Alan Adı Sistem Güvenlik Uzantıları (DNSSEC), İnternet'in zayıf noktalarından birinin düzeltilmesine yardımcı olacak bir güvenlik teknolojisidir. SOPA'nın geçemediği için şanslıyız çünkü SOPA DNSSEC'i yasa dışı hale getirebilirdi.
DNSSEC, İnternet'in gerçekte olmadığı bir yere kritik güvenlik ekler. Alan adı sistemi (DNS) iyi çalışıyor, ancak sürecin herhangi bir noktasında doğrulama yapılmadığından saldırganlar için boşluklar açık kalıyor.
Mevcut Durum
We’ve DNS'nin nasıl çalıştığını açıkladı geçmişte. Özetle, "google.com" veya "howtogeek.com" gibi bir alan adına her bağlandığınızda, bilgisayarınız DNS sunucusuyla bağlantı kurar ve bu alan adı için ilişkili IP adresini arar. Bilgisayarınız daha sonra bu IP adresine bağlanır.
Önemli olarak, DNS aramasında herhangi bir doğrulama işlemi yoktur. Bilgisayarınız, DNS sunucusundan bir web sitesiyle ilişkili adresi ister, DNS sunucusu bir IP adresiyle yanıt verir ve bilgisayarınız "tamam!" ve mutlu bir şekilde bu web sitesine bağlanır. Bilgisayarınız bunun geçerli bir yanıt olup olmadığını kontrol etmek için durmuyor.
Saldırganların bu DNS isteklerini yeniden yönlendirmesi veya kötü yanıtlar döndürmek üzere tasarlanmış kötü amaçlı DNS sunucuları kurması mümkündür. Örneğin, halka açık bir Wi-Fi ağına bağlıysanız ve howtogeek.com'a bağlanmaya çalışırsanız, o genel Wi-Fi ağındaki kötü niyetli bir DNS sunucusu tamamen farklı bir IP adresi döndürebilir. IP adresi sizi bir e-dolandırıcılık İnternet sitesi. Web tarayıcınızın bir IP adresinin howtogeek.com ile ilişkili olup olmadığını kontrol etmenin gerçek bir yolu yoktur; DNS sunucusundan aldığı yanıta güvenmesi yeterlidir.
HTTPS şifrelemesi bir miktar doğrulama sağlar. Örneğin, bankanızın web sitesine bağlanmayı denediğinizi ve adres çubuğunuzda HTTPS ve kilit simgesini görüyorsunuz . Bir sertifika yetkilisinin web sitesinin bankanıza ait olduğunu doğruladığını biliyorsunuz.
Bankanızın web sitesine güvenliği ihlal edilmiş bir erişim noktasından eriştiyseniz ve DNS sunucusu sahtekar bir kimlik avı sitesinin adresini döndürdüyse, kimlik avı sitesi bu HTTPS şifrelemesini görüntüleyemezdi. Ancak, kimlik avı sitesi HTTPS yerine düz HTTP kullanmayı tercih edebilir, bu da çoğu kullanıcının farkı fark etmeyeceğini ve çevrimiçi bankacılık bilgilerini yine de gireceğini iddia edebilir.
Bankanızın "Bunlar web sitemiz için geçerli IP adresleridir" demenin bir yolu yoktur.
DNSSEC Nasıl Yardımcı Olacak
Bir DNS araması aslında birkaç aşamada gerçekleşir. Örneğin, bilgisayarınız www.howtogeek.com'u istediğinde, bilgisayarınız bu aramayı birkaç aşamada gerçekleştirir:
- Önce bulabileceği "kök bölge dizini" ni sorar .ile .
- Daha sonra bulabileceği .com dizinini sorar. howtogeek.com .
- Daha sonra howtogeek.com'a nerede bulabileceğini sorar www.howtogeek.com .
DNSSEC, "kökü imzalamayı" içerir. Bilgisayarınız kök bölgesine .com'u nerede bulabileceğini sormaya gittiğinde, kök bölgenin imzalama anahtarını kontrol edebilir ve bunun gerçek bilgilerle meşru kök bölgesi olduğunu onaylayabilir. Kök bölge daha sonra imzalama anahtarı veya .com ve konumu hakkında bilgi sağlayarak, bilgisayarınızın .com diziniyle iletişim kurmasına ve bunun meşru olmasını sağlamasına olanak tanır. .Com dizini, howtogeek.com için imzalama anahtarını ve bilgilerini sağlayarak, howtogeek.com ile iletişime geçmesine ve üstündeki bölgeler tarafından onaylandığı gibi gerçek howtogeek.com'a bağlı olduğunuzu doğrulamasına izin verecektir.
DNSSEC tam olarak kullanıma sunulduğunda, bilgisayarınız DNS yanıtlarının yasal ve doğru olduğunu onaylayabilecektir, oysa şu anda hangilerinin sahte hangilerinin gerçek olduğunu bilmesinin bir yolu yoktur.
Hakkında daha fazlasını okuyun şifreleme nasıl çalışır buraya.
SOPA Ne Yapardı?
Peki, daha çok SOPA olarak bilinen Çevrimiçi Korsanlığı Durdurma Yasası tüm bunlara nasıl etki etti? Peki, SOPA'yı takip ettiyseniz, bunun İnternet'i anlamayan insanlar tarafından yazıldığını, bu yüzden çeşitli şekillerde "İnternet'i bozacağını" anlarsınız. Bu onlardan biri.
DNSSEC'in alan adı sahiplerinin DNS kayıtlarını imzalamasına izin verdiğini unutmayın. Dolayısıyla, örneğin, thepiratebay.se ilişkili olduğu IP adreslerini belirtmek için DNSSEC kullanabilir. Bilgisayarınız bir DNS araması gerçekleştirdiğinde - ister google.com ister thepiratebay.se için olsun - DNSSEC, bilgisayarın alan adı sahipleri tarafından doğrulanan doğru yanıtı aldığını belirlemesine izin verir. DNSSEC yalnızca bir protokoldür; "iyi" ve "kötü" web siteleri arasında ayrım yapmaya çalışmaz.
SOPA, İnternet servis sağlayıcılarının "kötü" web siteleri için DNS aramalarını yeniden yönlendirmesini gerektirecekti. Örneğin, bir İnternet servis sağlayıcısının aboneleri piratebay.se'ye erişmeye çalıştığında, ISS'nin DNS sunucuları başka bir web sitesinin adresini döndürecek ve bu da onlara Pirate Bay'in engellendiğini bildirecektir.
DNSSEC ile böyle bir yeniden yönlendirme, DNSSEC'nin önlemek için tasarlandığı ortadaki adam saldırısından ayırt edilemez. DNSSEC kullanan ISP'ler, Pirate Bay'in gerçek adresiyle yanıt vermek zorunda kalacak ve bu nedenle SOPA'yı ihlal ediyor olacaktı. SOPA'yı barındırmak için, DNSSEC'in İnternet servis sağlayıcılarının ve hükümetlerin alan adı sahiplerinin izni olmadan alan adı DNS isteklerini yeniden yönlendirmesine olanak tanıyan büyük bir açıklığa sahip olması gerekir. Bunu güvenli bir şekilde yapmak (imkansız değilse) zor olacaktır, muhtemelen saldırganlar için yeni güvenlik açıkları açacaktır.
Neyse ki, SOPA öldü ve umarım geri gelmez. DNSSEC şu anda dağıtılıyor ve bu sorun için gecikmiş bir düzeltme sağlıyor.
Resim Kredisi: Khairil Yusof , Flickr'da Jemimus , Flickr için David Holmes
