הרחבות אבטחת מערכת שם דומיין (DNSSEC) היא טכנולוגיית אבטחה שתסייע בתיקון אחת מנקודות התורפה של האינטרנט. יש לנו מזל ש- SOPA לא עבר, כי SOPA היה הופך את DNSSEC לבלתי חוקי.
DNSSEC מוסיף אבטחה קריטית למקום בו אין באמת אינטרנט. מערכת שמות הדומיינים (DNS) עובדת היטב, אך אין אימות בשום שלב בתהליך, מה שמשאיר חורים פתוחים לתוקפים.
מצב העניינים הנוכחי
אנחנו כבר הסביר כיצד פועל DNS בעבר. בקצרה, בכל פעם שאתה מתחבר לשם דומיין כמו "google.com" או "howtogeek.com", המחשב שלך יוצר קשר עם שרת ה- DNS שלו ומחפש את כתובת ה- IP המשויכת לשם הדומיין הזה. המחשב שלך מתחבר לכתובת ה- IP הזו.
חשוב לציין כי אין בדיקת DNS מעורבת בתהליך אימות. המחשב שלך מבקש משרת ה- DNS שלו את הכתובת המשויכת לאתר, שרת ה- DNS מגיב עם כתובת IP והמחשב שלך אומר "בסדר!" ומתחבר בשמחה לאתר זה. המחשב שלך לא עוצר כדי לבדוק אם זו תגובה תקפה.
תוקפים יכולים להפנות מחדש את בקשות ה- DNS האלה או להגדיר שרתי DNS זדוניים שנועדו להחזיר תגובות גרועות. לדוגמה, אם אתה מחובר לרשת Wi-Fi ציבורית ואתה מנסה להתחבר ל- howtogeek.com, שרת DNS זדוני באותה רשת Wi-Fi ציבורית יכול להחזיר כתובת IP אחרת לחלוטין. כתובת ה- IP עשויה להוביל אותך אל פישינג אתר אינטרנט. לדפדפן האינטרנט שלך אין דרך אמיתית לבדוק אם כתובת IP קשורה למעשה ל- howtogeek.com; זה רק צריך לסמוך על התגובה שהוא מקבל משרת ה- DNS.
הצפנת HTTPS אכן מספקת אימות מסוים. לדוגמה, נניח שאתה מנסה להתחבר לאתר הבנק שלך אתה רואה HTTPS ואת סמל הנעילה בשורת הכתובת שלך . אתה יודע שרשות הסמכה אימתה כי אתר זה שייך לבנק שלך.
אם נכנסת לאתר הבנק שלך מנקודת גישה שנפרצה ושרת ה- DNS החזיר את כתובת אתר התחזות מתחזה, אתר הדיוג לא יוכל להציג את ההצפנה HTTPS. עם זאת, אתר הדיוג עשוי לבחור להשתמש ב- HTTP רגיל במקום ב- HTTPS, בהימור שרוב המשתמשים לא יבחינו בהבדל ויכניסו את המידע הבנקאי המקוון שלהם בכל מקרה.
לבנק שלך אין שום דרך לומר "אלה כתובות ה- IP הלגיטימיות לאתר שלנו."
כיצד DNSSEC יעזור
בדיקת DNS מתרחשת למעשה בכמה שלבים. לדוגמה, כאשר המחשב שלך מבקש את www.howtogeek.com, המחשב מבצע בדיקה זו בכמה שלבים:
- תחילה הוא שואל את "ספריית אזור השורש" היכן הוא יכול למצוא .עם .
- לאחר מכן היא שואלת את ספריית .com היכן היא יכולה למצוא howtogeek.com .
- לאחר מכן הוא שואל howtogeek.com היכן הוא יכול למצוא www.howtogeek.com .
DNSSEC כולל "חתימת השורש". כאשר המחשב שלך ישאל את אזור השורש היכן הוא יכול למצוא את .com, הוא יוכל לבדוק את מפתח החתימה של אזור השורש ולאשר שהוא אזור השורש הלגיטימי עם מידע אמיתי. אזור השורש יספק מידע על מפתח החתימה או .com ומיקומו, מה שמאפשר למחשב שלך ליצור קשר עם ספריית .com ולהבטיח שהוא לגיטימי. מדריך ה- .com יספק את מפתח החתימה ומידע עבור howtogeek.com, ומאפשר לו ליצור קשר עם howtogeek.com ולוודא שאתה מחובר ל- howtogeek.com האמיתי, כפי שאושר על ידי האזורים שמעליו.
כאשר ה- DNSSEC מתגלגל במלואו, המחשב שלך יוכל לאשר שתגובות ה- DNS הן לגיטימיות ונכונות, ואילו כרגע אין דרך לדעת אילו מהן מזויפות ואילו מהן אמיתיות.
קרא עוד אודות איך ההצפנה עובדת כאן.
מה הייתה SOPA עושה
אז איך שיחק חוק הפיראטיות המקוון, הידוע יותר בשם SOPA, לכל זה? ובכן, אם עקבת אחר SOPA, אתה מבין שהיא נכתבה על ידי אנשים שלא הבינו את האינטרנט, ולכן זה "ישבור את האינטרנט" בדרכים שונות. זה אחד מהם.
זכור כי DNSSEC מאפשר לבעלי שמות דומיינים לחתום על רשומות ה- DNS שלהם. כך, למשל, thepiratebay.se יכול להשתמש ב- DNSSEC כדי לציין את כתובות ה- IP שאליהן הוא משויך. כאשר המחשב מבצע בדיקת DNS - בין אם זה עבור google.com או thepiratebay.se - DNSSEC יאפשר למחשב לקבוע שהוא מקבל את התשובה הנכונה כפי שאומתה על ידי בעלי שם התחום. DNSSEC הוא רק פרוטוקול; זה לא מנסה להבחין בין אתרים "טובים" לבין "רעים".
SOPA היה דורש מספקי שירותי האינטרנט להפנות חיפושי DNS לאתרים "רעים". לדוגמא, אם מנויי ספק שירותי האינטרנט ינסו לגשת ל- thepiratebay.se, שרתי ה- DNS של ספק שירותי האינטרנט היו מחזירים את כתובתם של אתר אחר, שיודיע להם כי מפרץ פיראט נחסם.
עם DNSSEC, ניתן יהיה להבחין בניתוב כזה מחדש מהתקפה של איש באמצע, ש- DNSSEC נועד למנוע. ספקי שירותי אינטרנט הפורסים DNSSEC יצטרכו להגיב עם הכתובת האמיתית של מפרץ פיראטים, ובכך יפרו את SOPA. כדי להתאים ל- SOPA, DNSSEC יצטרך לחתוך בו חור גדול, כזה שיאפשר לספקי שירותי אינטרנט וממשלות להפנות מחדש בקשות DNS לשם דומיין ללא אישור בעלי שם הדומיין. זה יהיה קשה (אם לא בלתי אפשרי) לעשות זאת בצורה מאובטחת, ככל הנראה פתיחת חורי אבטחה חדשים לתוקפים.
למרבה המזל, SOPA מתה והיא מקווה שלא תחזור. DNSSEC נפרס כעת, ומספק תיקון מזמן לבעיה זו.
אשראי תמונה: ח'יריל יוסוף , ג'מימוס בפליקר , דייוויד הולמס בפליקר
