Kā DNSSEC palīdzēs aizsargāt internetu un kā SOPA gandrīz padarīja to nelegālu
Domēna vārdu sistēmas drošības paplašinājumi (DNSSEC) ir drošības tehnoloģija, kas palīdzēs salabot vienu no vājākajiem interneta punktiem. Mēs esam laimīgi SOPA neizturēja, jo SOPA būtu padarījusi DNSSEC nelikumīgu.
DNSSEC pievieno kritisku drošību vietai, kur internetam nav īsti. Domēna vārda sistēma (DNS) darbojas labi, bet nevienā procesa posmā nav verifikācijas, kas atstāj caurumus atvērtus uzbrucējiem.
Pašreizējais stāvoklis
Mēs esam izskaidrojuši, kā DNS darbojas pagātnē. Īsumā, kad izveidojat savienojumu ar domēna nosaukumu, piemēram, “google.com” vai “howtogeek.com”, jūsu dators sazinās ar savu DNS serveri un meklē attiecīgā domēna nosaukuma saistīto IP adresi. Pēc tam dators izveido savienojumu ar šo IP adresi.
Svarīgi, ka DNS meklēšanā nav iesaistīts verifikācijas process. Jūsu dators pieprasa DNS serverim adresi, kas saistīta ar vietni, DNS serveris atbild ar IP adresi, un jūsu dators saka „labi!” Un laimīgi izveido savienojumu ar šo vietni. Jūsu dators neapstājas, lai pārbaudītu, vai tā ir derīga atbilde.
Uzbrucēji var pārorientēt šos DNS pieprasījumus vai izveidot ļaunprātīgus DNS serverus, kas paredzēti, lai atgrieztu sliktas atbildes. Piemēram, ja esat izveidojis savienojumu ar publisku Wi-Fi tīklu un mēģināt izveidot savienojumu ar howtogeek.com, ļaunprātīgs DNS serveris šajā publiskajā Wi-Fi tīklā var pilnībā atgriezties citā IP adresē. IP adrese var novest pie pikšķerēšanas vietnes. Jūsu tīmekļa pārlūkprogrammai nav reāla veida, kā pārbaudīt, vai IP adrese ir faktiski saistīta ar howtogeek.com; tai ir jāuzticas atbildei, ko tā saņem no DNS servera.
HTTPS šifrēšana nodrošina zināmu verifikāciju. Piemēram, pieņemsim, ka mēģināt izveidot savienojumu ar bankas vietni un adreses joslā redzat HTTPS un bloķēšanas ikonu. Jūs zināt, ka sertifikācijas iestāde ir pārliecinājusies, ka vietne pieder jūsu bankai.
Ja piekļūsiet sava bankas vietnei no apdraudēta piekļuves punkta un DNS serveris atgriezās uzvarētāja pikšķerēšanas vietnes adresi, pikšķerēšanas vietne nevarētu parādīt šo HTTPS šifrēšanu. Tomēr pikšķerēšanas vietne var izvēlēties izmantot vienkāršu HTTP, nevis HTTPS, bet derību, ka lielākā daļa lietotāju nepamanīs atšķirību un jebkurā gadījumā ievadīs savu tiešsaistes banku informāciju.
Jūsu bankai nav nekāda sakara „Šīs ir mūsu mājas lapas likumīgās IP adreses.”
Kā DNSSEC palīdzēs
DNS meklēšana faktiski notiek vairākos posmos. Piemēram, ja dators lūdz www.howtogeek.com, jūsu dators veic šo meklēšanu vairākos posmos:
- Vispirms tiek prasīts “saknes zonas katalogs”, kur tas ir atrodams .com.
- Pēc tam tā lūdz direktoriju .com, kur tā var atrast howtogeek.com.
- Pēc tam tā jautā, kā to var atrast www.howtogeek.com.
DNSSEC ietver “saknes parakstīšanu”. Kad dators dodas uz sakņu zonu, kurā tā var atrast. Com, tā varēs pārbaudīt saknes zonas paraksta atslēgu un apstiprināt, ka tā ir likumīgā saknes zona ar patiesu informāciju. Pēc tam saknes zona sniegs informāciju par paraksta atslēgu vai .com un tā atrašanās vietu, ļaujot datoram sazināties ar. Com direktoriju un nodrošināt tā likumību. .Com katalogs nodrošinās parakstīšanas atslēgu un informāciju par howtogeek.com, ļaujot tai sazināties ar howtogeek.com un pārbaudīt, vai esat savienots ar reālo howtogeek.com, kā to apstiprinājušas iepriekš minētās zonas.
Kad DNSSEC ir pilnībā izvērsts, jūsu dators varēs apstiprināt, ka DNS atbildes ir likumīgas un patiesas, turpretī pašlaik nav iespējams uzzināt, kuras ir viltotas un kuras ir reālas.
Uzziniet vairāk par šifrēšanas darbu šeit.
Ko SOPA būtu darījusi
Tātad, kā tas notika, noslēdzot Likumu par tiešsaistes pirātismu, kas pazīstams kā SOPA? Ja jūs sekojāt SOPA, tu saproti, ka to ir rakstījuši cilvēki, kas nesaprata internetu, tāpēc tas dažādos veidos „izjauktu internetu”. Tas ir viens no tiem.
Atcerieties, ka DNSSEC ļauj domēna vārdu īpašniekiem parakstīt savus DNS ierakstus. Tā, piemēram, thepiratebay.se var izmantot DNSSEC, lai norādītu IP adreses, kas saistītas ar. Kad dators veic DNS meklēšanu - vai tas ir google.com vai thepiratebay.se - DNSSEC ļautu datoram noteikt, vai tas saņem pareizu atbildi, ko apstiprinājis domēna vārda īpašnieki. DNSSEC ir tikai protokols; tā nemēģina diskriminēt “labas” un “sliktas” tīmekļa vietnes.
SOPA būtu pieprasījis interneta pakalpojumu sniedzējiem novirzīt DNS meklējumus uz “sliktām” vietnēm. Piemēram, ja interneta pakalpojumu sniedzēja abonenti mēģināja piekļūt thepiratebay.se, ISP DNS serveri atgriezīs citas tīmekļa vietnes adresi, kas informētu viņus, ka Pirate Bay ir bloķēts.
Ar DNSSEC šādu novirzīšanu nevarētu atšķirt no cilvēka vidū uzbrukuma, kuru DNSSEC bija paredzēts novērst. ISP, kas izvieto DNSSEC, būtu jāreaģē ar Pirate Bay faktisko adresi un tādējādi tiktu pārkāpts SOPA. Lai uzņemtu SOPA, DNSSEC būtu jāievieto liels caurums, kas ļautu interneta pakalpojumu sniedzējiem un valdībām novirzīt domēna vārda DNS pieprasījumus bez domēna vārda īpašnieku atļaujas. Tas būtu grūti (ja ne neiespējami) darīt drošā veidā, iespējams, atverot jaunus drošības caurumus uzbrucējiem.
Par laimi, SOPA ir miris, un, cerams, tas neatgriezīsies. Pašlaik tiek izvietota DNSSEC, kas nodrošina šīs problēmas ilgu kavēšanos.
Image Credit: Khairil Yusof, Jemimus par Flickr, David Holmes par Flickr