31Jul

DNSSEC İnternet'i Güvenli Kılma ve SOPA Neredeyse Yasadışı Nasıl Yapar?

Etki Alanı Adı Sistemi Güvenlik Uzantıları( DNSSEC), İnternet'in zayıf noktalarından birinin düzeltilmesine yardımcı olacak bir güvenlik teknolojisidir. SOPA'nın geçemediği için şanslıyız, çünkü SOPA DNSSEC'i yasadışı yapmıştı.

DNSSEC, İnternet'te gerçekten bulunmayan bir yere kritik güvenlik katmaktadır. Etki alanı adı sistemi( DNS) iyi çalışıyor, ancak işlem sırasında saldırganlara açık delikleri açık bırakan herhangi bir noktada doğrulama yok.

Mevcut Durum

DNS'in geçmişte nasıl çalıştığını açıkladık.Özetle, "google.com" veya "howtogeek.com" gibi bir alan adına bağlandığınızda, bilgisayarınız DNS sunucusuyla iletişim kurar ve ilgili alan adı için ilişkili IP adresini arar. Bilgisayarınız daha sonra bu IP adresine bağlanır.

Önemlisi, bir DNS aramasında yer alan hiçbir doğrulama işlemi yoktur. Bilgisayarınız DNS sunucusundan bir web sitesi ile ilişkili adres istiyor, DNS sunucusu bir IP adresi ile yanıt veriyor ve bilgisayarınız "tamam" diyor ve mutlu bir şekilde bu web sitesine bağlanıyor. Bilgisayarınız bunun geçerli bir yanıt olup olmadığını kontrol etmek için durmaz.

Saldırganların bu DNS isteklerini yeniden yönlendirmesi veya kötü yanıtları döndürmek üzere tasarlanmış kötü amaçlı DNS sunucuları kurması mümkündür.Örneğin, bir genel Wi-Fi ağına bağlısanız ve howtogeek.com'a bağlanmaya çalışırsanız, bu ortak Wi-Fi ağındaki kötü amaçlı bir DNS sunucusu, tamamen farklı bir IP adresi döndürebilir. IP adresi sizi bir kimlik avı web sitesine götürebilir. Web tarayıcınızın bir IP adresinin gerçekten howtogeek.com ile ilişkili olup olmadığını kontrol etmek için gerçek bir yolu yoktur;DNS sunucusundan gelen yanıta güvenmeniz yeterlidir.

HTTPS şifreleme bazı doğrulama sağlamaz.Örneğin, bankanızın web sitesine bağlanmayı denersiniz ve adres çubuğunuzda HTTPS ve kilit simgesini görürsünüz. Bir sertifika yetkilisinin söz konusu web sitesinin bankanıza ait olduğunu doğruladığını biliyorsunuzdur.

Eğer bankanızın web sitesine tehlikeye atılmış bir erişim noktasından eriştiyseniz ve DNS sunucusu sahte kimlik avı sitelerinin adresini döndürdüyse, kimlik avı sitesi bu HTTPS şifrelemesini görüntüleyemez. Bununla birlikte, kimlik avı sitesi HTTPS yerine düz HTTP kullanmayı tercih edebilir ve çoğu kullanıcının bu farkı fark etmeyeceğini ve çevrimiçi bankacılık bilgilerinizi yine de gireceğini önermektedir.

Bankanızın "Bu, web sitemiz için geçerli IP adresleridir" diyemez.

DNSSEC'in

'ye Nasıl Yardım Edeceği Bir DNS araması aslında birkaç aşamada gerçekleşir.Örneğin, bilgisayarınız www.howtogeek.com'u sorduğunda, bilgisayarınız bu aramayı birkaç aşamada gerçekleştirir:

  • Önce . com 'yi bulabileceğiniz "kök bölgesi dizini" ni sorar.
  • Daha sonra. com dizinine howtogeek.com 'yi bulabileceği yeri sorar.
  • Sonra howtogeek.com'a 'yi nasıl bulabileceğini sorar www.howtogeek.com .

