Domain Name System Extensiile de securitate (DNSSEC) este o tehnologie de securitate care va ajuta la patch-ul unul dintre punctele slabe ale Internetului. Suntem norocoși că SOPA nu a trecut, deoarece SOPA ar fi făcut DNSSEC ilegal.
DNSSEC adaugă securitate critică într-un loc în care Internetul nu are niciunul. Sistemul de nume de domeniu (DNS) funcționează bine, dar nu există nicio verificare în niciun moment al procesului, care lasă găurile deschise pentru atacatori.
Am explicat cum funcționează DNS în trecut. Pe scurt, ori de câte ori vă conectați la un nume de domeniu, cum ar fi "google.com" sau "howtogeek.com", calculatorul dvs. contactează serverul DNS și caută adresa IP asociată acestui nume de domeniu. Computerul se conectează apoi la adresa IP respectivă.
Este important faptul că nu există un proces de verificare implicat într-o căutare DNS. Computerul vă întreabă serverul DNS pentru adresa asociată unui site web, serverul DNS răspunde cu o adresă IP, iar computerul dvs. spune "bine!" Și se conectează fericit la site-ul respectiv. Computerul nu se oprește pentru a verifica dacă acesta este un răspuns valid.
Este posibil ca atacatorii să redirecționeze aceste solicitări DNS sau să creeze servere DNS rău intenționate menite să răspundă la răspunsuri proaste. De exemplu, dacă sunteți conectat (ă) la o rețea publică Wi-Fi și încercați să vă conectați la howtogeek.com, un server DNS rău intenționat din acea rețea publică Wi-Fi ar putea să returneze în întregime o altă adresă IP. Adresa IP vă poate duce la un site de phishing. Browserul dvs. web nu are nici o modalitate reală de a verifica dacă o adresă IP este de fapt asociată cu howtogeek.com; trebuie doar să aibă încredere în răspunsul primit de la serverul DNS.
Criptarea HTTPS oferă unele verificări. De exemplu, să presupunem că încercați să vă conectați la site-ul web al băncii dvs. și vedeți HTTPS și pictograma blocare în bara de adrese. Știți că o autoritate de certificare a verificat că site-ul aparține băncii dvs.
Dacă ați accesat site-ul web al băncii de la un punct de acces compromis și serverul DNS a returnat adresa unui site de tip "phishing", site-ul de phishing nu va putea afișa criptarea HTTPS. Cu toate acestea, site-ul de phishing poate opta să utilizeze HTTP simplu în loc de HTTPS, pariind că majoritatea utilizatorilor nu ar observa diferența și ar intra oricum în informațiile bancare online.
Banca dvs. nu are nici un fel de a spune "Acestea sunt adresele IP legitime pentru site-ul nostru."
O căutare DNS se întâmplă de fapt în mai multe etape. De exemplu, atunci când computerul solicită www.howtogeek.com, computerul dvs. efectuează această căutare în mai multe etape:
DNSSEC implică "semnarea rădăcină". Când computerul va cere să ceară zona rădăcină unde poate găsi .com, va putea verifica cheia de semnare a zonei rădăcină și va confirma că este zona de rădăcină legitimă cu informații adevărate. Zona rădăcină va furniza apoi informații despre cheia de semnare sau .com și locația acesteia, permițând computerului dvs. să contacteze directorul .com și să se asigure că este legitim. Directorul .com va furniza cheia de semnare și informații pentru howtogeek.com, permițându-i să contacteze howtogeek.com și să verifice că sunteți conectat la modul real howtogeek.com, confirmat de zonele de deasupra acestuia.
Când DNSSEC este complet rulat, computerul va putea confirma că răspunsurile DNS sunt legitime și adevărate, în timp ce în prezent nu are cum să știe care sunt false și care sunt reale.
Citiți mai multe despre modul în care funcționează criptarea aici.
Deci, cum a jucat Actul de piraterie Stop Online, mai bine cunoscut sub numele de SOPA, în toate astea? Ei bine, dacă ați urmat SOPA, vă dați seama că a fost scris de oameni care nu înțelegeau Internetul, așa că ar "rupe Internetul" în diferite moduri. Acesta este unul dintre ele.
Rețineți că DNSSEC permite proprietarilor de nume de domeniu să semneze înregistrările DNS. De exemplu, thepiratebay.se poate folosi DNSSEC pentru a specifica adresele IP la care este asociat. Când computerul efectuează o căutare DNS - indiferent dacă este pentru google.com sau thepiratebay.se - DNSSEC ar permite computerului să determine că primește răspunsul corect ca fiind validat de proprietarii numelui de domeniu. DNSSEC este doar un protocol; nu încearcă să discrimineze între site-urile "bune" și "rele".
SOPA ar fi solicitat furnizorilor de servicii Internet să redirecționeze căutările DNS pentru site-urile "rău". De exemplu, dacă un abonat al furnizorului de servicii de internet a încercat să acceseze portalulpiratebay.se, serverele DNS ale ISP-ului ar readuce adresa unui alt site web, ceea ce le-ar informa că Pirate Bay a fost blocat.
Cu DNSSEC, o astfel de redirecționare ar fi indisolubilă de un atac de tip man-in-the-middle, pe care DNSSEC a fost proiectat să îl prevină. ISP-urile care implementează DNSSEC ar trebui să răspundă cu adresa actuală a Pirate Bay și astfel ar încălca SOPA. Pentru a găzdui SOPA, DNSSEC ar trebui să aibă o gaură mare în ea, una care ar permite furnizorilor de servicii Internet și guvernele să redirecționeze nume de domeniu DNS cererile fără permisiunea proprietarilor de nume de domeniu. Ar fi dificil (dacă nu chiar imposibil) să o faceți într-un mod sigur, probabil deschizând noi găuri de securitate pentru atacatori.
Din fericire, SOPA este mort și, sperăm, nu se va mai întoarce. DNSSEC este în curs de desfășurare, oferind o remediere pe termen lung pentru această problemă.
Credit de imagine: Khairil Yusof, Jemimus pe Flickr, David Holmes pe Flickr
