Как DNSSEC ще помогне да се осигури интернет и как SOPA почти го е направил незаконно
Разширения за защита на системата за имена на домейни (DNSSEC) е технология за сигурност, която ще помогне да се закърпи една от слабите страни на Интернет. Щастливи сме, че SOPA не мине, защото SOPA би направила DNSSEC незаконна.
DNSSEC добавя критична сигурност към място, където в действителност няма интернет. Системата за имена на домейни (DNS) работи добре, но в нито един момент от процеса няма проверка, което оставя дупки за атакуващите.
Текущото състояние на делата
Обяснихме как работи DNS в миналото. Накратко, когато се свързвате с име на домейн като „google.com“ или „howtogeek.com“, вашият компютър се свързва с DNS сървъра и търси съответния IP адрес за това име на домейн. След това компютърът ви се свързва с този IP адрес.
Важно е, че в процеса на търсене в DNS няма процес на проверка. Компютърът ви пита DNS сървъра за адреса, свързан с даден уебсайт, DNS сървърът отговаря с IP адрес и компютърът ви казва „добре!“ И се радва на връзка с този уебсайт. Компютърът ви не спира да проверява дали това е валиден отговор.
Възможно е нападателите да пренасочат тези DNS заявки или да настроят злонамерени DNS сървъри, предназначени да връщат лоши отговори. Например, ако сте свързани към обществена Wi-Fi мрежа и се опитвате да се свържете с howtogeek.com, злонамерен DNS сървър в тази обществена Wi-Fi мрежа може да върне напълно различен IP адрес. IP адресът може да ви отведе до фишинг уебсайт. Вашият уеб браузър няма реален начин да провери дали IP адресът действително е свързан с howtogeek.com; просто трябва да се довери на отговора, който получава от DNS сървъра.
HTTPS криптирането осигурява известна проверка. Например, да речем, че се опитвате да се свържете с уебсайта на банката си и ще видите HTTPS и иконата за заключване в адресната лента. Знаете, че сертифициращият орган е потвърдил, че уебсайтът принадлежи на вашата банка.
Ако сте осъществили достъп до уебсайта на вашата банка от компрометирана точка за достъп и DNS сървърът е върнал адреса на фалшифициращ сайт, фашингът няма да може да покаже това HTTPS криптиране. Въпреки това, фишинг сайтът може да избере да използва обикновен HTTP вместо HTTPS, като залага, че повечето потребители няма да забележат разликата и въпреки това въвеждат информацията си за онлайн банкиране..
Вашата банка няма начин да каже "Това са законните IP адреси за нашия уебсайт."
Как ще помогне DNSSEC
DNS търсене действително се случва на няколко етапа. Например, когато компютърът ви поиска www.howtogeek.com, вашият компютър извършва това търсене на няколко етапа:
- Първо пита "директорията на кореновата зона", където може да се намери .COM.
- След това пита директорията .com където може да се намери howtogeek.com.
- След това пита howtogeek.com къде може да се намери www.howtogeek.com.
DNSSEC включва „подписване на корена“. Когато компютърът ви попита за кореновата зона, където може да намери .com, той ще може да провери ключа за подписване на основната зона и да потвърди, че това е законната коренова зона с истинска информация. След това основната зона ще предостави информация за ключа за подпис или .com и местоположението му, което позволява на компютъра да се свърже с директорията .com и да се увери, че е легитимна. Директорията .com ще предостави ключ за подпис и информация за howtogeek.com, позволявайки му да се свърже с howtogeek.com и да провери дали сте свързани с реалния howtogeek.com, както е потвърдено от зоните над него.
Когато DNSSEC е напълно разгърнат, вашият компютър ще може да потвърди, че DNS отговорите са легитимни и верни, докато в момента няма начин да разбере кои са фалшиви и кои са реални.
Прочетете повече за това как работи шифроването тук.
Какво SOPA щеше да направи
И така, какъв е Stop Act Piracy Act, по-известен като SOPA? Е, ако сте последвали SOPA, разбирате, че е написана от хора, които не разбират интернет, така че ще „прекъсне интернет“ по различни начини. Това е едно от тях.
Не забравяйте, че DNSSEC позволява на собствениците на имена на домейни да подписват своите DNS записи. Така например, thepiratebay.se може да използва DNSSEC, за да определи IP адресите, с които е свързан. Когато компютърът извърши DNS търсене - независимо дали е за google.com или thepiratebay.se - DNSSEC ще позволи на компютъра да определи, че получава правилния отговор, потвърден от собствениците на името на домейна. DNSSEC е просто протокол; не се опитва да прави разлика между „добри“ и „лоши“ уебсайтове.
SOPA щеше да изисква от доставчиците на интернет услуги да пренасочват DNS за „лоши“ уебсайтове. Например, ако абонати на доставчик на интернет услуги се опитаха да влязат в thepiratebay.se, DNS сървърите на интернет доставчика ще върнат адреса на друг уебсайт, който ще ги информира, че Pirate Bay е блокиран..
С DNSSEC такова пренасочване би било неразличимо от атака човек-в-среда, който DNSSEC е предназначен да предотврати. Интернет доставчиците, разполагащи с DNSSEC, ще трябва да отговорят с действителния адрес на Pirate Bay и по този начин ще нарушат SOPA. За да се настани SOPA, DNSSEC ще трябва да има голяма дупка в нея, която ще позволи на доставчиците на интернет услуги и правителствата да пренасочват DNS заявки за имена на домейни без разрешението на собствениците на домейна. Това би било трудно (ако не и невъзможно) да се направи по сигурен начин, вероятно отваряйки нови дупки в сигурността за нападателите.
За щастие, SOPA е мъртва и се надяваме, че няма да се върне. Понастоящем DNSSEC се разгръща, осигурявайки дългоочаквано решение за този проблем.
Автор на снимката: Хайрил Юсоф, Джемимус на Flickr, Дейвид Холмс на Flickr