi česar so luknje odprte za napadalce.

Trenutno Stanje zadeve

Razložili smo, kako deluje DNS v preteklosti. Na kratko, vsakič, ko se povežete z imenom domene, na primer »google.com« ali »howtogeek.com«, računalnik stopi v stik s svojim strežnikom DNS in poišče povezan naslov IP za to domensko ime. Računalnik se nato poveže s tem naslovom IP.

Pomembno je, da v iskanju DNS ni nobenega procesa preverjanja. Vaš računalnik zahteva od svojega strežnika DNS za naslov, povezan s spletnim mestom, strežnik DNS odgovori z naslovom IP in vaš računalnik pravi "v redu" in se srečno povezuje s tem spletnim mestom. Računalnik ne zaustavi preverjanja, ali je to veljaven odgovor.

Možnost, da napadalci preusmerijo te zahteve DNS ali nastavijo zlonamerne DNS strežnike, namenjene ponovitvi slabih odzivov.Če ste na primer povezani z javnim omrežjem Wi-Fi in poskusite vzpostaviti povezavo z howtogeek.com, lahko zlonamični strežnik DNS v tem javnem omrežju Wi-Fi v celoti povrne drug naslov IP.Naslov IP lahko vodi do spletnega mesta z lažnim predstavljanjem. Vaš spletni brskalnik nima pravega načina preverjanja, če je IP naslov dejansko povezan z howtogeek.com;mora le zaupati odzivu, ki ga prejme od strežnika DNS.

šifriranje HTTPS zagotavlja nekaj preverjanja. Recimo, na primer, poskusite vzpostaviti povezavo s spletno stranjo banke, v naslovni vrstici pa si ogledate ikono HTTPS in ikono ključavnice. Veste, da je certifikacijski organ preveril, ali spletna stran pripada vaši banki.

Če ste dostopali do spletne strani svoje banke iz ogrožene dostopne točke in strežnik DNS je vrnil naslov spletnega mesta, ki je napadlo pred goljufijo, spletno mesto z lažnim predstavljanjem ne bi moglo prikazati tega šifriranja HTTPS.Vendar pa se spletno mesto z lažnim predstavljanjem lahko odločijo za uporabo navadnega HTTP namesto HTTPS, stave, da večina uporabnikov ne bi opazila razlike in bi vseeno vnesla svoje spletne bančne podatke.

Vaša banka nima načina, da bi rekla: "To so legitimni naslovi IP za našo spletno stran."

Kako bo DNSSEC pomagal

Iskanje DNS se dejansko zgodi v več fazah. Na primer, ko vaš računalnik zahteva www.howtogeek.com, računalnik izvede ta poizvedba v več fazah:

  • Najprej zahteva "imenik korenske cone", kjer lahko najde . Com .
  • Nato vpraša imenik. com, kjer lahko najde howtogeek.com .
  • Nato vpraša howtogeek.com, kjer lahko najde www.howtogeek.com .

DNSSEC vključuje »podpis koren«. Ko računalnik odpre, da zaprosi za korensko območje, kjer najde Com, bo lahko preveril ključ za podpis rootnega območja in potrdil, da je to legitimno korensko območje z resničnimi informacijami. Korensko območje bo nato posredovalo informacije o ključu za podpisovanje ali na mestu. com, ki bo vašemu računalniku omogočilo stik z imenikom. com in zagotovilo, da je to legitimno. Imenik. com bo priskrbel ključ za podpisovanje in podatke za howtogeek.com, ki mu bo omogočil, da se obrnete na howtogeek.com in preverite, ali ste povezani z dejanskim howtogeek.com, kar potrjujejo zgoraj navedena območja.

Ko je DNSSEC v celoti razvit, bo vaš računalnik lahko potrdil, da so odzivi DNS legitimni in resnični, medtem ko trenutno nima možnosti vedeti, kateri so ponaredki in katere so resnične.

Preberite več o tem, kako tukaj deluje šifriranje.

Kaj bi SOPA imelo storiti

Torej, kako je v vse to igral igra Zakon o prepovedi spletnega piratstva, bolj znan kot SOPA?No, če ste spremljali SOPA, se zavedate, da so ga napisali ljudje, ki niso razumeli interneta, tako da bi "prekinil internet" na različne načine. To je eden od njih.

Ne pozabite, da DNSSEC dovoljuje lastnikom imen domen, da podpišejo svoje DNS zapise. Torej, na primer, thepiratebay.se lahko uporablja DNSSEC za določitev naslovov IP, s katerimi je povezan. Ko računalnik izvede pregled DNS - ne glede na to, ali gre za google.com ali thepiratebay.se - DNSSEC bi omogočil, da računalnik ugotovi, da prejme pravilen odziv, ki ga potrdijo lastniki imena domene. DNSSEC je le protokol;ne poskuša razlikovati med "dobrimi" in "slabimi" spletnimi mesti.

SOPA bi od ponudnikov internetnih storitev zahteval, da preusmerijo preglede DNS za "slabe" spletne strani. Na primer, če so naročniki internetnih storitev poskusili dostopiti dopiratebay.se, bi strežniki DNS ISP vrnili naslov drugega spletnega mesta, ki bi jih obvestil, da je bil Pirate Bay blokiran.

Z DNSSEC bi se takšno preusmeritev ne bi moglo razlikovati od napadov med ljudmi v sredini, za katere je bil DNSSEC namenjen preprečiti. Ponudniki internetnih storitev, ki uporabljajo DNSSEC, bi morali odgovoriti z dejanskim naslovom Pirate Bay in bi tako kršili SOPA.Za sprejem SOPA bi moral DNSSEC imeti v njem veliko rezino, ki bi omogočila ponudnikom internetnih storitev in vladam, da brez dovoljenja lastnikov imena domene preusmerijo zahteve domene DNS.To bi bilo težko( če ne nemogoče) storiti na varen način, verjetno pa bi za napadalce odprli nove varnostne luknje.

Na srečo je SOPA mrtev in upajmo, da se ne bo vrnil. DNSSEC je trenutno nameščen, saj zagotavlja dolgo zamudo za to težavo.

Image Credit: Khairil Yusof, Jemimus na Flickr, David Holmes na Flickr