Kaip DNSSEC padės saugoti internetą ir kaip SOPA beveik padaryta neteisėta
Domenų vardų sistemos saugumo plėtiniai (DNSSEC) - tai saugumo technologija, kuri padės pataisyti vieną iš interneto silpnųjų vietų. Mes pasisekėme SOPA, nes SOPA būtų padariusi neteisėtą DNSSEC.
DNSSEC prideda kritinį saugumą vietai, kur internetas tikrai neturi. Domeno vardų sistema (DNS) veikia gerai, bet jokiame proceso taške nėra patikrinimo, kuris palieka skyles užpuolėjams.
Dabartinė padėtis
Mes paaiškinome, kaip DNS veikia praeityje. Trumpai tariant, kai prisijungiate prie domeno vardo, pvz., „Google.com“ arba „howtogeek.com“, jūsų kompiuteris susisiekia su jo DNS serveriu ir ieško atitinkamo domeno vardo IP adreso. Tada kompiuteris prisijungia prie šio IP adreso.
Svarbu tai, kad nėra DNS tikrinimo proceso. Jūsų kompiuteris prašo DNS serverio, susijusio su svetaine, DNS serveris atsako IP adresu, o kompiuteris sako „gerai!“ Ir laimingai prisijungia prie šios svetainės. Jūsų kompiuteris nustoja tikrinti, ar tai yra teisingas atsakymas.
Užpuolikai gali nukreipti šiuos DNS prašymus arba sukurti žalingus DNS serverius, skirtus grąžinti blogus atsakymus. Pavyzdžiui, jei esate prisijungę prie viešojo „Wi-Fi“ tinklo ir bandote prisijungti prie howtogeek.com, kenkėjiškas DNS serveris tame viešajame „Wi-Fi“ tinkle gali visiškai grąžinti kitą IP adresą. IP adresas gali nuvesti jus į sukčiavimo apsimetantį svetainę. Jūsų žiniatinklio naršyklė neturi realaus būdo patikrinti, ar IP adresas yra iš tikrųjų susijęs su howtogeek.com; jis tiesiog turi pasitikėti atsakymu, kurį jis gauna iš DNS serverio.
HTTPS šifravimas suteikia tam tikrą patikrinimą. Pvz., Tarkime, kad bandote prisijungti prie savo banko svetainės ir adresų juostoje matote HTTPS ir užrakto piktogramą. Jūs žinote, kad sertifikavimo institucija patikrino, ar svetainė priklauso jūsų bankui.
Jei prie banko prieigos prie prieigos taško prisijungėte ir DNS serveris grąžino sukčiavimo apsimetantį svetainę, sukčiavimo vieta negalės rodyti šio HTTPS šifravimo. Tačiau sukčiavimo tinklapis gali pasirinkti naudoti paprastą HTTP, o ne HTTPS, lažybas, kad dauguma vartotojų nepastebės skirtumo ir bet kuriuo atveju įves savo internetinės bankininkystės informaciją.
Jūsų bankas negali pasakyti „Tai yra teisėti mūsų svetainės IP adresai“.
Kaip padės DNSSEC
DNS paieška iš tikrųjų vyksta keliais etapais. Pavyzdžiui, kai jūsų kompiuteris prašo www.howtogeek.com, jūsų kompiuteris atlieka šią paiešką keliais etapais:
- Pirmiausia jis klausia „šaknies zonos katalogo“, kur jis gali rasti .com.
- Tada jis prašo .com katalogo, kur jis gali rasti howtogeek.com.
- Tada jis klausia howtogeek.com, kur jis gali rasti www.howtogeek.com.
DNSSEC apima „šaknies pasirašymą“. Kai kompiuteris klausia šaknies zonos, kurioje jis gali rasti. Com, jis galės patikrinti šaknies zonos pasirašymo raktą ir patvirtinti, kad tai yra teisėta šaknies zona su tikra informacija. Tuomet šakninė zona suteiks informaciją apie pasirašymo raktą arba .com ir jo vietą, leidžianti kompiuteriui susisiekti su .com katalogu ir užtikrinti, kad jis būtų teisėtas. .Com katalogas suteiks Howtogeek.com pasirašymo raktą ir informaciją, leidžiančią susisiekti su howtogeek.com ir patikrinti, ar esate prisijungę prie tikros howtogeek.com, kaip patvirtino virš jos esančių zonų.
Kai DNSSEC yra visiškai įdiegtas, jūsų kompiuteris galės patvirtinti, kad DNS atsakymai yra teisėti ir teisingi, o šiuo metu ji neturi jokio būdo žinoti, kurie iš jų yra suklastoti ir kurie yra tikri.
Sužinokite daugiau apie tai, kaip čia veikia šifravimas.
Ką padarė SOPA
Taigi, kaip „Stop Online Piracy Act“, geriau žinomas kaip SOPA, žaisti į visa tai? Na, jei sekėte SOPA, jūs suprantate, kad tai parašė žmonės, kurie nesuprato interneto, todėl „įvairiais būdais„ pertraukė internetą “. Tai vienas iš jų.
Atminkite, kad DNSSEC leidžia domeno vardo savininkams pasirašyti savo DNS įrašus. Taigi, pavyzdžiui, „thepiratebay.se“ gali naudoti DNSSEC, kad nustatytų IP adresus, su kuriais jie susiję. Kai kompiuteris atlieka DNS paiešką - ar jis skirtas „google.com“, ar „thepiratebay.se“ - DNSSEC leistų kompiuteriui nustatyti, ar jis gauna teisingą atsakymą, kurį patvirtino domeno vardo savininkai. DNSSEC yra tik protokolas; ji nesistengia atskirti „gerų“ ir „blogų“ svetainių.
SOPA reikėjo, kad interneto paslaugų teikėjai nukreiptų DNS paieškas „blogoms“ svetainėms. Pavyzdžiui, jei interneto paslaugų teikėjo abonentai bandė pasiekti „thepiratebay.se“, IPT DNS serveriai sugrąžintų kito tinklalapio adresą, kuris informuotų juos, kad „Pirate Bay“ buvo užblokuota.
Naudojant DNSSEC, toks nukreipimas būtų neatsiejamas nuo žmogaus vidurio atakos, kurią DNSSEC buvo sukurta siekiant užkirsti kelią. DNSSEC diegiantys IPT tur ÷ tų atsakyti į faktinį „Pirate Bay“ adresą ir taip pažeis SOPA. Norint pritaikyti SOPA, DNSSEC turėtų turėti didelę skylę, kuri leistų interneto paslaugų teikėjams ir vyriausybėms nukreipti domeno vardo DNS užklausas be domeno vardo savininkų leidimo. Tai būtų sunku (jei ne neįmanoma) saugiai atlikti, greičiausiai atveriant naujas saugumo spragas užpuolikams.
Laimei, SOPA yra miręs, ir, tikiuosi, jis nebus sugrįžęs. Šiuo metu DNSSEC diegiama, todėl ši problema jau seniai išspręsta.
Vaizdo kreditas: Khairil Yusof, Jemimus dėl Flickr, Davidas Holmesas „Flickr“