If-Koubou

Как DNSSEC ще помогне за защитата на Интернет и как SOPA почти го направи нелегално

Как DNSSEC ще помогне за защитата на Интернет и как SOPA почти го направи нелегално (Как да)

Разширенията за сигурност на системите с имена на домейни (DNSSEC) е технология за защита, която ще помогне за подсигуряването на една от Интернет слабите места. Имаме късмет, че SOPA не премина, защото SOPA би направила DNSSEC незаконна.

DNSSEC добавя критична сигурност към място, където интернет изобщо няма. Системата за имена на домейни (DNS) работи добре, но няма никаква проверка по време на процеса, което оставя отвори отворени за нападателите.

Настоящото състояние на въпросите

Обяснихме как работи DNS в миналото. С две думи, когато се свържете с име на домейн като "google.com" или "howtogeek.com", вашият компютър се свързва с DNS сървъра си и търси свързания IP адрес за това име на домейн. След това вашият компютър се свързва с този IP адрес.

Важно е, че процесът на потвърждаване не е включен в DNS търсене. Вашият компютър пита своя DNS сървър за адреса, свързан с уебсайт, DNS сървърът отговаря с IP адрес, а компютърът ви казва "добре!" И щастливо се свързва с този уебсайт. Компютърът ви не спира, за да провери дали това е валиден отговор.

Възможно е нападателите да пренасочат тези DNS заявки или да настроят злонамерени DNS сървъри, предназначени да връщат лоши отговори. Ако например сте свързани с обществена Wi-Fi мрежа и се опитате да се свържете с howtogeek.com, злонамерен DNS сървър в тази обществена Wi-Fi мрежа може да върне изцяло различен IP адрес. IP адресът може да ви отведе до фишинг уебсайт. Вашият уеб браузър няма реален начин да проверите дали IP адрес всъщност е свързан с howtogeek.com; тя просто трябва да се довери на отговора, който получава от DNS сървъра.

Криптирането на HTTPS осигурява известна проверка. Да приемем например, че се опитате да се свържете с уебсайта на банката си и виждате HTTPS и иконата за заключване в адресната лента. Знаете, че сертифициращ орган е потвърдил, че този уебсайт принадлежи на вашата банка.

Ако сте влезли в уебсайта на банката си от компрометирана точка за достъп и DNS сървърът е върнал адреса на неудовлетворителен фишинг сайт, фишинг сайтът няма да може да показва тази шифровка на HTTPS. Сайтът за фишинг обаче може да избере да използва обикновен HTTP вместо HTTPS, като залага, че повечето потребители няма да забележат разликата и така или иначе ще влязат в своята онлайн банкова информация.

Вашата банка няма начин да каже "Това са легитимните IP адреси за уебсайта ни".

Как DNSSEC ще помогне

DNS търсене действително се случва на няколко етапа. Например, когато компютърът ви поиска www.howtogeek.com, вашият компютър извършва това търсене на няколко етапа:

  • Първо пита "директорията на зоната на root", където може да намери .com.
  • Тогава пита директорията .com, където може да намери howtogeek.com.
  • Тогава пита как може да намери къде може да намери www.howtogeek.com.

DNSSEC включва "подписване на корен". Когато компютърът ви задава коренната зона, където може да намери .com, той ще може да провери кода за подписване на коренната зона и да потвърди, че това е легитимната коренна зона с истинска информация. След това коренната зона ще предостави информация за клавиша за подпис или .com и нейното местоположение, позволявайки на компютъра ви да се свърже с директорията .com и да се увери, че е легитимна. Директорията .com ще предостави подписващия ключ и информация за howtogeek.com, като му позволи да се свърже с howtogeek.com и да провери дали сте свързани с реалния howtogeek.com, както се потвърждава от зоните над него.

Когато DNSSEC бъде напълно разработен, вашият компютър ще може да потвърди DNS реакциите са легитимни и верни, докато в момента няма начин да разбере кои са фалшиви и кои са истински.

Прочетете повече за начина, по който криптирането работи тук.

Какво щеше да бъде направено от SOPA

И така, как действаше законът за спиране на онлайн пиратството, по-известен като SOPA? Е, ако сте проследили SOPA, разбирате, че е написана от хора, които не са разбрали интернет, така че ще "разбият интернет" по различни начини. Това е един от тях.

Не забравяйте, че DNSSEC позволява на собствениците на домейни да подписват своите DNS записи. Така например, thepiratebay.se може да използва DNSSEC, за да определи IP адресите, с които е свързана. Когато компютърът ви направи DNS търсене - независимо дали е за google.com или thepiratebay.se - DNSSEC ще позволи на компютъра да определи, че получава правилния отговор, който е валидиран от собствениците на имена на домейни. DNSSEC е само протокол; не се опитва да прави разлика между "добри" и "лоши" уеб сайтове.

SOPA би изисквало доставчиците на интернет услуги да пренасочват DNS търсения за "лоши" уеб сайтове. Например, ако абонатите на доставчика на интернет услуги се опитаха да получат достъп до piratebay.se, DNS сървърите на ISP ще върнат адреса на друг уебсайт, което ще ги информира, че пиратският залив е бил блокиран.

При DNSSEC такова пренасочване би било неразличимо от атака "човек-в-средата", който DNSSEC е предназначен да предотврати. Доставчиците на интернет услуги, които разполагат с DNSSEC, би трябвало да отговарят на действителния адрес на пиратския залив и по този начин биха нарушили SOPA. За да се приспособи към SOPA, DNSSEC ще трябва да има голям отвор, който да позволява на доставчиците на интернет услуги и правителствата да пренасочват DNS заявки за имена на домейни без разрешението на собствениците на имена на домейни. Това би било трудно (ако не и невъзможно) да се направи по сигурен начин, вероятно да се отворят нови отвори за сигурност за нападателите.

За щастие SOPA е мъртъв и се надяваме, че няма да се върне. DNSSEC понастоящем се внедрява и предоставя отдавна отложено решение на този проблем.

Image Credit: Кахил Юсуф, Джемимус на Flickr, Дейвид Холмс на Flickr