Kako bo DNSSEC pomagal varovati internet in kako je SOPA skoraj postala nezakonita
Varnostne razširitve sistema domenskih imen (DNSSEC) je varnostna tehnologija, ki bo pomagala popraviti eno od šibkih točk interneta. Imamo srečo, da SOPA ni minila, ker bi SOPA DNSSEC naredila nezakonito.
DNSSEC dodaja kritično varnost mestu, kjer internet sploh nima. Sistem domenskih imen (DNS) deluje dobro, vendar v nobenem trenutku postopka ni nobenega preverjanja, kar pušča odprtine za napadalce.
Sedanje stanje
Pojasnili smo, kako DNS deluje v preteklosti. Na kratko, ko se povežete z imenom domene, kot je »google.com« ali »howtogeek.com«, računalnik vzpostavi stik s strežnikom DNS in poišče povezani naslov IP za to ime domene. Računalnik se nato poveže s tem naslovom IP.
Pomembno je, da v iskanju DNS ni vključen noben postopek preverjanja. Vaš računalnik vpraša DNS strežnik za naslov, ki je povezan s spletnim mestom, strežnik DNS se odzove z naslovom IP, računalnik pa pravi »v redu« in se z veseljem poveže s to spletno stranjo. Vaš računalnik ne preneha preverjati, ali je to veljaven odziv.
Napadalci lahko preusmerijo te zahteve DNS ali nastavijo zlonamerne strežnike DNS, ki so namenjeni vračanju slabih odzivov. Če ste na primer povezani z javnim omrežjem Wi-Fi in se skušate povezati z howtogeek.com, lahko zlonamerni strežnik DNS v javnem omrežju Wi-Fi vrne drug naslov IP v celoti. Naslov IP vas lahko pripelje do spletnega mesta z lažnim predstavljanjem. Vaš spletni brskalnik nima pravega načina, da bi preveril, ali je naslov IP dejansko povezan z howtogeek.com; preprosto mora zaupati odgovoru, ki ga prejme od strežnika DNS.
Šifriranje HTTPS zagotavlja določeno preverjanje. Recimo, da se poskusite povezati s spletnim mestom svoje banke in v naslovni vrstici vidite HTTPS in ikono ključavnice. Veste, da je overitelj potrdil, da spletno mesto pripada vaši banki.
Če ste dostopali do spletnega mesta svoje banke z ogrožene dostopne točke, strežnik DNS pa je vrnil naslov lažnega lažnega predstavljanja, spletno mesto z lažnim predstavljanjem ne bi moglo prikazati tega šifriranja HTTPS. Vendar pa se spletno mesto z lažno identiteto lahko odloči za uporabo navadnega HTTP-ja namesto HTTPS, pri čemer stavi, da večina uporabnikov ne bo opazila razlike in bi vseeno vnesla svoje podatke za spletno bančništvo..
Vaša banka ne more reči "To so zakoniti naslovi IP za našo spletno stran."
Kako bo DNSSEC pomagal
Iskanje DNS se dejansko dogaja v več fazah. Na primer, ko vaš računalnik zahteva www.howtogeek.com, računalnik to iskanje izvede v več fazah:
- Najprej vpraša "imenik korenskega območja", kjer ga lahko najde .com.
- Nato vpraša imenik .com, kjer ga lahko najde howtogeek.com.
- Nato vpraša howtogeek.com, kjer lahko najde www.howtogeek.com.
DNSSEC vključuje »podpisovanje korena«. Ko računalnik poišče korensko cono, kjer lahko najde .com, bo lahko preveril ključ za podpisovanje korenskega območja in potrdil, da je to zakonita korenska cona z resničnimi informacijami. Korensko območje bo nato posredovalo informacije o podpisnem ključu ali .com in njegovi lokaciji, kar bo omogočilo, da se vaš računalnik poveže z imenom .com in zagotovi, da je zakonit. Imenik .com bo podal ključ za podpisovanje in informacije za howtogeek.com, ki mu omogočajo, da se obrne na howtogeek.com in preveri, ali ste povezani z resničnim howtogeek.com, kar potrjujejo območja nad njo.
Ko je DNSSEC v celoti razvit, bo vaš računalnik lahko potrdil, da so odgovori DNS legitimni in resnični, medtem ko trenutno nima možnosti vedeti, kateri so ponaredki in kateri so pravi.
Preberite več o tem, kako šifriranje deluje tukaj.
Kaj bi SOPA storila
Torej, kako se je v vse to uvrstil zakon Stop Online Piracy, bolj znan kot SOPA? No, če ste sledili SOPI, se zavedate, da so jo napisali ljudje, ki niso razumeli interneta, zato bi na različne načine »razbili internet«. To je eden izmed njih.
Ne pozabite, da DNSSEC dovoljuje lastnikom domenskih imen, da podpišejo svoje zapise DNS. Tako lahko na primer thepiratebay.se uporabi DNSSEC za določitev naslovov IP, s katerimi je povezan. Ko računalnik izvede iskanje DNS - bodisi za google.com ali thepiratebay.se - bi DNSSEC omogočil računalniku, da ugotovi, ali prejme pravilen odgovor, kot ga potrdijo lastniki domenskega imena. DNSSEC je samo protokol; ne poskuša razlikovati med "dobrimi" in "slabimi" spletnimi stranmi.
SOPA bi od ponudnikov internetnih storitev zahteval preusmeritev iskanja DNS za »slabe« spletne strani. Na primer, če so naročniki ponudnika internetnih storitev poskušali dostopiti do thepiratebay.se, bi DNS strežniki ponudnika internetnih storitev vrnili naslov drugega spletnega mesta, ki bi jih obvestil, da je bil Pirate Bay blokiran.
Z DNSSEC bi bila taka preusmeritev nemogoče razlikovati od napada človeka v sredini, ki ga je DNSSEC načrtoval za preprečevanje. Ponudniki internetnih storitev, ki uporabljajo DNSSEC, bi se morali odzvati z dejanskim naslovom Pirate Baya in bi zato kršili SOPA. Da bi se prilagodili SOPA, bi moral DNSSEC imeti veliko luknjo, ki bi ponudnikom internetnih storitev in vladam omogočila preusmeritev zahtev DNS domenskega imena brez dovoljenja lastnikov domenskega imena. To bi bilo težko (če ne celo nemogoče) narediti na varen način, kar bo verjetno odprlo nove varnostne luknje za napadalce.
Na srečo je SOPA mrtva in upamo, da se ne bo vrnila. DNSSEC je trenutno nameščen, kar zagotavlja dolgo pričakovano rešitev tega problema.
Image Credit: Khairil Yusof, Jemimus na Flickru, David Holmes na Flickru