Розширення безпеки системи доменних імен (DNSSEC) - це технологія безпеки, яка допоможе виправити одне зі слабких сторін Інтернету. Нам пощастило, що SOPA не пройшов, оскільки SOPA зробив би DNSSEC незаконним.
DNSSEC додає критичну безпеку до місця, де Інтернет насправді не має такого. Система доменних імен (DNS) працює добре, але жодної перевірки в будь-який момент процесу немає, що залишає відкриті діри для зловмисників.
Сучасний стан справ
Ми вже пояснив, як працює DNS в минулому. У двох словах, щоразу, коли ви підключаєтесь до доменного імені, такого як "google.com" або "howtogeek.com", ваш комп'ютер зв'язується зі своїм DNS-сервером і шукає відповідну IP-адресу для цього доменного імені. Потім ваш комп’ютер підключається до цієї IP-адреси.
Важливо те, що при пошуку DNS не відбувається жодного процесу перевірки. Ваш комп’ютер запитує у свого DNS-сервера адресу, пов’язану з веб-сайтом, DNS-сервер відповідає IP-адресою, а комп’ютер каже „добре!“ і з радістю підключається до цього веб-сайту. Ваш комп’ютер не зупиняється, щоб перевірити, чи це правильна відповідь.
Зловмисники можуть перенаправляти ці запити DNS або встановлювати шкідливі сервери DNS, призначені для повернення поганих відповідей. Наприклад, якщо ви підключені до загальнодоступної мережі Wi-Fi і намагаєтесь підключитися до howtogeek.com, шкідливий DNS-сервер у цій загальнодоступній мережі Wi-Fi може повністю повернути іншу IP-адресу. IP-адреса може привести вас до фішинг веб-сайт. Ваш веб-браузер не має реального способу перевірити, чи насправді IP-адреса пов’язана з howtogeek.com; йому просто потрібно довіряти відповіді, яку він отримує від DNS-сервера.
Шифрування HTTPS дійсно забезпечує певну перевірку. Наприклад, скажімо, ви намагаєтесь підключитися до веб-сайту свого банку та ви бачите HTTPS і піктограму замка в адресному рядку . Ви знаєте, що орган сертифікації підтвердив належність веб-сайту вашому банку.
Якщо ви зайшли на веб-сайт свого банку зі скомпрометованої точки доступу, а DNS-сервер повернув адресу фішингового сайту-самозванця, фішинговий сайт не зможе відобразити це шифрування HTTPS. Однак фішинговий сайт може використовувати звичайний HTTP замість HTTPS, роблячи ставку на те, що більшість користувачів не помітять різниці і все одно вводять інформацію про свої Інтернет-банкінг.
Ваш банк не може сказати: "Це законні IP-адреси для нашого веб-сайту".
Як допоможе DNSSEC
Пошук DNS насправді відбувається в кілька етапів. Наприклад, коли ваш комп’ютер запитує www.howtogeek.com, він виконує цей пошук у кілька етапів:
- Спочатку він запитує “каталог кореневої зони”, де його можна знайти .з .
- Потім він запитує каталог .com, де його можна знайти howtogeek.com .
- Потім він запитує howtogeek.com, де його можна знайти www.howtogeek.com .
DNSSEC передбачає "підписання кореневого коду". Коли ваш комп’ютер звернеться до кореневої зони із запитом, де він може знайти .com, він зможе перевірити ключ підписання кореневої зони та підтвердити, що це справжня коренева зона з правдивою інформацією. Потім коренева зона надасть інформацію про ключ підписання або .com та його місцезнаходження, що дозволить вашому комп’ютеру зв’язатись із каталогом .com та переконатися, що це є законним. Каталог .com надасть ключ підписання та інформацію для howtogeek.com, що дозволить йому зв’язатися з howtogeek.com та підтвердити, що ви підключені до справжнього howtogeek.com, що підтверджено зонами над ним.
Коли DNSSEC буде повністю розгорнуто, ваш комп’ютер зможе підтвердити, що відповіді DNS є законними та вірними, тоді як він наразі не може знати, які з них є фальшивими, а які реальними.
Докладніше про як працює шифрування тут.
Що б робив SOPA
Тож як на все це вплинув Закон «Про зупинку піратства в Інтернеті», більш відомий як SOPA? Що ж, якщо ви стежили за SOPA, ви розумієте, що її написали люди, які не розуміли Інтернет, тож вона «поламає Інтернет» різними способами. Це одна з них.
Пам'ятайте, що DNSSEC дозволяє власникам доменних імен підписувати свої записи DNS. Так, наприклад, thepiratebay.se може використовувати DNSSEC для вказівки IP-адрес, з якими він пов’язаний. Коли ваш комп’ютер виконує пошук DNS - будь то для google.com або thepiratebay.se - DNSSEC дозволить комп’ютеру визначити, що він отримує правильну відповідь, підтверджену власниками доменного імені. DNSSEC - це лише протокол; він не намагається розрізняти "добрі" та "погані" веб-сайти.
SOPA вимагав би від Інтернет-провайдерів перенаправлення пошуку DNS для "поганих" веб-сайтів. Наприклад, якщо абоненти постачальника послуг Інтернету намагаються отримати доступ до thepiratebay.se, DNS-сервери провайдера повернуть адресу іншого веб-сайту, який повідомить їх про те, що Pirate Bay заблоковано.
За допомогою DNSSEC таке перенаправлення неможливо відрізнити від атаки "посеред посередника", яку DNSSEC розроблено для запобігання. Інтернет-провайдери, що розгортають DNSSEC, повинні відповісти фактичною адресою Піратської затоки, що, таким чином, порушить SOPA. Для розміщення SOPA DNSSEC довелося б прорізати великий отвір, який дозволив би провайдерам Інтернету та урядам перенаправляти запити DNS доменних імен без дозволу власників доменного імені. Це було б важко (а то й неможливо) зробити безпечним способом, імовірно, відкривши нові діри в безпеці для зловмисників.
На щастя, SOPA мертвий, і, сподіваємось, він не повернеться. Наразі розгортається DNSSEC, який давно вирішив цю проблему.
Кредит зображення: Хайріл Юсоф , Джемімус на Flickr , Девід Холмс на Flickr
