Rozszerzenia systemu nazw domen (DNSSEC) to technologia bezpieczeństwa, która pomoże załatać jeden z słabych punktów Internetu. Mamy szczęście, że SOPA nie przeszło, ponieważ SOPA uczyniłby DNSSEC nielegalnym.
DNSSEC dodaje krytyczne bezpieczeństwo do miejsca, w którym Internet tak naprawdę nie ma żadnych. System nazw domen (DNS) działa dobrze, ale w żadnym momencie procesu nie ma żadnej weryfikacji, która pozostawia luki dla atakujących.
Wyjaśniliśmy, jak działa DNS w przeszłości. W skrócie, za każdym razem, gdy łączysz się z nazwą domeny, np. "Google.com" lub "howtogeek.com", twój komputer kontaktuje się z serwerem DNS i wyszukuje powiązany adres IP dla tej nazwy domeny. Twój komputer następnie łączy się z tym adresem IP.
Co ważne, nie ma procesu weryfikacyjnego związanego z wyszukiwaniem DNS. Komputer prosi serwer DNS o adres powiązany ze stroną internetową, serwer DNS odpowiada adresem IP, a komputer mówi "w porządku!" I z przyjemnością łączy się z tą witryną. Komputer nie zatrzymuje się, aby sprawdzić, czy jest to poprawna odpowiedź.
Możliwe jest, że atakujący przekierują żądania DNS lub skonfigurują złośliwe serwery DNS zaprojektowane do zwracania złych odpowiedzi. Na przykład, jeśli masz połączenie z publiczną siecią Wi-Fi i próbujesz połączyć się z howtogeek.com, złośliwy serwer DNS w tej publicznej sieci Wi-Fi może zwrócić całkowicie inny adres IP. Adres IP może doprowadzić do witryny phishingowej. Twoja przeglądarka nie ma rzeczywistego sposobu sprawdzenia, czy adres IP jest faktycznie powiązany z howtogeek.com; musi tylko zaufać odpowiedzi otrzymanej z serwera DNS.
Szyfrowanie HTTPS zapewnia pewną weryfikację. Załóżmy na przykład, że próbujesz połączyć się z witryną banku, a zobaczysz ikonę HTTPS i ikonę kłódki na pasku adresu. Wiesz, że urząd certyfikacji zweryfikował, że witryna należy do Twojego banku.
Jeśli uzyskasz dostęp do witryny swojego banku ze skompromitowanego punktu dostępu, a serwer DNS zwróci adres fałszywej witryny phishingowej, witryna wyłudzająca dane nie będzie mogła wyświetlić tego szyfrowania HTTPS. Jednak strona phishingowa może zdecydować się na użycie zwykłego HTTP zamiast HTTPS, zakładając, że większość użytkowników nie zauważy różnicy i mimo to wprowadzi ich dane bankowości internetowej.
Twój bank nie może powiedzieć "To są uzasadnione adresy IP naszej witryny".
Wyszukiwanie DNS odbywa się w kilku etapach. Na przykład, gdy komputer prosi o www.howtogeek.com, komputer wykonuje to wyszukiwanie w kilku etapach:
DNSSEC polega na "podpisywaniu root'a". Kiedy twój komputer pójdzie zapytać strefy głównej, gdzie może znaleźć .com, będzie mógł sprawdzić klucz podpisujący strefy głównej i potwierdzić, że jest to prawidłowa strefa root z prawdziwymi informacjami. Strefa główna będzie dostarczać informacje na temat klucza podpisu lub .com i jego lokalizacji, umożliwiając komputerowi skontaktowanie się z katalogiem .com i upewnienie się, że jest to uzasadnione. Katalog .com dostarcza klucz podpisu i informacje do howtogeek.com, pozwalając mu skontaktować się z howtogeek.com i zweryfikować, czy jesteś połączony z prawdziwym howtogeek.com, co potwierdzają strefy nad nim.
Po pełnym wdrożeniu systemu DNSSEC komputer będzie mógł potwierdzić, że odpowiedzi DNS są prawidłowe i prawdziwe, podczas gdy obecnie nie ma możliwości sprawdzenia, które z nich są fałszywe, a które prawdziwe.
Dowiedz się więcej o tym, jak działa szyfrowanie.
Jak więc grała Ustawa o piractwie Stop Online, lepiej znana jako SOPA, w tym wszystkim? Cóż, jeśli poszedłeś za SOPA, zdajesz sobie sprawę, że został napisany przez ludzi, którzy nie rozumieli internetu, więc "łamałby Internet" na różne sposoby. To jedna z nich.
Pamiętaj, że DNSSEC umożliwia właścicielom nazw domen podpisywanie ich rekordów DNS. Na przykład, thepiratebay.se może użyć DNSSEC do określenia adresów IP, z którymi jest związany. Kiedy komputer wykonuje wyszukiwanie DNS - czy to na google.com, czy na thepiratebay.se - DNSSEC umożliwi komputerowi określenie, czy otrzymuje poprawną odpowiedź zatwierdzoną przez właścicieli nazw domen. DNSSEC to tylko protokół; nie próbuje rozróżniać między "dobrymi" i "złymi" stronami internetowymi.
SOPA wymagał by dostawcy usług internetowych przekierowywali zapytania DNS o "złe" strony internetowe. Na przykład, jeśli abonenci usługodawcy internetowego próbowali uzyskać dostęp do strony piratebay.se, serwery DNS usługodawcy internetowego zwrócą adres innej strony internetowej, która informuje ich, że Pirate Bay została zablokowana.
Dzięki DNSSEC takie przekierowanie byłoby nie do odróżnienia od ataku man-in-the-middle, którego DNSSEC zaprojektowano, aby zapobiegać. Dostawcy usług internetowych wdrażający DNSSEC będą musieli odpowiedzieć rzeczywistym adresem Pirate Bay, a tym samym będą naruszać SOPA. Aby obsłużyć SOPA, DNSSEC musiałby mieć duży otwór, który pozwoliłby usługodawcom internetowym i rządom na przekierowanie żądań DNS nazw domen bez zgody właścicieli nazw domen. Byłoby to trudne (jeśli nie niemożliwe) w bezpieczny sposób, prawdopodobnie otwierając nowe luki bezpieczeństwa dla atakujących.
Na szczęście SOPA nie żyje i mam nadzieję, że nie wróci. System DNSSEC jest obecnie wdrażany, zapewniając długo wymaganą naprawę tego problemu.
Image Credit: Khairil Yusof, Jemimus na Flickr, David Holmes na Flickr
