Cum va ajuta DNSSEC să asigure securitatea Internetului și cum SOPA aproape a făcut-o ilegală
Domain Name System Extensiile de securitate (DNSSEC) este o tehnologie de securitate care va ajuta la patch-ul unul dintre punctele slabe ale Internetului. Suntem norocoși că SOPA nu a trecut, deoarece SOPA ar fi făcut DNSSEC ilegal.
DNSSEC adaugă securitate critică într-un loc în care Internetul nu are vreunul. Sistemul de nume de domeniu (DNS) funcționează bine, dar nu există nicio verificare în niciun moment al procesului, care lasă găurile deschise pentru atacatori.
Starea actuală a afacerilor
Am explicat cum funcționează DNS în trecut. Pe scurt, ori de câte ori vă conectați la un nume de domeniu, cum ar fi "google.com" sau "howtogeek.com", calculatorul dvs. contactează serverul DNS și caută adresa IP asociată acestui nume de domeniu. Computerul se conectează apoi la acea adresă IP.
Este important că nu există un proces de verificare implicat într-o căutare DNS. Computerul vă întreabă serverul DNS pentru adresa asociată unui site web, serverul DNS răspunde cu o adresă IP, iar computerul dvs. spune "bine" și se conectează fericit la site-ul respectiv. Computerul nu se oprește pentru a verifica dacă acesta este un răspuns valid.
Este posibil ca atacatorii să redirecționeze aceste solicitări DNS sau să creeze servere DNS rău intenționate menite să returneze răspunsuri proaste. De exemplu, dacă sunteți conectat (ă) la o rețea publică Wi-Fi și încercați să vă conectați la howtogeek.com, un server DNS rău intenționat din respectiva rețea publică Wi-Fi ar putea să returneze în întregime o altă adresă IP. Adresa IP vă poate duce la un site de phishing. Browserul dvs. web nu are nici o modalitate reală de a verifica dacă o adresă IP este de fapt asociată cu howtogeek.com; trebuie doar să aibă încredere în răspunsul primit de la serverul DNS.
Criptarea HTTPS oferă unele verificări. De exemplu, să presupunem că încercați să vă conectați la site-ul web al băncii dvs. și vedeți HTTPS și pictograma blocare în bara de adrese. Știți că o autoritate de certificare a verificat că site-ul aparține băncii dvs..
Dacă ați accesat site-ul băncii dvs. de la un punct de acces compromis și serverul DNS a returnat adresa unui site de tip "phishing" impulsiv, site-ul de phishing nu va putea afișa această criptare HTTPS. Cu toate acestea, site-ul de phishing poate opta să utilizeze HTTP simplu în loc de HTTPS, pariind că majoritatea utilizatorilor nu ar observa diferența și ar intra oricum în informațiile bancare online.
Banca dvs. nu are nici un fel de a spune "Acestea sunt adresele IP legitime pentru site-ul nostru."
Cum va ajuta DNSSEC
O căutare DNS se întâmplă de fapt în mai multe etape. De exemplu, atunci când computerul solicită www.howtogeek.com, calculatorul dvs. efectuează această căutare în mai multe etape:
- Se întreabă mai întâi "directorul zonei rădăcină" unde poate găsi .com.
- Apoi solicită directorul .com unde poate găsi howtogeek.com.
- Apoi îl întreabă pe howtogeek.com unde poate găsi www.howtogeek.com.
DNSSEC implică "semnarea rădăcină". Când computerul va cere să ceară zona rădăcină unde poate găsi .com, va putea verifica cheia de semnare a zonei rădăcină și va confirma că este o zonă rădăcină legitimă cu informații adevărate. Zona de rădăcină va furniza apoi informații despre cheia de semnare sau .com și locația acesteia, permițând computerului dvs. să contacteze directorul .com și să se asigure că este legitim. Directorul .com va furniza cheia de semnare și informații pentru howtogeek.com, permițându-i să contacteze howtogeek.com și să verifice că sunteți conectat la modul real howtogeek.com, confirmat de zonele de deasupra acestuia.
Când DNSSEC este complet rulat, computerul va putea confirma că răspunsurile DNS sunt legitime și adevărate, în timp ce în prezent nu are cum să știe care sunt false și care sunt reale.
Citiți mai multe despre modul în care funcționează criptarea aici.
Ce SOPA ar fi trebuit
Deci, cum a jucat Actul de Stop Piracy Online, mai bine cunoscut sub numele de SOPA, în toate astea? Ei bine, dacă ați urmat SOPA, vă dați seama că a fost scris de oameni care nu înțelegeau Internetul, așa că ar "rupe Internetul" în diferite moduri. Acesta este unul dintre ele.
Rețineți că DNSSEC permite proprietarilor de nume de domeniu să semneze înregistrările DNS. De exemplu, thepiratebay.se poate folosi DNSSEC pentru a specifica adresele IP la care este asociat. Când computerul efectuează o căutare DNS - indiferent dacă este pentru google.com sau thepiratebay.se - DNSSEC ar permite computerului să determine că primește răspunsul corect validat de proprietarii numelui de domeniu. DNSSEC este doar un protocol; nu încearcă să facă diferența între site-urile "bune" și "rele".
SOPA ar fi solicitat furnizorilor de servicii Internet să redirecționeze căutările DNS pentru site-urile "rele". De exemplu, în cazul în care abonații furnizorului de servicii de internet au încercat să acceseze portalulpiratebay.se, serverele DNS ale ISP-ului ar readuce adresa unui alt site web, ceea ce le-ar informa că Bayeritul Pirate a fost blocat.
Cu DNSSEC, o astfel de redirecționare ar fi indisolubilă de un atac de tip man-in-middle, pe care DNSSEC a fost proiectat să îl împiedice. ISP-urile care implementează DNSSEC ar trebui să răspundă cu adresa actuală a Pirate Bay și astfel ar încălca SOPA. Pentru a se adapta la SOPA, DNSSEC ar trebui să aibă o gaură mare în ea, una care ar permite furnizorilor de servicii Internet și guvernelor să redirecționeze cererile de DNS nume de domeniu fără permisiunea proprietarilor de nume de domeniu. Acest lucru ar fi dificil (dacă nu imposibil) să facă într-un mod sigur, probabil deschizând noi găuri de securitate pentru atacatori.
Din fericire, SOPA este mort și, sperăm, nu se va mai întoarce. DNSSEC este în curs de desfășurare, oferind o remediere lungă pentru această problemă.
Credit de imagine: Khairil Yusof, Jemimus pe Flickr, David Holmes pe Flickr