Główna » jak » W jaki sposób DNSSEC pomoże zabezpieczyć Internet i jak nielegalne jest SOPA

    W jaki sposób DNSSEC pomoże zabezpieczyć Internet i jak nielegalne jest SOPA

    Rozszerzenia systemu nazw domen (DNSSEC) to technologia bezpieczeństwa, która pomoże załatać jeden z słabych punktów Internetu. Mamy szczęście, że SOPA nie przeszło, ponieważ SOPA uczyniłby DNSSEC nielegalnym.

    DNSSEC dodaje krytyczne bezpieczeństwo do miejsca, w którym Internet tak naprawdę nie ma żadnego. System nazw domenowych (DNS) działa dobrze, ale w żadnym momencie procesu nie ma żadnej weryfikacji, która pozostawia luki dla atakujących.

    Aktualny stan spraw

    Wyjaśniliśmy, jak działa DNS w przeszłości. W skrócie, za każdym razem, gdy łączysz się z nazwą domeny, np. "Google.com" lub "howtogeek.com", twój komputer kontaktuje się z serwerem DNS i wyszukuje powiązany adres IP dla tej nazwy domeny. Twój komputer następnie łączy się z tym adresem IP.

    Co ważne, nie ma żadnego procesu weryfikacyjnego związanego z wyszukiwaniem DNS. Komputer prosi serwer DNS o adres powiązany ze stroną internetową, serwer DNS odpowiada adresem IP, a komputer mówi "w porządku!" I szczęśliwie łączy się z tą witryną. Komputer nie zatrzymuje się, aby sprawdzić, czy jest to poprawna odpowiedź.

    Możliwe jest, że atakujący przekierują żądania DNS lub skonfigurują złośliwe serwery DNS zaprojektowane do zwracania złych odpowiedzi. Na przykład, jeśli masz połączenie z publiczną siecią Wi-Fi i próbujesz połączyć się z howtogeek.com, złośliwy serwer DNS w tej publicznej sieci Wi-Fi może zwrócić całkowicie inny adres IP. Adres IP może doprowadzić do witryny phishingowej. Twoja przeglądarka nie ma prawdziwego sposobu na sprawdzenie, czy adres IP jest faktycznie powiązany z howtogeek.com; musi tylko zaufać odpowiedzi otrzymanej z serwera DNS.

    Szyfrowanie HTTPS zapewnia pewną weryfikację. Załóżmy na przykład, że próbujesz połączyć się ze stroną internetową swojego banku i zobaczysz ikonę HTTPS oraz ikonę kłódki na pasku adresu. Wiesz, że urząd certyfikacji zweryfikował, że witryna należy do Twojego banku.

    Jeśli uzyskasz dostęp do witryny banku ze skompromitowanego punktu dostępu, a serwer DNS zwróci adres fałszywej witryny wyłudzającej informacje, witryna wyłudzająca dane nie będzie mogła wyświetlić tego szyfrowania HTTPS. Jednak strona phishingowa może zdecydować się na użycie zwykłego HTTP zamiast HTTPS, zakładając, że większość użytkowników nie zauważy różnicy i mimo to wprowadzi swoje dane do bankowości internetowej..

    Twój bank nie może powiedzieć "To są uzasadnione adresy IP naszej witryny".

    Jak DNSSEC pomoże

    Wyszukiwanie DNS odbywa się w kilku etapach. Na przykład, gdy komputer prosi o www.howtogeek.com, komputer wykonuje to wyszukiwanie w kilku etapach:

    • Najpierw prosi o "katalog strefy głównej", gdzie może znaleźć .com.
    • Następnie prosi o katalog .com, w którym może znaleźć howtogeek.com.
    • Następnie pyta howtogeek.com, gdzie może znaleźć www.howtogeek.com.

    DNSSEC polega na "podpisywaniu root'a". Kiedy twój komputer pójdzie zapytać strefy głównej, gdzie może znaleźć .com, będzie mógł sprawdzić klucz podpisujący strefy głównej i potwierdzić, że jest to prawidłowa strefa root z prawdziwymi informacjami. Strefa główna będzie dostarczać informacje o kluczu podpisu lub pliku .com i jego lokalizacji, umożliwiając komputerowi kontakt z katalogiem .com i upewnienie się, że jest to uzasadnione. Katalog .com będzie zawierał klucz podpisywania i informacje do howtogeek.com, pozwalając mu skontaktować się z howtogeek.com i zweryfikować, czy jesteś połączony z prawdziwym howtogeek.com, co potwierdzają strefy nad nim..

    Po pełnym wdrożeniu systemu DNSSEC komputer będzie mógł potwierdzić, że odpowiedzi DNS są prawidłowe i prawdziwe, podczas gdy obecnie nie ma możliwości sprawdzenia, które z nich są fałszywe, a które są prawdziwe..

    Dowiedz się więcej o tym, jak działa szyfrowanie.

    Co SOPA zrobiłby

    Jak więc grała w tym ustawa o piractwie Stop Online, lepiej znana jako SOPA? Cóż, jeśli podążysz za SOPA, zdasz sobie sprawę, że został napisany przez ludzi, którzy nie rozumieli internetu, więc "łamałby Internet" na różne sposoby. To jedna z nich.

    Pamiętaj, że DNSSEC umożliwia właścicielom nazw domen podpisywanie ich rekordów DNS. Na przykład, thepiratebay.se może użyć DNSSEC do określenia adresów IP, z którymi jest powiązany. Kiedy komputer wykonuje wyszukiwanie DNS - czy to dla google.com, czy thepiratebay.se - DNSSEC umożliwi komputerowi określenie, czy otrzymuje prawidłową odpowiedź zweryfikowaną przez właścicieli nazw domen. DNSSEC to tylko protokół; nie próbuje dyskryminować stron "dobrych" i "złych".

    SOPA wymagał by dostawcy usług internetowych przekierowywali zapytania DNS o "złe" strony internetowe. Na przykład, jeśli subskrybenci usługodawcy internetowego próbowali uzyskać dostęp do strony piratebay.se, serwery DNS usługodawcy internetowego zwrócą adres innej witryny internetowej, która poinformuje ich, że Pirate Bay została zablokowana.

    Dzięki DNSSEC takie przekierowanie byłoby nie do odróżnienia od ataku typu "man-in-the-middle", który został zaprojektowany w celu zapobiegania DNSSEC. Dostawcy usług internetowych wdrażający DNSSEC będą musieli odpowiedzieć rzeczywistym adresem Pirate Bay, a tym samym będą naruszać SOPA. Aby obsłużyć SOPA, DNSSEC musiałby mieć duży otwór, który pozwoliłby usługodawcom internetowym i rządom na przekierowanie żądań DNS nazw domen bez zgody właścicieli nazw domen. Byłoby to trudne (jeśli nie niemożliwe) w bezpieczny sposób, prawdopodobnie otwierając nowe luki bezpieczeństwa dla atakujących.


    Na szczęście SOPA nie żyje i mam nadzieję, że nie wróci. System DNSSEC jest obecnie wdrażany, zapewniając długo wymaganą naprawę tego problemu.

    Image Credit: Khairil Yusof, Jemimus na Flickr, David Holmes na Flickr