Úvodná » ako » Ako DNSSEC pomôže zabezpečiť internet a ako sa SOPA takmer stal nelegálnym

    Ako DNSSEC pomôže zabezpečiť internet a ako sa SOPA takmer stal nelegálnym

    Domain Name System Security Extensions (DNSSEC) je bezpečnostná technológia, ktorá pomôže napraviť jeden z slabých miest internetu. Mali sme šťastie, že SOPA neprešla, pretože SOPA by urobila DNSSEC nezákonné.

    DNSSEC pridá kritickú bezpečnosť do miesta, kde internet skutočne nemá. Doménový systém (DNS) funguje dobre, ale v žiadnom okamihu nie je žiadna verifikácia, ktorá otvára otvory pre útočníkov.

    Súčasný stav záležitostí

    Vysvetlili sme, ako funguje DNS v minulosti. Stručne povedané, kedykoľvek sa pripojíte k doménovému menu, ako je "google.com" alebo "howtogeek.com", váš počítač skontaktuje svoj server DNS a vyhľadá priradenú IP adresu pre daný názov domény. Váš počítač sa potom pripája k tejto adrese IP.

    Dôležité je, že v vyhľadávaní DNS nie je zapojený žiadny proces overovania. Váš počítač požiada svoj server DNS o adresu priradenú k webovým stránkam, server DNS odpovie IP adresou a váš počítač hovorí "v poriadku!" A šťastne sa pripája k tejto webovej lokalite. Váš počítač sa nezastaví a skontroluje, či je to platná odpoveď.

    Útočníci môžu presmerovať tieto žiadosti DNS alebo nastaviť škodlivé servery DNS určené na vrátenie zlé odpovede. Ak ste napríklad pripojení k verejnej sieti Wi-Fi a pokúsite sa pripojiť k stránke howtogeek.com, škodlivý server DNS v tejto verejnej sieti Wi-Fi by mohol úplne vrátiť inú adresu IP. Adresa IP vás môže priviesť na phishingovú webovú lokalitu. Váš webový prehliadač nemá reálny spôsob, ako skontrolovať, či je adresa IP skutočne priradená k stránke howtogeek.com. jednoducho musí dôverovať odpovedi, ktorú dostane od servera DNS.

    Šifrovanie HTTPS poskytuje určité overenie. Povedzme napríklad, že sa pokúšate pripojiť na webovú stránku svojej banky a vidíte v paneli s adresou HTTPS a ikonu zámku. Viete, že certifikačná autorita overila, že táto webová stránka patrí vašej banke.

    Ak ste sa dostali na webovú stránku vašej banky z ohrozeného prístupového bodu a server DNS vrátil adresu stránky podvodného neoprávneného získavania údajov, lokalita neoprávneného získavania údajov by nemohla zobraziť toto šifrovanie HTTPS. Webová lokalita neoprávneného získavania údajov však môže namiesto HTTPS používať jednoduchý protokol HTTP, v ktorom sa domnieva, že väčšina používateľov by si nevšimla rozdiel a taktiež by sa dostala do svojich informácií o online bankovníctve.

    Vaša banka nemôže povedať "Toto sú legitímne adresy IP pre naše webové stránky."

    Ako pomôže služba DNSSEC

    DNS vyhľadávanie sa skutočne deje v niekoľkých fázach. Napríklad, keď počítač požiada o www.howtogeek.com, váš počítač vykoná tento prehľad v niekoľkých fázach:

    • Najprv sa spýta "adresár zóny koreňa", kde nájde .com.
    • Potom požiada adresár .com, kde ho nájde howtogeek.com.
    • Potom sa spýta, kde nájde howtogeek.com www.howtogeek.com.

    DNSSEC zahŕňa "podpísanie koreňa". Keď sa váš počítač pýta na koreňovú zónu, kde môže nájsť .com, bude môcť skontrolovať podpisový kľúč koreňovej zóny a potvrdiť, že je pravou informáciou o oprávnenej koreňovej zóne. Koreňová zóna potom poskytne informácie o podpisovom kľúči alebo .com a jeho umiestnení, čo umožní počítaču kontaktovať adresár .com a zabezpečiť jeho legitímnosť. Adresár .com poskytne podpisový kľúč a informácie pre howtogeek.com, ktoré mu umožnia kontaktovať howtogeek.com a overiť, či ste pripojení k skutočnému howtogeek.com, čo potvrdzujú zóny nad ním.

    Keď sa služba DNSSEC úplne rozvinie, váš počítač dokáže potvrdiť, že odpovede DNS sú legitímne a pravdivé, zatiaľ čo v súčasnosti nemá žiaden spôsob, ako zistiť, ktoré z nich sú falošné a ktoré sú skutočné.

    Prečítajte si viac informácií o fungovaní šifrovania.

    Čo by SOPA urobila

    Tak ako sa na to všetko podieľa Stop Online Piracy Act, známejšie ako SOPA? Ak ste sledovali SOPA, uvedomíte si, že to bolo napísané ľuďmi, ktorí nerozumeli internetu, a preto by to "rozbil internet" rôznymi spôsobmi. To je jeden z nich.

    Nezabudnite, že DNSSEC umožňuje vlastníkom doménových mien podpisovať svoje záznamy DNS. Napríklad, thepiratebay.se môže použiť DNSSEC na špecifikáciu IP adries, s ktorými je spojená. Keď počítač vykoná vyhľadávanie DNS - či je to pre google.com alebo thepiratebay.se - DNSSEC umožní počítaču určiť, že dostane správnu odpoveď ako je overená vlastníkmi doménového mena. DNSSEC je len protokol; nesnaží sa rozlišovať medzi "dobrými" a "zlými" webovými stránkami.

    SOPA by od poskytovateľov internetových služieb vyžadovalo, aby presmerovali vyhľadávania DNS na "zlé" webové stránky. Ak by sa napríklad účastníci poskytovateľa internetových služieb pokúsili o prístup na serverpiratebay.se, servery DNS poskytovateľa internetových služieb by vrátili adresu inej webovej stránky, ktorá by ich informovala o tom, že spoločnosť Pirate Bay bola zablokovaná.

    Pri DNSSEC by takéto presmerovanie bolo nerozoznateľné od útoku typu "man-in-the-middle", ktorý DNSSEC mal zabrániť. ISP nasadzujúci DNSSEC by museli reagovať so skutočnou adresou Pirate Bay, a tým by porušili SOPA. Aby sa vyhovelo SOPA, DNSSEC by musel mať do neho veľký otvor, ktorý by umožnil poskytovateľom internetových služieb a vládam presmerovať žiadosti DNS o názvy domén bez povolenia majiteľov doménových mien. Bolo by ťažké (ak nie nemožné) robiť bezpečným spôsobom, pravdepodobne otvoriť nové bezpečnostné otvory pre útočníkov.

    Našťastie SOPA je mŕtva a snáď sa nevráti. DNSSEC je v súčasnosti nasadený a poskytuje dlho opravený problém pre tento problém.

    Image Credit: Khairil Yusof, Jemimus na Flickr, David Holmes na Flickr

    Ako spôsobujú gitarové skreslenie a overdrive?
    Ako diagnostikujú hardvérové ​​disky, či sektor nie je dobrý alebo nie?
    Ako ťažké je nahradiť iPhone batériu?
    Ďalší článok
    Ako fungujú skladateľné telefóny a kedy dostanem jedno?
    Predchádzajúci článok
    Ako funguje digitálne ostrenie obrazu a prečo by ste ho mali používať