Hvordan DNSSEC vil bidra til å sikre Internett og hvordan SOPA nesten gjorde det ulovlig
Domenenavn System Security Extensions (DNSSEC) er en sikkerhetsteknologi som hjelper til med å lappe opp en av internettets svake punkter. Vi er heldige, SOPA passerte ikke, fordi SOPA ville ha gjort DNSSEC ulovlig.
DNSSEC legger til kritisk sikkerhet til et sted der Internett egentlig ikke har noen. Domenenavnssystemet (DNS) fungerer bra, men det er ingen verifisering når som helst i prosessen, noe som gir hull åpne for angripere.
Den nåværende tilstanden av saker
Vi har forklart hvordan DNS fungerer tidligere. I et nøtteskall, når du kobler til et domenenavn som "google.com" eller "howtogeek.com", kontakter datamaskinen din sin DNS-server og ser opp den tilhørende IP-adressen for det domenenavnet. Datamaskinen din kobler deretter til den IP-adressen.
Det er viktig at det ikke er noen verifikasjonsprosess involvert i et DNS-oppslag. Datamaskinen din spør DNS-serveren for adressen som er tilknyttet et nettsted, DNS-serveren svarer med en IP-adresse, og datamaskinen sier "okay!" Og kobler gjerne til den nettsiden. Datamaskinen stopper ikke for å sjekke om det er et gyldig svar.
Det er mulig for angripere å omdirigere disse DNS-forespørsler eller konfigurere ondsinnede DNS-servere designet for å returnere dårlige svar. Hvis du for eksempel er koblet til et offentlig Wi-Fi-nettverk, og du prøver å koble deg til howtogeek.com, kan en ondsinnet DNS-server på det offentlige Wi-Fi-nettverket returnere en annen IP-adresse helt. IP-adressen kan føre deg til et phishing-nettsted. Nettleseren din har ingen reell måte å sjekke om en IP-adresse faktisk er knyttet til howtogeek.com; det må bare stole på svaret det mottar fra DNS-serveren.
HTTPS-kryptering gir noen bekreftelse. For eksempel, la oss si at du prøver å koble til bankens nettsted og du ser HTTPS og låsikonet i adressefeltet. Du vet at en sertifiseringsinstans har bekreftet at nettstedet tilhører banken din.
Hvis du har tilgang til bankens nettside fra et kompromittert tilgangspunkt, og DNS-serveren returnerte adressen til et falsk phishing-nettsted, ville phishing-nettstedet ikke kunne vise den HTTPS-kryptering. Imidlertid kan phishing-nettstedet velge å bruke vanlig HTTP i stedet for HTTPS, ved å satse på at de fleste brukere ikke ville merke forskjellen og vil legge inn deres nettbankinformasjon uansett.
Din bank har ingen måte å si "Dette er de legitime IP-adressene for nettstedet vårt."
Hvordan DNSSEC vil hjelpe
En DNS-oppslag skjer faktisk i flere stadier. For eksempel, når datamaskinen spør etter www.howtogeek.com, utfører datamaskinen denne oppslaget i flere faser:
- Den spør først "rotsonen katalog" hvor den kan finne .com.
- Deretter spør den .com-katalogen hvor den kan finne howtogeek.com.
- Det spør deretter howtogeek.com hvor den kan finne www.howtogeek.com.
DNSSEC involverer "signering av roten." Når datamaskinen går for å spørre rotsonen der den kan finne .com, vil den kunne sjekke rotsoneens signeringsnøkkel og bekrefte at den er den legitime rotsonen med sann informasjon. Rotsonen vil deretter gi informasjon om signeringsnøkkelen eller .com og dens plassering, slik at datamaskinen din kan kontakte .com-katalogen og sikre at den er legitim. .Com-katalogen vil gi signeringsnøkkel og informasjon for howtogeek.com, slik at den kan kontakte howtogeek.com og verifisere at du er koblet til den virkelige howtogeek.com, som bekreftet av sonene over det.
Når DNSSEC er fullt utrulling, vil datamaskinen kunne bekrefte at DNS-svar er legitime og sanne, mens det for øyeblikket ikke har noen måte å vite hvilke som er falske og hvilke som er ekte.
Les mer om hvordan kryptering fungerer her.
Hva SOPA ville ha gjort
Så hvordan spilte Stop Online Piracy Act, bedre kjent som SOPA, inn i alt dette? Vel, hvis du fulgte SOPA, skjønner du at det var skrevet av folk som ikke forstod Internett, så det ville "bryte Internett" på ulike måter. Dette er en av dem.
Husk at DNSSEC lar domenenavnere registrere sine DNS-poster. Så, for eksempel, kan thepiratebay.se bruke DNSSEC til å angi IP-adressene den er knyttet til. Når datamaskinen utfører et DNS-oppslag - enten det gjelder google.com eller thepiratebay.se - vil DNSSEC tillate datamaskinen å avgjøre at den mottar det riktige svaret som bekreftet av domenenavnets eiere. DNSSEC er bare en protokoll; Det forsøker ikke å diskriminere mellom "gode" og "dårlige" nettsteder.
SOPA ville ha krevd Internett-leverandører for å omdirigere DNS-oppslag for "dårlige" nettsteder. Hvis for eksempel en Internett-leverandørens abonnenter prøvde å få tilgang til thepiratebay.se, ville ISPs DNS-servere returnere adressen til et annet nettsted, som ville informere dem om at Pirate Bay hadde blitt blokkert.
Med DNSSEC ville en slik omdirigering skille seg fra et mann-i-midten-angrep, som DNSSEC ble utformet for å forhindre. Internett-leverandører som bruker DNSSEC, må svare med den faktiske adressen til Pirate Bay, og vil dermed være i strid med SOPA. For å imøtekomme SOPA, ville DNSSEC måtte ha et stort hull kuttet i det, en som ville tillate Internett-leverandører og regjeringer å omdirigere DNS-forespørsler om domenenavn uten tillatelse fra domenenavnets eiere. Dette ville være vanskelig (om ikke umulig) å gjøre på en sikker måte, sannsynligvis å åpne nye sikkerhetshull for angriperne.
Heldigvis er SOPA død, og forhåpentligvis kommer det ikke tilbake. DNSSEC er for tiden i bruk, og gir en langvarig løsning på dette problemet.
Bilde Kreditt: Khairil Yusof, Jemimus på Flickr, David Holmes på Flickr