Το Domain Name System Security Extensions (DNSSEC) είναι μια τεχνολογία ασφάλειας που θα βοηθήσει να διορθώσει ένα από τα αδύνατα σημεία του Διαδικτύου. Είμαστε τυχεροί που το SOPA δεν πέρασε, επειδή το SOPA θα έκανε το DNSSEC παράνομο.
Το DNSSEC προσθέτει κρίσιμη ασφάλεια σε ένα μέρος όπου το Διαδίκτυο δεν διαθέτει πραγματικά. Το σύστημα ονόματος τομέα (DNS) λειτουργεί καλά, αλλά δεν υπάρχει καμία επαλήθευση σε κανένα σημείο της διαδικασίας, γεγονός που αφήνει ανοιχτές τις τρύπες για τους εισβολείς.
Η τρέχουσα κατάσταση των πραγμάτων
Έχουμε εξήγησε πώς λειτουργεί το DNS στο παρελθόν. Με λίγα λόγια, κάθε φορά που συνδέεστε σε ένα όνομα τομέα όπως "google.com" ή "howtogeek.com", ο υπολογιστής σας επικοινωνεί με τον διακομιστή DNS του και αναζητά τη σχετική διεύθυνση IP για αυτό το όνομα τομέα. Ο υπολογιστής σας στη συνέχεια συνδέεται με αυτήν τη διεύθυνση IP.
Είναι σημαντικό ότι δεν υπάρχει διαδικασία επαλήθευσης στην αναζήτηση DNS. Ο υπολογιστής σας ζητά από τον διακομιστή DNS του τη διεύθυνση που σχετίζεται με έναν ιστότοπο, ο διακομιστής DNS αποκρίνεται με μια διεύθυνση IP και ο υπολογιστής σας λέει "εντάξει!" και συνδέεται ευτυχώς με αυτόν τον ιστότοπο. Ο υπολογιστής σας δεν σταματά να ελέγχει αν αυτή είναι έγκυρη απάντηση.
Είναι πιθανό οι εισβολείς να ανακατευθύνουν αυτά τα αιτήματα DNS ή να δημιουργήσουν κακόβουλους διακομιστές DNS που έχουν σχεδιαστεί για να επιστρέφουν κακές απαντήσεις. Για παράδειγμα, εάν είστε συνδεδεμένοι σε ένα δημόσιο δίκτυο Wi-Fi και προσπαθείτε να συνδεθείτε στο howtogeek.com, ένας κακόβουλος διακομιστής DNS σε αυτό το δημόσιο δίκτυο Wi-Fi θα μπορούσε να επιστρέψει εντελώς μια διαφορετική διεύθυνση IP. Η διεύθυνση IP θα μπορούσε να σας οδηγήσει σε ένα ηλεκτρονικό ψάρεμα δικτυακός τόπος. Το πρόγραμμα περιήγησής σας στο Web δεν έχει πραγματικό τρόπο να ελέγξει εάν μια διεύθυνση IP σχετίζεται πραγματικά με το howtogeek.com. απλά πρέπει να εμπιστευτεί την απάντηση που λαμβάνει από τον διακομιστή DNS
Η κρυπτογράφηση HTTPS παρέχει κάποια επαλήθευση. Για παράδειγμα, ας υποθέσουμε ότι προσπαθείτε να συνδεθείτε στον ιστότοπο της τράπεζάς σας και βλέπετε HTTPS και το εικονίδιο κλειδώματος στη γραμμή διευθύνσεών σας . Γνωρίζετε ότι μια αρχή πιστοποίησης έχει επαληθεύσει ότι ο ιστότοπος ανήκει στην τράπεζά σας.
Εάν έχετε πρόσβαση στον ιστότοπο της τράπεζάς σας από ένα σημείο πρόσβασης που έχει παραβιαστεί και ο διακομιστής DNS επιστρέψει τη διεύθυνση ενός πλαστογραφημένου ιστότοπου ηλεκτρονικού ψαρέματος, ο ιστότοπος ηλεκτρονικού ψαρέματος δεν θα μπορούσε να εμφανίσει αυτήν την κρυπτογράφηση HTTPS. Ωστόσο, ο ιστότοπος ηλεκτρονικού ψαρέματος μπορεί να επιλέξει να χρησιμοποιεί απλό HTTP αντί για HTTPS, στοιχηματίζοντας ότι οι περισσότεροι χρήστες δεν θα παρατηρούσαν τη διαφορά και θα εισήγαγαν ούτως ή άλλως τις πληροφορίες τους για διαδικτυακές τραπεζικές συναλλαγές.
Η τράπεζά σας δεν έχει κανένα τρόπο να πει "Αυτές είναι οι νόμιμες διευθύνσεις IP για τον ιστότοπό μας."
Πώς θα βοηθήσει το DNSSEC
Μια αναζήτηση DNS συμβαίνει πραγματικά σε διάφορα στάδια. Για παράδειγμα, όταν ο υπολογιστής σας ζητά www.howtogeek.com, ο υπολογιστής σας εκτελεί αυτήν την αναζήτηση σε διάφορα στάδια:
- Ρωτάει πρώτα τον "κατάλογο ρίζας ζώνης" πού μπορεί να βρει .με .
- Στη συνέχεια ρωτά τον κατάλογο .com πού μπορεί να βρει ηοωτογεεκ.κομ .
