Как DNSSEC ще помогне за сигурността на интернет и как SOPA почти го направи незаконно



Разширенията за защита на системата за имена на домейни (DNSSEC) е технология за сигурност, която ще помогне за коригиране на една от слабите места на Интернет. Имаме късмет, че SOPA не мина, защото SOPA щеше да направи DNSSEC незаконен.

DNSSEC добавя критична сигурност на място, където Интернет наистина няма такава. Системата за имена на домейни (DNS) работи добре, но няма проверка в нито един момент от процеса, което оставя дупки отворени за нападателите.





Текущото състояние на нещата

ние сме обясни как работи DNS в миналото. Накратко, всеки път, когато се свържете с име на домейн като google.com или howtogeek.com, вашият компютър се свързва със своя DNS сървър и търси свързания IP адрес за това име на домейн. След това вашият компютър се свързва с този IP адрес.

Важно е, че няма процес на проверка, включен в търсене на DNS. Вашият компютър пита своя DNS сървър за адреса, свързан с уебсайт, DNS сървърът отговаря с IP адрес и компютърът ви казва добре! и щастливо се свързва с този уебсайт. Компютърът ви не спира, за да провери дали това е валиден отговор.



Възможно е нападателите да пренасочат тези DNS заявки или да настроят злонамерени DNS сървъри, предназначени да връщат лоши отговори. Например, ако сте свързани към обществена Wi-Fi мрежа и се опитате да се свържете с howtogeek.com, злонамерен DNS сървър в тази обществена Wi-Fi мрежа може да върне изцяло различен IP адрес. IP адресът може да ви отведе до фишинг уебсайт. Вашият уеб браузър няма реален начин да провери дали даден IP адрес действително е свързан с howtogeek.com; просто трябва да се довери на отговора, който получава от DNS сървъра.

Реклама

HTTPS криптирането осигурява известна проверка. Например, да приемем, че се опитвате да се свържете с уебсайта на вашата банка и виждате HTTPS и иконата за заключване в адресната лента. Знаете, че сертифициращ орган е потвърдил, че уебсайтът принадлежи на вашата банка.



Ако сте осъществили достъп до уебсайта на вашата банка от компрометирана точка за достъп и DNS сървърът върне адреса на измамник фишинг сайт, фишинг сайтът няма да може да покаже това HTTPS криптиране. Фишинг сайтът обаче може да избере да използва обикновен HTTP вместо HTTPS, като се обзалага, че повечето потребители няма да забележат разликата и така или иначе ще въведат информацията си за онлайн банкиране.

Вашата банка няма начин да каже, че това са легитимните IP адреси за нашия уебсайт.

Как DNSSEC ще помогне

DNS търсенето всъщност се случва на няколко етапа. Например, когато компютърът ви поиска www.howtogeek.com, компютърът ви извършва това търсене на няколко етапа:

  • Първо пита директорията на основната зона къде може да намери .
  • След това пита директорията .com къде може да намери howtogeek.com .
  • След това пита howtogeek.com къде може да намери www.howtogeek.com .

DNSSEC включва подписване на root. Когато компютърът ви отиде да попита главната зона къде може да намери .com, той ще може да провери ключа за подпис на основната зона и да потвърди, че това е легитимната основна зона с истинска информация. След това основната зона ще предостави информация за ключа за подписване или .com и неговото местоположение, което позволява на компютъра ви да се свърже с директорията .com и да се увери, че е легитимна. Директорията .com ще предостави ключа за подписване и информацията за howtogeek.com, което му позволява да се свърже с howtogeek.com и да потвърди, че сте свързани с истинския howtogeek.com, както се потвърждава от зоните над него.

Когато DNSSEC бъде напълно въведен, вашият компютър ще може да потвърди, че отговорите на DNS са легитимни и верни, докато в момента няма начин да разбере кои са фалшиви и кои са истински.

Прочетете повече за как работи криптирането тук.

Какво би направила SOPA

И така, как Законът за спиране на онлайн пиратството, по-известен като SOPA, участва във всичко това? Е, ако следвате SOPA, разбирате, че е написана от хора, които не разбират интернет, така че ще разбие интернет по различни начини. Това е един от тях.

Реклама

Не забравяйте, че DNSSEC позволява на собствениците на имена на домейни да подписват своите DNS записи. Така например, thepiratebay.se може да използва DNSSEC, за да посочи IP адресите, с които е свързан. Когато компютърът ви извършва DNS търсене – независимо дали е за google.com или thepiratebay.se – DNSSEC ще позволи на компютъра да определи, че получава правилния отговор, потвърден от собствениците на името на домейна. DNSSEC е просто протокол; не се опитва да прави разлика между добри и лоши уебсайтове.

SOPA щеше да изисква от доставчиците на интернет услуги да пренасочват DNS търсения за лоши уебсайтове. Например, ако абонатите на доставчик на интернет услуги се опитат да получат достъп до thepiratebay.se, DNS сървърите на интернет доставчика ще върнат адреса на друг уебсайт, който ще ги информира, че Pirate Bay е блокиран.

С DNSSEC такова пренасочване би било неразличимо от атака човек в средата, която DNSSEC е предназначена да предотврати. Доставчиците на интернет услуги, внедряващи DNSSEC, ще трябва да отговорят с действителния адрес на Pirate Bay и по този начин биха нарушили SOPA. За да побере SOPA, DNSSEC ще трябва да има голяма дупка, която ще позволи на доставчиците на интернет услуги и правителствата да пренасочват DNS заявките за имена на домейни без разрешението на собствениците на името на домейна. Това би било трудно (ако не и невъзможно) да се направи по сигурен начин, което вероятно ще отвори нови дупки в сигурността за нападателите.


За щастие SOPA е мъртва и се надяваме, че няма да се върне. DNSSEC в момента се внедрява, осигурявайки отдавна насрочено решение за този проблем.

Кредит на изображението: Хайрил Юсоф , Джемимус във Flickr , Дейвид Холмс във Flickr

ПРОЧЕТЕТЕ СЛЕДВАЩО Снимка на профила за Крис Хофман Крис Хофман
Крис Хофман е главен редактор на How-To Geek. Той пише за технологиите повече от десетилетие и е бил колумнист на PCWorld в продължение на две години. Крис е писал за The New York Times, интервюиран е като технологичен експерт в телевизионни станции като NBC 6 в Маями и работата му е отразявана от новинарски издания като BBC. От 2011 г. насам Крис е написал над 2000 статии, които са прочетени близо един милиард пъти --- и това е само тук, в How-To Geek.
Прочетете пълната биография

Интересни Статии