Kako će DNSSEC pomoći u osiguravanju Interneta i kako je SOPA gotovo nezakonita
Sigurnosna proširenja sustava naziva domena (DNSSEC) je sigurnosna tehnologija koja će vam pomoći da popravite jednu od slabih točaka Interneta. Mi smo sretni što SOPA nije prošla, jer bi SOPA učinila DNSSEC nezakonitim.
DNSSEC dodaje kritičnu sigurnost mjestu gdje Internet zapravo nema. Sustav naziva domena (DNS) dobro radi, ali nema provjere u bilo kojem trenutku procesa, što ostavlja rupe otvorene za napadače.
Sadašnje stanje
Objasnili smo kako DNS funkcionira u prošlosti. Ukratko, kad god se povežete s nazivom domene kao što je “google.com” ili “howtogeek.com”, vaše računalo kontaktira svoj DNS poslužitelj i traži pridruženu IP adresu za to ime domene. Računalo se zatim povezuje s tom IP adresom.
Važno je da ne postoji proces provjere uključen u DNS pretraživanje. Vaše računalo pita DNS poslužitelj za adresu povezanu s web stranicom, DNS poslužitelj odgovara IP adresom, a vaše računalo kaže "u redu!" I sretno se povezuje s tom web lokacijom. Vaše računalo ne prestaje provjeravati je li to valjani odgovor.
Napadači mogu preusmjeriti te DNS zahtjeve ili postaviti zlonamjerne DNS poslužitelje namijenjene vraćanju loših odgovora. Na primjer, ako ste povezani s javnom Wi-Fi mrežom i pokušate se povezati s howtogeek.com, zlonamjerni DNS poslužitelj na toj javnoj Wi-Fi mreži može u potpunosti vratiti drugu IP adresu. IP adresa može vas odvesti na web-mjesto za krađu identiteta. Vaš web-preglednik nema pravi način da provjeri je li IP adresa zapravo povezana s howtogeek.com; jednostavno mora vjerovati odgovoru koji dobiva od DNS poslužitelja.
HTTPS enkripcija pruža određenu potvrdu. Na primjer, recimo da se pokušate povezati s web-lokacijom svoje banke, a na adresnoj traci vidite HTTPS i ikonu zaključavanja. Znate da je certifikacijska ustanova potvrdila da web-lokacija pripada vašoj banci.
Ako ste pristupili web-lokaciji banke s ugrožene pristupne točke, a DNS-poslužitelj vratio adresu lažnog web-mjesta za krađu identiteta, web-mjesto za krađu identiteta ne bi moglo prikazati tu HTTPS enkripciju. Međutim, web-mjesto za krađu identiteta može se odlučiti za korištenje običnog HTTP-a umjesto HTTPS-a, klađenjem da većina korisnika ne bi primijetila razliku i svejedno bi unosila svoje podatke o online-bankarstvu..
Vaša banka nema načina da kaže "Ovo su legitimne IP adrese za našu web-lokaciju."
Kako će DNSSEC pomoći
DNS pretraživanje zapravo se događa u nekoliko faza. Na primjer, kada vaše računalo zatraži www.howtogeek.com, vaše računalo izvršava ovu pretragu u nekoliko faza:
- Najprije traži "direktorij root zone" gdje ga može pronaći .com.
- Zatim pita direktorij .com gdje može pronaći howtogeek.com.
- Zatim pita howtogeek.com gdje može pronaći www.howtogeek.com.
DNSSEC uključuje "potpisivanje korijena". Kada vaše računalo ode tražiti korijensku zonu gdje može pronaći .com, moći će provjeriti ključ potpisivanja root zone i potvrditi da je to legitimna korijenska zona s istinitim informacijama. Zona korijena će zatim pružiti informacije o ključu za potpisivanje ili .com i njegovom mjestu, omogućujući vašem računalu da kontaktira .com direktorij i osigura da je on legitiman. Direktorij .com pružit će ključ za potpisivanje i informacije za howtogeek.com, omogućujući mu da kontaktira howtogeek.com i potvrdi da ste povezani s pravim howtogeek.com, što potvrđuju zone iznad njega.
Kada se DNSSEC dovede do kraja, vaše računalo će moći potvrditi da su DNS odgovori legitimni i istiniti, dok trenutno nema načina da sazna koje su lažne i koje su stvarne.
Pročitajte više o tome kako ovdje djeluje šifriranje.
Što bi SOPA učinila
Kako se u svemu tome igrao Zakon o online piratstvu, poznatijem kao SOPA? Pa, ako ste slijedili SOPU, shvatili ste da su je napisali ljudi koji nisu razumjeli Internet, tako da bi "razbila internet" na različite načine. Ovo je jedan od njih.
Zapamtite da DNSSEC omogućuje vlasnicima imena domena da potpišu svoje DNS zapise. Tako, na primjer, thepiratebay.se može koristiti DNSSEC za određivanje IP adresa s kojima je povezan. Kada računalo provede DNS pretraživanje - bilo za google.com ili thepiratebay.se - DNSSEC će dopustiti računalu da utvrdi da prima ispravan odgovor koji su potvrdili vlasnici naziva domene. DNSSEC je samo protokol; ne pokušava razlikovati “dobre” i “loše” web stranice.
SOPA bi od pružatelja internetskih usluga morao preusmjeriti DNS traženje za "loše" web stranice. Na primjer, ako su pretplatnici davatelja internetskih usluga pokušali pristupiti thepiratebay.se, DNS poslužitelji davatelja internetskih usluga vratit će adresu druge web-lokacije koja će ih obavijestiti da je Pirate Bay blokiran.
Kod DNSSEC-a, takvo preusmjeravanje ne bi se moglo razlikovati od napada čovjeka-u-središtu, koji je DNSSEC osmišljen da spriječi. ISP-ovi koji implementiraju DNSSEC morali bi odgovoriti na stvarnu adresu Pirate Baya, te bi time prekršili SOPA. Da bi se prilagodio SOPA-i, DNSSEC bi morao imati veliku rupu u njoj, koja bi davateljima internetskih usluga i vladama omogućila preusmjeravanje DNS zahtjeva domene bez dopuštenja vlasnika domene. To bi bilo teško (ako ne i nemoguće) učiniti na siguran način, vjerojatno otvarajući nove sigurnosne rupe za napadače.
Srećom, SOPA je mrtva i nadamo se da se neće vratiti. DNSSEC se trenutno postavlja, što je već dugo trebalo riješiti ovaj problem.
Autor fotografije: Khairil Yusof, Jemimus na Flickru, David Holmes na Flickru