Як DNSSEC допоможе забезпечити безпеку Інтернету та як SOPA майже зробив це незаконним
Додаткові системи безпеки доменних імен (DNSSEC) - це технологія безпеки, яка допоможе заповнити одну з слабких місць Інтернету. Нам пощастило, SOPA не пройшла, тому що SOPA зробив би DNSSEC незаконним.
DNSSEC додає критичної безпеки до місця, де в Інтернеті насправді немає. Система доменних імен (DNS) працює добре, але в будь-який момент процесу не існує жодної перевірки, яка залишає отвори для зловмисників.
Сучасний стан справ
Ми пояснили, як DNS працює в минулому. У двох словах, коли ви підключаєтеся до доменного імені, наприклад, "google.com" або "howtogeek.com", ваш комп'ютер зв'язується зі своїм DNS-сервером і шукає відповідну IP-адресу для цього доменного імені. Після цього комп'ютер з'єднається з цією IP-адресою.
Важливо відзначити, що в процесі пошуку DNS немає процесу верифікації. Комп'ютер запитує DNS-сервер за адресою, пов'язаною з веб-сайтом, DNS-сервер відповідає IP-адресою, а комп'ютер каже: «Добре!» І з радістю підключається до цього веб-сайту. Ваш комп'ютер не зупиняється, щоб перевірити, чи це правильний відповідь.
Можливо, зловмисники можуть перенаправити ці DNS-запити або налаштувати зловмисні DNS-сервери, призначені для повернення поганих відповідей. Наприклад, якщо ви під’єднані до загальнодоступної мережі Wi-Fi і намагаєтеся підключитися до howtogeek.com, зловмисний сервер DNS на цій загальнодоступній мережі Wi-Fi може повністю повернути іншу IP-адресу. IP-адреса може привести вас до фішингового веб-сайту. Ваш веб-браузер не має реального способу перевірити, чи дійсно IP-адреса пов'язана з howtogeek.com; він просто повинен довіряти відповіді, яку він отримує від DNS-сервера.
Шифрування HTTPS забезпечує певну перевірку. Наприклад, скажімо, ви намагаєтеся підключитися до веб-сайту банку, і ви побачите HTTPS і значок блокування в адресному рядку. Ви знаєте, що сертифікаційний орган підтвердив, що веб-сайт належить вашому банку.
Якщо ви отримали доступ до веб-сайту вашого банку з порушеної точки доступу, а DNS-сервер повернув адресу сайту-фішингу, який фігрує, фішинговий сайт не зможе відобразити це шифрування HTTPS. Однак фішинговий сайт може використовувати звичайний HTTP замість HTTPS, роблячи ставку, що більшість користувачів не помітять різниці та все одно вводять свою інформацію онлайн-банкінгу..
У вашому банку немає жодного способу сказати: "Це легітимні IP-адреси нашого веб-сайту".
Як DNSSEC допоможе
Пошук DNS відбувається в кілька етапів. Наприклад, коли комп'ютер запитує www.howtogeek.com, ваш комп'ютер виконує цей пошук у кілька етапів:
- Вона спочатку запитує "каталог кореневої зони", де він може знайти .com.
- Потім він запитує довідник .com, де його можна знайти howtogeek.com.
- Потім він запитує howtogeek.com, де він може знайти www.howtogeek.com.
DNSSEC передбачає «підписання кореня». Коли ваш комп'ютер запитує кореневу зону, де він може знайти .com, він зможе перевірити ключ підпису кореневої зони і підтвердити, що він є законною кореневою зоною з істинною інформацією. Після цього коренева зона надасть інформацію про ключ підпису або .com та її місцезнаходження, дозволяючи комп'ютеру зв'язатися з каталогом .com і переконайтеся, що вона є законною. Довідник .com надає ключ підпису та інформацію для howtogeek.com, дозволяючи йому зв’язатися з howtogeek.com та підтвердити, що ви підключені до реального howtogeek.com, що підтверджується зонами над ним.
Коли DNSSEC буде повністю розгорнуто, ваш комп'ютер зможе підтвердити, що відповіді DNS є законними і правдивими, тоді як в даний час він не має можливості дізнатися, які з них є фальшивими, а які - реальними..
Дізнайтеся більше про те, як працює шифрування.
Що б SOPA зробив
Отже, яким чином «Закон про онлайн-піратство», більш відомий як SOPA, грає у все це? Ну, якщо ви наслідували SOPA, ви розумієте, що це написано людьми, які не розуміють Інтернет, так що це було б «розірвати Інтернет» різними способами. Це одна з них.
Пам'ятайте, що DNSSEC дозволяє власникам доменних імен підписувати свої записи DNS. Так, наприклад, thepiratebay.se може використовувати DNSSEC для визначення IP-адрес, з якими він пов'язаний. Коли комп'ютер виконує пошук DNS - чи то для google.com, або для thepiratebay.se - DNSSEC дозволить комп'ютеру визначити, що він отримує правильний відповідь, підтверджений власниками доменного імені. DNSSEC - це просто протокол; він не намагається розрізняти «хороші» та «погані» веб-сайти.
SOPA вимагає, щоб провайдери Інтернет-послуг переадресовували пошук DNS для "поганих" веб-сайтів. Наприклад, якщо абоненти постачальника Інтернет-послуг намагалися отримати доступ до thepiratebay.se, DNS-сервери ISP повернуть адресу іншого веб-сайту, який повідомить, що Pirate Bay було заблоковано..
За допомогою DNSSEC таке перенаправлення було б нерозрізним від атаки «людина-в-середині», яку DNSSEC розробляв для запобігання. Інтернет-провайдери, що розгортають DNSSEC, повинні відповідати фактичною адресою Pirate Bay і таким чином порушуватимуть SOPA. Щоб пристосуватися до SOPA, DNSSEC повинна мати велику дірку, яка б дозволила постачальникам послуг Інтернету та урядам перенаправляти DNS-запит доменних імен без дозволу власників доменного імені. Це було б важко (якщо не неможливо) робити безпечним способом, ймовірно, відкриє нові отвори безпеки для нападників.
На щастя, SOPA мертва, і, сподіваюся, не повернеться. В даний час DNSSEC розгортається, що дає належне виправлення цієї проблеми.
Зображення: Khairil Yusof, Jemimus на Flickr, David Holmes на Flickr