Hogyan segíti a DNSSEC az internet és az SOPA majdnem az illegális használatát
A Domain Name System Security Extensions (DNSSEC) olyan biztonsági technológia, amely segít az internet egyik gyenge pontjának javításában. Szerencsés vagyunk, mert a SOPA nem ment át, mert a SOPA a DNSSEC-t illegálisnak tette volna.
A DNSSEC kritikus biztonságot nyújt egy olyan helyre, ahol az internet valójában nincs. A tartománynév-rendszer (DNS) jól működik, de a folyamat egyetlen pontján sem ellenőrzik, ami a nyílásokat nyitja meg a támadók számára.
A jelenlegi helyzet
Elmagyaráztuk, hogyan működik a DNS a múltban. Dióhéjban, amikor csatlakozik egy olyan domain névhez, mint a "google.com" vagy a "howtogeek.com", a számítógép kapcsolatba lép a DNS-kiszolgálójával, és megkeresi a kapcsolódó IP-címet a domain névhez. A számítógép ezután csatlakozik az IP-címhez.
Fontos, hogy a DNS-keresésben nincsenek ellenőrzési folyamatok. A számítógép megkéri a DNS-kiszolgálóját a webhelyhez társított címre, a DNS-kiszolgáló IP-címmel válaszol, és a számítógép azt mondja: „rendben van!”, És boldogan csatlakozik ehhez a webhelyhez. A számítógép nem áll le, hogy ellenőrizze, hogy ez egy érvényes válasz.
Lehetséges, hogy a támadók átirányíthatják ezeket a DNS-kéréseket, vagy rosszindulatú DNS-kiszolgálókat hozhatnak létre, amelyek célja a rossz válaszok visszatérése. Ha például egy nyilvános Wi-Fi hálózathoz csatlakozik, és megpróbál csatlakozni a howtogeek.com-hoz, az adott nyilvános Wi-Fi hálózaton lévő rosszindulatú DNS-kiszolgáló teljesen más IP-címet küldhet vissza. Az IP-cím adathalász webhelyre vezethet. A webböngészőnek nincs igazi módja annak, hogy ellenőrizze, hogy egy IP-cím valójában kapcsolódik-e a howtogeek.com-hoz; csak a DNS-kiszolgálótól kapott válaszra kell bíznia.
A HTTPS titkosítás bizonyos ellenőrzést biztosít. Tegyük fel például, hogy megpróbál csatlakozni a bank webhelyéhez, és a címsorában a HTTPS és a zár ikon látható. Tudja, hogy egy tanúsító hatóság ellenőrizte, hogy a webhely a bankjához tartozik.
Ha egy kompromittált hozzáférési pontról érte el a bank webhelyét, és a DNS-kiszolgáló visszaadta egy csaló webhely címét, az adathalász-webhely nem tudja megjeleníteni ezt a HTTPS-titkosítást. Az adathalász webhely azonban választhat, hogy a HTTPS helyett egyszerű HTTP-t használ, és a legtöbb felhasználó nem veszi észre a különbséget, és egyébként is beírná az online banki információkat.
A banknak nincs módja azt mondani: „Ezek a webhelyünk IP-címei.”
Hogyan segít a DNSSEC
A DNS-keresés több lépésben történik. Például, ha a számítógép a www.howtogeek.com-t kéri, a számítógép több lépcsőben végzi el ezt a keresést:
- Először megkérdezi a „gyökérzóna könyvtárát”, ahol megtalálható .com.
- Ezután megkérdezi a .com könyvtárat, ahol megtalálható howtogeek.com.
- Aztán megkérdezi, hogyan találja meg a (z) howtogeek.com webhelyet www.howtogeek.com.
A DNSSEC magában foglalja a „gyökér aláírását”. Amikor a számítógép a gyökérzónára kéri, ahol talál. .Com, ellenőrizni fogja a gyökérzóna aláírási kulcsát, és megerősíti, hogy ez a jogos gyökérzóna valódi információval. A gyökérzóna ezután tájékoztatást nyújt az aláíró kulcsról vagy a .com-ról és annak helyéről, lehetővé téve a számítógép számára a .com-címtárhoz való kapcsolódást, és biztosítsa, hogy ez jogszerű legyen. A .com könyvtár megadja az aláíró kulcsot és információt a howtogeek.com-hoz, lehetővé téve, hogy kapcsolatba lépjen a howtogeek.com-tal, és ellenőrizze, hogy csatlakozott-e az igazi howtogeek.com-hoz, amint azt a rajta lévő zónák is megerősítették.
Amikor a DNSSEC-t teljesen kiépítették, a számítógép képes megerősíteni, hogy a DNS-válaszok legitimek és igazak, míg jelenleg nincs módja arra, hogy megtudja, melyek hamisak és melyek valóságosak.
További információ arról, hogyan működik itt a titkosítás.
Mit tett volna a SOPA
Szóval, hogyan játszották le ezt az egészet? Nos, ha követted a SOPA-t, rájössz, hogy azt az ember írta, aki nem értette az internetet, így „különböző módon megtörné az internetet”. Ez az egyik közülük.
Ne feledje, hogy a DNSSEC lehetővé teszi a tartománynevek tulajdonosai számára, hogy aláírják a DNS-rekordjaikat. Így például a thepiratebay.se használhatja a DNSSEC-t az IP-címek megadásához. Amikor a számítógép DNS-keresést hajt végre - függetlenül attól, hogy ez a google.com vagy a thepiratebay.se - a DNSSEC lehetővé tenné a számítógép számára, hogy megállapítsa, hogy a helyes válasz a tartománynév tulajdonosai által hitelesített. A DNSSEC csak egy protokoll; nem próbálja megkülönböztetni a „jó” és a „rossz” weboldalakat.
A SOPA az internetszolgáltatóktól elvárta volna, hogy a DNS kereséseket átirányítsa a „rossz” weboldalakra. Például, ha egy internetszolgáltató előfizetője megpróbálta elérni a piratebay.se-t, az internetszolgáltató DNS-kiszolgálói visszaadnának egy másik weboldal címét, amely tájékoztatná őket arról, hogy a Pirate-öböl blokkolva van.
A DNSSEC segítségével az ilyen átirányítás megkülönböztethetetlen lenne a középső támadással szemben, amelyet a DNSSEC úgy terveztek meg, hogy megakadályozza. A DNSSEC-t telepítő internetszolgáltatóknak a Pirate Bay tényleges címével kell válaszolniuk, és így megsértik a SOPA-t. A SOPA befogadásához a DNSSEC-nek nagy lyukat kell vágnia, amely lehetővé tenné az internetszolgáltatók és a kormányok számára, hogy a domain név DNS-kéréseit a tartománynevek tulajdonosainak engedélye nélkül átirányítsák. Ez nehéz (ha nem lehetetlen) biztonságosan elvégezni, valószínűleg új biztonsági lyukakat nyitva a támadók számára.
Szerencsére a SOPA halott, és remélhetőleg nem fog visszatérni. A DNSSEC jelenleg telepítés alatt áll, és ez a probléma hosszú távú javítása.
Képhitel: Khairil Yusof, Jemimus a Flickr-nél, David Holmes a Flickr-en