डोमेन नाम सिस्टम सुरक्षा एक्सटेंशन (DNSSEC) एक सुरक्षा तकनीक है जो इंटरनेट के कमजोर बिंदुओं में से एक को पैच करने में मदद करेगी। हम भाग्यशाली SOPA पास नहीं हैं, क्योंकि SOPA ने DNSSEC को अवैध बना दिया होगा।
DNSSEC उस जगह पर महत्वपूर्ण सुरक्षा जोड़ता है जहां इंटरनेट वास्तव में कोई भी नहीं है। डोमेन नाम प्रणाली (DNS) अच्छी तरह से काम करती है, लेकिन इस प्रक्रिया में किसी भी बिंदु पर कोई सत्यापन नहीं है, जो हमलावरों के लिए खुले छेद छोड़ देता है।
मामलों की वर्तमान स्थिति
हमने डीएनएस कैसे काम करता है समझाया भूतकाल में। संक्षेप में, जब भी आप "google.com" या "howtogeek.com" जैसे डोमेन नाम से जुड़ते हैं, तो आपका कंप्यूटर अपने DNS सर्वर से संपर्क करता है और उस डोमेन नाम के लिए संबद्ध आईपी पते को देखता है। आपका कंप्यूटर तब उस आईपी पते से जुड़ता है।
महत्वपूर्ण रूप से, DNS लुकअप में कोई सत्यापन प्रक्रिया शामिल नहीं है। आपका कंप्यूटर एक वेबसाइट से जुड़े पते के लिए अपने DNS सर्वर से पूछता है, DNS सर्वर एक आईपी पते के साथ प्रतिक्रिया करता है, और आपका कंप्यूटर कहता है "ठीक है!" और खुशी से उस वेबसाइट से जुड़ जाता है। आपका कंप्यूटर यह जांचने के लिए बंद नहीं होता है कि वैध प्रतिक्रिया है या नहीं।
हमलावरों के लिए इन DNS अनुरोधों को पुनर्निर्देशित करना या खराब प्रतिक्रिया देने के लिए डिज़ाइन किए गए दुर्भावनापूर्ण DNS सर्वर सेट करना संभव है। उदाहरण के लिए, यदि आप एक सार्वजनिक वाई-फाई नेटवर्क से जुड़े हैं और आप उस सार्वजनिक वाई-फाई नेटवर्क के एक दुर्भावनापूर्ण DNS सर्वर, howtogeek.com से कनेक्ट करने का प्रयास करते हैं, तो वह पूरी तरह से एक अलग IP पता लौटा सकता है। IP पता आपको एक तक ले जा सकता है फ़िशिंग वेबसाइट। आपके वेब ब्राउज़र के पास यह जांचने का कोई वास्तविक तरीका नहीं है कि आईपी एड्रेस वास्तव में howtogeek.com से जुड़ा है या नहीं; यह सिर्फ DNS सर्वर से प्राप्त प्रतिक्रिया पर भरोसा करना है।
HTTPS एन्क्रिप्शन कुछ सत्यापन प्रदान करता है। उदाहरण के लिए, मान लें कि आप अपने बैंक की वेबसाइट से जुड़ने का प्रयास करते हैं और आप अपने एड्रेस बार में HTTPS और लॉक आइकन देखते हैं । आप जानते हैं कि एक प्रमाणीकरण प्राधिकरण ने सत्यापित किया है कि वेबसाइट आपके बैंक की है।
यदि आपने अपनी बैंक की वेबसाइट को एक एक्सेस किए गए एक्सेस पॉइंट से एक्सेस किया है और DNS सर्वर ने एक इंफ़ॉर्मिंग फ़िशिंग साइट का पता दिया है, तो फ़िशिंग साइट उस HTTPS एन्क्रिप्शन को प्रदर्शित नहीं कर पाएगी। हालांकि, फ़िशिंग साइट HTTPS के बजाय सादे HTTP का उपयोग करने का विकल्प चुन सकती है, यह शर्त लगाते हुए कि अधिकांश उपयोगकर्ता अंतर नहीं देखेंगे और वैसे भी उनकी ऑनलाइन-बैंकिंग जानकारी दर्ज करेंगे।
आपके बैंक के पास यह कहने का कोई तरीका नहीं है कि "ये हमारी वेबसाइट के लिए वैध आईपी पते हैं।"
DNSSEC कैसे मदद करेगा
एक DNS लुकअप वास्तव में कई चरणों में होता है। उदाहरण के लिए, जब आपका कंप्यूटर www.howtogeek.com से पूछता है, तो आपका कंप्यूटर कई चरणों में यह लुकअप करता है:
- यह पहले "रूट ज़ोन डायरेक्टरी" पूछता है जहाँ यह मिल सकती है ।साथ में .
- यह तब .com निर्देशिका से पूछता है कि यह कहां मिल सकती है होतोगीक.कॉम .
- इसके बाद यह howtogeek.com से पूछता है कि यह कहां मिल सकता है ववव.होतोगीक.कॉम .
