31Jul
Domännamn System Security Extensions( DNSSEC) är en säkerhetsteknik som hjälper till att lappa upp en av Internetens svaga punkter. Vi har tur SOPA passerade inte, för SOPA skulle ha gjort DNSSEC olagligt.
DNSSEC lägger kritisk säkerhet till en plats där Internet inte har någon. Domännamnssystemet( DNS) fungerar bra, men det finns ingen kontroll vid någon tidpunkt i processen, vilket gör att hål är öppna för attacker.
Den nuvarande situationen för frågor
Vi har förklarat hur DNS fungerar tidigare. I en nötskal, när du ansluter till ett domännamn som "google.com" eller "howtogeek.com", kontaktar din dator sin DNS-server och tittar upp den tillhörande IP-adressen för det domännamnet. Din dator ansluter sedan till den IP-adressen.
Det är viktigt att det inte finns någon verifieringsprocess som är inblandad i en DNS-sökning. Din dator frågar sin DNS-server för adressen som är kopplad till en webbplats, DNS-servern svarar med en IP-adress, och din dator säger "okej!" Och kopplar gärna till den webbplatsen. Din dator slutar inte att kontrollera om det är ett giltigt svar.
Det är möjligt för angripare att omdirigera dessa DNS-förfrågningar eller konfigurera skadliga DNS-servrar som är utformade för att returnera dåliga svar. Om du till exempel är ansluten till ett offentligt Wi-Fi-nätverk och du försöker ansluta till howtogeek.com kan en skadlig DNS-server på det offentliga Wi-Fi-nätverket helt och hållet returnera en annan IP-adress. IP-adressen kan leda dig till en phishing-webbplats. Din webbläsare har inget riktigt sätt att kontrollera om en IP-adress faktiskt är associerad med howtogeek.com;det måste bara lita på svaret det tar emot från DNS-servern.
HTTPS-kryptering ger viss verifiering. Låt oss till exempel säga att du försöker ansluta till din banks hemsida och du ser HTTPS och låsikonen i adressfältet. Du vet att en certifieringsmyndighet har verifierat att webbplatsen tillhör din bank.
Om du öppnade din banks hemsida från en kompromissad åtkomstpunkt och DNS-servern returnerade adressen till en phishing-webbplats, kan phishing-webbplatsen inte visa den här HTTPS-krypteringen. Phishing-webbplatsen kan dock välja att använda vanlig HTTP istället för HTTPS, vadslagning att de flesta användare inte skulle märka skillnaden och att de skulle ange deras online-bankinformation ändå.
Din bank har inget sätt att säga "Det här är de legitima IP-adresserna för vår hemsida."
Hur DNSSEC kommer att hjälpa
En DNS-sökning sker faktiskt i flera steg. När datorn till exempel frågar www.howtogeek.com utför din dator denna uppslag i flera steg:
- Den frågar först "root zone directory" där den kan hitta . com .
- Den frågar sedan. com-katalogen där den kan hitta howtogeek.com .
- Den frågar då hurtogeek.com där den kan hitta www.howtogeek.com .
DNSSEC innebär att "signera roten". När din dator går till frågar rotzonen där den kan hitta. Com, kommer den att kunna kontrollera rotszonens signeringsnyckel och bekräfta att den är den legitima rotzonen med sann information. Rotszonen kommer då att ge information om signeringsnyckeln eller. com och dess plats, så att din dator kan kontakta. com-katalogen och se till att den är legitim. Com-katalogen kommer att ge signeringsnyckeln och informationen för howtogeek.com, så att den kan kontakta howtogeek.com och verifiera att du är ansluten till den verkliga howtogeek.com, vilket bekräftas av zonerna ovanför den.
När DNSSEC är fullt utrustad kommer din dator att kunna bekräfta att DNS-svar är legitima och sanna, medan det för närvarande inte har någon väg att veta vilka som är falska och vilka som är verkliga.
Läs mer om hur kryptering fungerar här.
Vad SOPA skulle ha gjort
Så hur spelade Stop Online Piracy Act, bättre känd som SOPA, in i allt detta? Tja, om du följde SOPA inser du att det var skrivet av personer som inte förstod Internet, så det skulle "bryta Internet" på olika sätt. Detta är en av dem.
Kom ihåg att DNSSEC tillåter domännamnsägare att registrera sina DNS-poster. Så, till exempel, kan thepiratebay.se använda DNSSEC för att ange de IP-adresser den är associerad med. När din dator utför en DNS-sökning - oavsett om det gäller google.com eller thepiratebay.se - skulle DNSSEC tillåta datorn att bestämma att den mottar rätt svar som validerats av domännamnets ägare. DNSSEC är bara ett protokoll;Det försöker inte diskriminera mellan "bra" och "dåliga" webbplatser.
SOPA skulle ha krävt Internet-leverantörer att omdirigera DNS-sökning för "dåliga" webbplatser. Om en Internetleverantörs abonnenter försökte komma åt thepiratebay.se skulle till exempel Internetleverantörens DNS-servrar returnera adressen till en annan webbplats, vilket skulle informera dem om att Pirate Bay hade blockerats.
Med DNSSEC skulle en sådan omdirigering vara oskiljaktig från en man-i-mitten attack som DNSSEC utformades för att förhindra. Internetleverantörer som använder DNSSEC skulle behöva svara med Pirate Bays faktiska adress och skulle således bryta SOPA.För att rymma SOPA skulle DNSSEC behöva ha ett stort hål i det, en som skulle tillåta Internet-leverantörer och regeringar att omdirigera DNS-önskemål för domännamn utan tillstånd från domännamnets ägare. Detta skulle vara svårt( om inte omöjligt) att göra på ett säkert sätt, vilket möjligen skulle öppna nya säkerhetshål för angripare.
Lyckligtvis är SOPA död och det kommer förhoppningsvis inte tillbaka. DNSSEC utrustas för närvarande och ger en långvarig åtgärd för detta problem.
Bildkrediter: Khairil Yusof, Jemimus på Flickr, David Holmes på Flickr