- Στη συνέχεια, ρωτάει πώς μπορεί να βρει ωωω.ηοωτογεεκ.κομ .
Το DNSSEC περιλαμβάνει "υπογραφή της ρίζας". Όταν ο υπολογιστής σας πηγαίνει να ρωτήσει τη ρίζα ζώνη πού μπορεί να βρει .com, θα μπορεί να ελέγξει το κλειδί υπογραφής της ρίζας ζώνης και να επιβεβαιώσει ότι είναι η νόμιμη ζώνη ρίζας με αληθινές πληροφορίες. Στη συνέχεια, η ριζική ζώνη θα παρέχει πληροφορίες σχετικά με το κλειδί υπογραφής ή το .com και τη θέση του, επιτρέποντας στον υπολογιστή σας να επικοινωνήσει με τον κατάλογο .com και να διασφαλίσει ότι είναι νόμιμο. Ο κατάλογος .com θα παρέχει το κλειδί υπογραφής και πληροφορίες για το howtogeek.com, επιτρέποντάς του να επικοινωνήσει με το howtogeek.com και να επαληθεύσει ότι είστε συνδεδεμένοι στο πραγματικό howtogeek.com, όπως επιβεβαιώνεται από τις ζώνες που βρίσκονται πάνω του.
Όταν το DNSSEC είναι πλήρως διαθέσιμο, ο υπολογιστής σας θα μπορεί να επιβεβαιώσει ότι οι αποκρίσεις DNS είναι νόμιμες και αληθείς, ενώ προς το παρόν δεν έχει κανέναν τρόπο να γνωρίζει ποιες είναι ψεύτικες και ποιες είναι πραγματικές.
Διαβάστε περισσότερα για πώς λειτουργεί η κρυπτογράφηση εδώ.
Τι θα έκανε η SOPA
Πώς λοιπόν το Stop Online Piracy Act, γνωστότερο ως SOPA, έπαιξε σε όλα αυτά; Λοιπόν, αν ακολουθήσατε το SOPA, συνειδητοποιείτε ότι γράφτηκε από άτομα που δεν καταλάβαιναν το Διαδίκτυο, οπότε θα «σπάσει το Διαδίκτυο» με διάφορους τρόπους. Αυτό είναι ένα από αυτά.
Να θυμάστε ότι το DNSSEC επιτρέπει στους κατόχους ονομάτων τομέα να υπογράφουν τις εγγραφές DNS τους. Έτσι, για παράδειγμα, το thepiratebay.se μπορεί να χρησιμοποιήσει το DNSSEC για να καθορίσει τις διευθύνσεις IP με τις οποίες σχετίζεται. Όταν ο υπολογιστής σας εκτελεί αναζήτηση DNS - είτε πρόκειται για google.com ή thepiratebay.se - το DNSSEC θα επιτρέπει στον υπολογιστή να προσδιορίσει ότι λαμβάνει τη σωστή απόκριση όπως επικυρώνεται από τους κατόχους του ονόματος τομέα. Το DNSSEC είναι απλώς ένα πρωτόκολλο. δεν προσπαθεί να κάνει διάκριση μεταξύ «καλών» και «κακών» ιστότοπων.
Η SOPA θα απαιτούσε από τους παρόχους υπηρεσιών Διαδικτύου να ανακατευθύνουν τις αναζητήσεις DNS για «κακούς» ιστότοπους. Για παράδειγμα, εάν οι συνδρομητές ενός παρόχου υπηρεσιών διαδικτύου προσπάθησαν να αποκτήσουν πρόσβαση στο thepiratebay.se, οι διακομιστές DNS του ISP θα επέστρεφαν τη διεύθυνση ενός άλλου ιστότοπου, ο οποίος θα τους ενημέρωνε ότι το Pirate Bay είχε αποκλειστεί.
Με το DNSSEC, μια τέτοια ανακατεύθυνση δεν θα μπορούσε να διακριθεί από μια επίθεση man-in-the-middle, την οποία σχεδιάστηκε για να αποτρέψει το DNSSEC. Οι ISP που αναπτύσσουν DNSSEC θα πρέπει να απαντήσουν με την πραγματική διεύθυνση του Pirate Bay, και έτσι θα παραβίαζαν το SOPA. Για να φιλοξενήσει το SOPA, το DNSSEC θα έπρεπε να έχει μια μεγάλη τρύπα, κάτι που θα επέτρεπε στους παρόχους υπηρεσιών Διαδικτύου και τις κυβερνήσεις να ανακατευθύνουν τα αιτήματα DNS ονόματος τομέα χωρίς την άδεια των κατόχων του ονόματος τομέα. Αυτό θα ήταν δύσκολο (αν όχι αδύνατο) να γίνει με ασφαλή τρόπο, πιθανόν να ανοίξει νέες τρύπες ασφαλείας για τους επιτιθέμενους.
Ευτυχώς, το SOPA είναι νεκρό και ελπίζουμε ότι δεν θα επιστρέψει. Το DNSSEC βρίσκεται σε εξέλιξη, παρέχοντας μια καθυστερημένη επιδιόρθωση για αυτό το πρόβλημα.
Πιστωτική εικόνα: Khairil Yusof , Jemimus στο Flickr , Ο David Holmes στο Flickr