DNSSEC, "kök imzalamayı" içerir. Bilgisayarınız kök bölgesine sormaya gittiğinde, kök alanın imzalama anahtarını denetleyebilir ve gerçek bilgiler içeren meşru kök bölge olduğunu onaylayabilir. Kök bölge daha sonra imzalama anahtarı veya. com ve konumu hakkında bilgi sağlayarak bilgisayarınızın. com dizini ile iletişim kurmasını ve meşru olmasını sağlar..com dizini, howtogeek.com için imzalama anahtarı ve bilgileri sağlayarak, howtogeek.com ile bağlantı kurmasına ve gerçek howtogeek.com'a bağlı olduğunuzu doğrulamanıza izin verir, bunun üstündeki bölgelere göre onaylanmıştır.

DNSSEC tamamen kullanıma sokulduğunda, bilgisayarınız DNS yanıtlarının meşru ve doğru olduğunu onaylayacak, ancak şu anda hangilerinin sahte olduğunu ve hangilerinin gerçek olduğunu bilmenin hiçbir yolu yok.

Burada şifrelemenin nasıl yürüdüğü hakkında daha fazla bilgi.

SOPA'nın Yapacak Olduğu İş

Peki daha iyi bilinen SOPA olarak Çevrimiçi Korsanlığı Durdur Yasası tüm bunlara nasıl etki etti? Peki, eğer SOPA'yi takip ederseniz, bunun interneti anlamayan insanlar tarafından yazıldığını fark edersiniz, bu nedenle "İnternet'i koparır" çeşitli şekillerde olur. Bu onlardan biri.

DNSSEC, etki alanı adı sahiplerinin DNS kayıtlarını imzalamasına izin verdiğini unutmayın.Örneğin thepiratebay.se, ilişkili IP adreslerini belirtmek için DNSSEC'yi kullanabilir. Bilgisayar DNS araması gerçekleştirdiğinde - ister google.com ister thepiratebay.se - DNSSEC, bilgisayarın alan adının sahipleri tarafından doğrulanmış olarak doğru yanıt aldığını belirlemesine izin verir. DNSSEC sadece bir protokoldür;"iyi" ve "kötü" web siteleri arasında ayrım yapmaya çalışmaz.

SOPA, DNS servislerini "kötü" web siteleri için yönlendirecek İnternet servis sağlayıcıları isterdi.Örneğin, bir İnternet servis sağlayıcısının aboneleri thepiratebay.se'ye erişmeye çalıştıklarında, ISS'nin DNS sunucuları başka bir internet sitesinin adresini iade ederek Korsan Körfezi'ni bloke ettiğini bildirir.

DNSSEC ile, böyle bir yeniden yönlendirme, DNSSEC'in önlemek için tasarlanmış bir adam-in-the-middle saldırısından ayırt edilemez. DNSSEC kullanan ISS'ler, Korsan Körfezi'nin gerçek adresiyle cevap vermek zorunda kalacaklar ve böylece SOPA'yı ihlal edecekler. SOPA'ya uyum sağlamak için, DNSSEC, İnternet servis sağlayıcılarının ve hükümetlerin alan adı kullanıcılarının izni olmaksızın alan adı DNS isteklerini yönlendirecek büyük bir delik açması gerekecekti. Bu, güvenli bir şekilde yapılması zor( imkansız olmasa da) zorlaşacak ve muhtemelen saldırganlar için yeni güvenlik açıkları açılacaktır.

Şans eseri, SOPA öldü ve umarım geri gelmez. DNSSEC şu anda bu soruna uzun süre gecikmiş bir düzeltme sağlayarak konuşlandırılıyor.

Resim Kredisi: Khairil Yusof, Flickr'da Jemimus, Flickr'taki David Holmes'e