DNSSEC में "रूट पर हस्ताक्षर करना" शामिल है। जब आपका कंप्यूटर रूट ज़ोन से पूछ सकता है कि वह कहां मिल सकता है .com, यह रूट ज़ोन की साइनिंग कुंजी की जांच करने में सक्षम होगा और यह पुष्टि करेगा कि यह सच्ची जानकारी के साथ वैध रूट ज़ोन है। रूट ज़ोन तब साइनिंग कुंजी या .com और उसके स्थान के बारे में जानकारी प्रदान करेगा, जिससे आपका कंप्यूटर .com निर्देशिका से संपर्क कर सके और उसे वैध बना सके। .Com निर्देशिका howtogeek.com के लिए हस्ताक्षर करने की कुंजी और जानकारी प्रदान करेगी, यह howtogeek.com से संपर्क करने और यह सत्यापित करने की अनुमति देता है कि आप असली howtogeek.com से जुड़े हैं, जैसा कि इसके ऊपर के ज़ोन द्वारा पुष्टि की गई है।
जब DNSSEC पूरी तरह से लुढ़का हुआ है, तो आपका कंप्यूटर पुष्टि कर सकता है कि DNS प्रतिक्रियाएँ वैध और सत्य हैं, जबकि वर्तमान में यह जानने का कोई तरीका नहीं है कि कौन से नकली हैं और कौन से असली हैं।
पर और अधिक पढ़ें एन्क्रिप्शन कैसे काम करता है यहाँ।
सोपा ने क्या किया होगा
तो कैसे रोक ऑनलाइन चोरी अधिनियम, SOPA के रूप में बेहतर जाना जाता है, इस सब में खेलते हैं? यदि आप सोपा का अनुसरण करते हैं, तो आपको पता चलता है कि यह उन लोगों द्वारा लिखा गया था, जो इंटरनेट को नहीं समझते हैं, इसलिए यह विभिन्न तरीकों से "इंटरनेट को तोड़ देगा"। यह उनमें से एक है।
याद रखें कि DNSSEC डोमेन नाम मालिकों को अपने DNS रिकॉर्ड पर हस्ताक्षर करने की अनुमति देता है। इसलिए, उदाहरण के लिए, thepiratebay.se DNSSEC का उपयोग आईपी पते के साथ जुड़े को निर्दिष्ट करने के लिए कर सकता है। जब आप कंप्यूटर DNS लुकअप करते हैं - चाहे वह google.com के लिए हो या thepiratebay.se - DNSSEC हो, तो यह निर्धारित करने के लिए कि डोमेन नाम के मालिकों द्वारा मान्य की गई सही प्रतिक्रिया प्राप्त करने के लिए डीएनएसएसईसी कंप्यूटर को अनुमति देगा। DNSSEC सिर्फ एक प्रोटोकॉल है; यह "अच्छी" और "खराब" वेबसाइटों के बीच भेदभाव करने की कोशिश नहीं करता है।
SOPA को "खराब" वेबसाइटों के लिए DNS लुकअप को पुनर्निर्देशित करने के लिए इंटरनेट सेवा प्रदाताओं की आवश्यकता होगी। उदाहरण के लिए, यदि इंटरनेट सेवा प्रदाता के ग्राहकों ने thepiratebay.se का उपयोग करने का प्रयास किया, तो ISP के DNS सर्वर दूसरी वेबसाइट का पता वापस कर देंगे, जो उन्हें सूचित करेगा कि समुद्री डाकू बे को अवरुद्ध कर दिया गया था।
DNSSEC के साथ, इस तरह के पुनर्निर्देशन एक मानव-मध्य हमले से अप्रभेद्य होगा, जिसे रोकने के लिए DNSSEC को डिज़ाइन किया गया था। DNSSEC की तैनाती करने वाले ISPs को समुद्री डाकू खाड़ी के वास्तविक पते के साथ जवाब देना होगा, और इस प्रकार SOPA का उल्लंघन होगा। SOPA को समायोजित करने के लिए, DNSSEC को इसमें एक बड़ा छेद काटना होगा, एक जो इंटरनेट सेवा प्रदाताओं और सरकारों को डोमेन नाम के मालिकों की अनुमति के बिना डोमेन नाम DNS अनुरोधों को पुनर्निर्देशित करने की अनुमति देगा। यह मुश्किल (यदि असंभव नहीं है) एक सुरक्षित तरीके से करना संभव है, हमलावरों के लिए नए सुरक्षा छेद खोलने की संभावना है।
सौभाग्य से, SOPA मर चुका है और उम्मीद है कि यह वापस नहीं आएगा। DNSSEC वर्तमान में तैनात किया जा रहा है, इस समस्या के लिए एक लंबे समय से अतिदेय फिक्स प्रदान करता है।
छवि क्रेडिट: खैरिल यूसुफ , फ़्लिकर पर जेमिमस , फ़्लिकर पर डेविड होम्स
