31Jul
Домаин Наме Системске надоградње система( ДНССЕЦ) представљају сигурносну технологију која ће помоћи у креирању једне од слабих тачака Интернета.Имали смо среће да СОПА није прошла, јер би СОПА учинила ДНССЕЦ незаконитим.
ДНССЕЦ додаје критичну сигурност месту на којем Интернет заиста нема.Систем имена домена( ДНС) добро функционише, али у било којој тачки у процесу нема верификације, што оставља отворене рупе за нападаче.
Тренутно стање ствари
Објаснили смо како ДНС функционише у прошлости.Укратко, кад год се повежете на име домена попут "гоогле.цом" или "ховтогеек.цом", ваш рачунар ступа у контакт са својим ДНС сервером и потражује придружену ИП адресу за то име домена.Ваш рачунар се затим повезује са том ИП адресом.
Важно је да у процесу тражења ДНС-а нема процеса верификације.Ваш рачунар тражи свој ДНС сервер за адресу придружену веб локацији, ДНС сервер одговара ИП адресом, а ваш рачунар каже "у реду" и срећно се повезује на ту веб локацију.Рачунар не престаје да проверава да ли је то ваљани одговор.
Могуће је да нападачи преусмеравају ове ДНС захтеве или постављају злонамерне ДНС сервере дизајниране да врате лоше одговоре.На пример, ако сте повезани на јавну Ви-Фи мрежу и покушавате да се повежете са ховтогеек.цом, злонамерни ДНС сервер на тој јавној Ви-Фи мрежи може у потпуности вратити другу ИП адресу.ИП адреса може да вас доведе до веб-локације за лажно оглашавање.Ваш веб прегледач нема прави начин провере да ли је ИП адреса заправо повезана са ховтогеек.цом;само мора да верује у одговор који прими од ДНС сервера.
ХТТПС шифровање пружа неку верификацију.На пример, рецимо покушајте да се повежете са вебсајтом ваше банке, а на траци са адресама видите ХТТПС и икону закључавања.Знате да је сертификационо тијело потврдило да та веб локација припада вашој банци.
Ако сте приступили веб локацији ваше банке од компромитоване приступне тачке и ДНС сервер је вратио адресу претплатничког пхисхинг сајта, пхисхинг сајт не би могао приказати ХТТПС енкрипцију.Међутим, сајт за лажно оглашавање се може одлучити да користи уместо ХТТПС умјесто ХТТПС-а, кладјење да већина корисника не примети разлику и у сваком случају улази у своје онлине банкарске информације.
Ваша банка нема начина да каже "Ово су легитимне ИП адресе за нашу веб локацију."
Како ће ДНССЕЦ помоћи
ДНС лоокуп се заправо дешава у неколико фаза.На пример, када ваш рачунар затражи ввв.ховтогеек.цом, ваш рачунар обавља ову претрагу у неколико фаза:
- Прво тражи "директоријум коренске зоне" где може пронаћи . .
- Затим пита директоријум. цом где може пронаћи ховтогеек.цом .
- Онда пита ховтогеек.цом где може пронаћи ввв.ховтогеек.цом .
ДНССЕЦ подразумева "потписивање роот-а". Када ваш рачунар одлази да затражи корену зону у којој може пронаћи. Цом, моћи ће да провери кључ за потврђивање роот зоне и потврди да је то легитимна коријена зона са правим информацијама.Коријена зона ће онда пружати информације о кључу за потписивање или. цом и његовој локацији, омогућавајући вашем рачунару да се обрати на директориј. цом и да се осигура легитимно.Директоријум. ЦОМ ће обезбедити кључ за потписивање и информације за ховтогеек.цом, омогућавајући јој да контактира ховтогеек.цом и потврди да сте повезани са стварним ховтогеек.цом, што потврђују зоне изнад ње.
Када се ДНССЕЦ потпуно испразни, ваш рачунар ће моћи да потврди ДНС одговор је легитиман и истинит, а тренутно нема начина да сазна који су лажни и који су стварни.
Прочитајте више о томе како функционира енкрипција овде.
Шта би СОПА урадио
Па како је учинио Закон о заштити пиратерије на Интернету, познатији као СОПА, у свему овоме?Па, ако сте пратили СОПА, схватате да су га написали људи који нису разумео Интернет, па би "разбио Интернет" на различите начине.Ово је један од њих.
Запамтите да ДНССЕЦ дозвољава власницима домена да потпишу своје ДНС записе.Тако, на примјер, тхепиратебаи.се може користити ДНССЕЦ да одреди ИП адресе с којима је повезана.Када рачунар изврши претрагу ДНС - било да је то за гоогле.цом или тхепиратебаи.се - ДНССЕЦ би омогућио рачунару да утврди да ли добија тачан одговор који је валидиран од стране власника имена домена.ДНССЕЦ је само протокол;не покушава да дискриминише између "добрих" и "лоших" веб локација.
СОПА би тражио од провајдера Интернет услуга да преусмеравају ДНС лоокупове за "лоше" веб странице.На пример, ако су претплатници интернет провајдера покушали да приступе тхепиратебаи.се, ДНС сервери ИСП-а би вратили адресу друге веб странице, која би им рекла да је Пирате Баи блокиран.
Са ДНССЕЦ-ом, такво преусмјеравање се не би могло разликовати од напада између човјека у средини, који је ДНССЕЦ дизајниран да спречи.ИСП-ови који користе ДНССЕЦ би морали одговорити са стварном адресом Пирате Баи-а, и тиме би прекршили СОПА.Да би се прилагодио СОПА-у, ДНССЕЦ би морао да се сруши велика рупа, која би омогућила добављачима Интернет услуга и владама да преусмеравају ДНС захтеве домена без дозволе власника имена домена.Ово би било тешко( ако не и немогуће) да уради на сигуран начин, вероватно отварајући нове сигурносне рупе за нападаче.
Срећом, СОПА је мртва и надамо се да се неће вратити.ДНССЕЦ се тренутно распоређује, пружајући дугорочни поправак за овај проблем.
Имаге Цредит: Кхаирил Иусоф, Јемимус на Флицкр, Давид Холмес на Флицкр