If-Koubou

Kā DNSSEC palīdzēs aizsargāt internetu un kā SOPA gandrīz padarīja to nelikumīgu

Kā DNSSEC palīdzēs aizsargāt internetu un kā SOPA gandrīz padarīja to nelikumīgu (Kā)

Domēnu vārdu sistēmas drošības paplašinājumi (DNSSEC) ir drošības tehnoloģija, kas palīdzēs izkopt kādu no interneta vājākajiem punktiem. Mēs esam laimīgi SOPA neizturēja, jo SOPA būtu padarījis DNSSEC nelikumīgu.

DNSSEC pievieno kritisku drošību vietai, kur internetam patiesībā nav neviena. Domēna vārda sistēma (DNS) darbojas labi, taču nevienā procesa posmā netiek veikta verifikācija, kas uzbrucējiem ļauj piekļūt urbumiem.

Pašreizējais lietu stāvoklis

Mēs esam paskaidrojuši, kā agrāk darbojas DNS. Īsāk sakot, ikreiz, kad izveidojat savienojumu ar domēna vārdu, piemēram, "google.com" vai "howtogeek.com", jūsu dators pieslēdzas sava DNS serverim un meklē attiecīgo domēna vārda attiecīgo IP adresi. Jūsu dators pēc tam savienojas ar šo IP adresi.

Svarīgi, ka DNS meklēšanā nav iesaistīts verifikācijas process. Jūsu dators prasa DNS serveri ar tīmekļa vietnei saistīto adresi, DNS serveris atbild ar IP adresi, un jūsu dators saka "labi!", Un ar prieku savieno to ar šo vietni. Jūsu dators neapstājas, lai pārbaudītu, vai tā ir derīga atbilde.

Uzbrucējiem ir iespējams novirzīt šos DNS pieprasījumus vai izveidot ļaunprātīgus DNS serverus, kas paredzēti sliktu atbilžu saņemšanai. Piemēram, ja esat izveidojis savienojumu ar publisko Wi-Fi tīklu un mēģināt izveidot savienojumu ar howtogeek.com, ļaunprātīgs DNS serveris šajā publiskā Wi-Fi tīklā var pilnībā atgriezt citu IP adresi. IP adrese var novest pie pikšķerēšanas vietnes. Jūsu tīmekļa pārlūkam nav īstu iespēju pārbaudīt, vai IP adrese ir faktiski saistīta ar howtogeek.com; tai vienkārši jāatbalsta atbilde, ko tā saņem no DNS servera.

HTTPS šifrēšana nodrošina noteiktu pārbaudi. Piemēram, pieņemsim, ka mēģināt izveidot savienojumu ar jūsu bankas vietni, un adreses joslā tiek parādīta HTTPS un atslēgas ikona. Jūs zināt, ka sertifikācijas iestāde ir apstiprinājusi, ka vietne pieder jūsu bankai.

Ja piekļūstat bankas vietnei no apdraudēta piekļuves punkta un DNS serveris atgriež ķemmēšanas vietnes adresi, pikšķerēšanas vietne nevarēs parādīt šo HTTPS šifrēšanu. Tomēr pikšķerēšanas vietne var izvēlēties izmantot vienkāršu HTTP, nevis HTTPS, derot, ka lielākā daļa lietotāju neievēro atšķirību un jebkurā gadījumā iekļūs viņu tiešsaistes banku informācijā.

Jūsu bankai nav iespējams pateikt: "Šīs ir mūsu vietnes likumīgās IP adreses."

Kā DNSSEC palīdzēs

DNS meklēšana faktiski notiek vairākos posmos. Piemēram, kad jūsu dators pieprasa www.howtogeek.com, jūsu dators veic šo meklēšanu vairākos posmos:

  • Tas vispirms prasa "saknes zonas direktoriju", kur to var atrast .com.
  • Pēc tam tā uzdod .com direktoriju, kur to var atrast howtogeek.com.
  • Tad tā jautā howtogeek.com, kur to var atrast www.howtogeek.com.

DNSSEC ietver "root parakstu". Kad dators iet, lai vaicātu saknes zonai, kur var atrast .com, tā varēs pārbaudīt saknes zonas parakstīšanas atslēgu un apstiprināt, ka tā ir likumīga saknes zona ar patiesu informāciju. Tad saknes zona sniegs informāciju par parakstīšanas taustiņu vai. Com un tās atrašanās vietu, ļaujot datoram sazināties ar .com direktoriju un nodrošināt tā likumību. Katalogs .com nodrošina parakstīšanas atslēgu un informāciju par howtogeek.com, ļaujot tai sazināties ar howtogeek.com un pārbaudīt, vai esat izveidojis savienojumu ar reālo portālu waytourist.com, kā to apstiprina zonas, kas atrodas virs tā.

Kad DNSSEC ir pilnībā izlaists, jūsu dators varēs apstiprināt, ka DNS atbildes ir likumīgas un patiesas, bet pašlaik nav iespējams zināt, kuri no tiem ir viltoti un kuri ir reāli.

Lasiet vairāk par to, kā šifrēšana darbojas šeit.

Ko SOPA būtu izdarījis

Tātad, kā viss no šī režīma izskaidroja Stop Online pirātisma likumu, ko sauc par SOPA? Nu, ja jūs sekojāt SOPA, jūs sapratīsit, ka to ir uzrakstījuši cilvēki, kuri nesaprot Internetu, tādēļ tas dažādos veidos "pārtrauktu internetu". Tas ir viens no tiem.

Atcerieties, ka DNSSEC ļauj domēna vārda īpašniekiem parakstīt savus DNS ierakstus. Tātad, piemēram, thepiratebay.se var izmantot DNSSEC, lai norādītu ar to saistītās IP adreses. Kad dators veic DNS meklēšanu - neatkarīgi no tā, vai tas ir google.com vai thepiratebay.se - DNSSEC ļautu datoram noteikt, ka tā saņem pareizo atbildi, kā apstiprina domēna vārda īpašnieki. DNSSEC ir tikai protokols; tā nemēģina diskriminēt "labas" un "sliktas" vietnes.

SOPA būtu pieprasījis, lai interneta pakalpojumu sniedzēji novirzītu DNS meklēšanu uz "sliktām" vietnēm. Piemēram, ja interneta pakalpojumu sniedzēja abonenti mēģināja piekļūt thepiratebay.se, ISP DNS serveri atgriezīs citas tīmekļa vietnes adresi, kas informētu viņus, ka Pirate Bay bija bloķēta.

Izmantojot DNSSEC, šāda novirzīšana nebūtu atšķirama no vīriešiem-vidējā uzbrukuma, kuru DNSSEC mērķis bija novērst. Interneta pakalpojumu sniedzējiem, kas izvieto DNSSEC, būtu jāatbild ar Pirate Bay faktisko adresi, tādējādi pārkāpjot SOPA. Lai varētu uzņemt SOPA, DNSSEC vajadzētu būt tajā ievietot lielu caurumu, kas ļautu interneta pakalpojumu sniedzējiem un valdībām pārorientēt domēna nosaukumu DNS pieprasījumus bez domēna vārda īpašnieku atļaujas. Tas būtu grūti (ja ne neiespējami) droši paveikt, iespējams, atverot uzbrucēju jaunus drošības caurumus.

Par laimi SOPA ir miris un, cerams, neatgriezīsies. DNSSEC pašlaik tiek izmantots, nodrošinot ilgstošu problēmu novēršanu.

Attēlu kredīts: Khairil Yusof, Jemims par Flickr, Deivids Holmss par Flickr