Miten DNSSEC auttaa suojaamaan Internetiä ja miten SOPA on melkein tehnyt sen laittomaksi
Verkkotunnusjärjestelmän suojauslaajennukset (DNSSEC) on tietoturvatekniikka, joka auttaa korjaamaan yhden Internetin heikoista kohdista. Olemme onnellisia SOPA ei läpäissyt, koska SOPA olisi tehnyt DNSSECin laittomaksi.
DNSSEC lisää kriittistä turvallisuutta paikkaan, jossa Internetillä ei ole mitään. Verkkotunnusjärjestelmä (DNS) toimii hyvin, mutta prosessin missään vaiheessa ei ole vahvistusta, joka jättää reiät avoimiksi hyökkääjille.
Nykyinen tilanne
Olemme selittäneet, miten DNS toimii aiemmin. Lyhyesti sanottuna, kun muodostat yhteyden verkkotunnukseen, kuten "google.com" tai "howtogeek.com", tietokone ottaa yhteyttä DNS-palvelimeen ja etsii kyseisen verkkotunnuksen liittyvän IP-osoitteen. Tietokone muodostaa yhteyden kyseiseen IP-osoitteeseen.
Tärkeää on, että DNS-haussa ei ole todentamisprosessia. Tietokone kysyy DNS-palvelimelta verkkosivustoon liittyvän osoitteen, DNS-palvelin vastaa IP-osoitteella ja tietokoneesi sanoo "okei!" Ja muodostaa onnellisesti yhteyden kyseiseen sivustoon. Tietokoneesi ei pysähdy tarkistamaan, onko se kelvollinen vastaus.
Hyökkääjät voivat ohjata nämä DNS-pyynnöt uudelleen tai määrittää haitallisia DNS-palvelimia, jotka on suunniteltu palauttamaan huonoja vastauksia. Jos esimerkiksi olet yhteydessä julkiseen Wi-Fi-verkkoon ja yrität muodostaa yhteyden howtogeek.comiin, kyseisen julkisen Wi-Fi-verkon haitallinen DNS-palvelin voi palauttaa toisen IP-osoitteen kokonaan. IP-osoite voi johtaa tietojenkalastelusivustoon. Web-selaimellasi ei ole todellista tapaa tarkistaa, onko IP-osoite todella yhteydessä howtogeek.comiin. sen on vain luotettava DNS-palvelimelta saamaansa vastaukseen.
HTTPS-salaus takaa jonkin verran tarkistusta. Oletetaan esimerkiksi, että yrität muodostaa yhteyden pankin verkkosivustoon ja näet osoiterivillä HTTPS-koodin ja lukkokuvakkeen. Tiedät, että sertifiointiviranomainen on varmistanut, että sivusto kuuluu pankkisi.
Jos käytit pankkisi verkkosivustoa vaarantuneesta yhteysosoitteesta ja DNS-palvelin palautti väärän tiedonsiirtopaikan osoitteen, tietojenkalastelusivusto ei pysty näyttämään kyseistä HTTPS-salausta. Tietojenkalastelusivusto voi kuitenkin valita tavallisen HTTP: n käyttämisen HTTPS: n sijasta, ja vedonlyönti, että useimmat käyttäjät eivät huomaa eroa ja antavat heidän online-pankkitietonsa joka tapauksessa.
Pankkisi ei voi sanoa "Nämä ovat sivustollemme oikeutettuja IP-osoitteita."
Miten DNSSEC auttaa
DNS-haku todella tapahtuu useissa vaiheissa. Esimerkiksi, kun tietokone kysyy www.howtogeek.com, tietokone suorittaa tämän haun useissa vaiheissa:
- Se kysyy ensin "juurivyöhykekansion", josta se löytää .com.
- Sitten se kysyy .com-hakemistosta, josta se löytää howtogeek.com.
- Sitten se kysyy, miten se löytyy www.howtogeek.com.
DNSSEC-järjestelmään kuuluu "rootin allekirjoittaminen". Kun tietokone kysyy juurivyöhykkeeltä, josta se löytyy. Com, se voi tarkistaa juurivyöhykkeen allekirjoitusavaimen ja vahvistaa, että se on oikeutettu juurivyöhyke, jossa on todellisia tietoja. Juurivyöhyke antaa sitten tietoja allekirjoitusavusta tai .com-sivustosta ja sen sijainnista, jolloin tietokone voi ottaa yhteyttä .com-hakemistoon ja varmistaa, että se on oikeutettu. .Com -hakemisto antaa allekirjoitusavun ja tiedot howtogeek.com-sivustolle, jolloin se voi ottaa yhteyttä howtogeek.comiin ja varmistaa, että olet yhteydessä todelliseen howtogeek.com-sivustoon, kuten sen yläpuolella olevat vyöhykkeet ovat vahvistaneet.
Kun DNSSEC on täysin otettu käyttöön, tietokoneesi pystyy vahvistamaan, että DNS-vastaukset ovat laillisia ja totta, kun taas tällä hetkellä sillä ei ole mitään keinoa tietää, mitkä ovat väärennettyjä ja mitkä ovat todellisia.
Lue lisää siitä, miten salaus toimii täällä.
Mitä SOPA olisi tehnyt
Joten miten Stop Online Piracy Act, joka tunnetaan paremmin nimellä SOPA, osuu tähän kaikkeen? No, jos seurasit SOPA: ta, ymmärrät, että sen ovat kirjoittaneet ihmiset, jotka eivät ymmärtäneet Internetiä, joten se "murtuisi Internetiä" eri tavoin. Tämä on yksi niistä.
Muista, että DNSSEC sallii verkkotunnusten omistajien allekirjoittaa DNS-tietueet. Joten esimerkiksi thepiratebay.se voi käyttää DNSSEC: ää määrittämään IP-osoitteet, joihin se liittyy. Kun tietokone suorittaa DNS-haun - onko kyseessä google.com tai thepiratebay.se - DNSSEC sallii tietokoneen määrittää, että se vastaanottaa oikean vastauksen, jonka verkkotunnuksen omistajat ovat vahvistaneet. DNSSEC on vain protokolla; se ei yritä erottaa "hyviä" ja "huonoja" sivustoja.
SOPA olisi vaatinut Internet-palveluntarjoajia ohjaamaan DNS-hakuja "huonoille" verkkosivustoille. Jos esimerkiksi Internet-palveluntarjoajan tilaajat yrittivät käyttää thepiratebay.se-palvelinta, ISP: n DNS-palvelimet palauttaisivat toisen verkkosivuston osoitteen, joka ilmoittaa heille, että Pirate Bay oli estetty.
DNSSEC: n avulla tällainen uudelleenohjaus olisi erottamaton keskimmäisestä hyökkäyksestä, jota DNSSEC on suunniteltu estämään. DNSSEC: n käyttöönottavien Internet-palveluntarjoajien olisi vastattava Pirate Bayn todelliseen osoitteeseen, ja se rikkoo näin SOPA: ta. SOPA: n mukauttamiseksi DNSSEC: llä olisi oltava suuri reikä, johon Internet-palveluntarjoajat ja hallitukset voivat ohjata verkkotunnuksen DNS-pyyntöjä ilman verkkotunnuksen omistajien lupaa. Tämä olisi vaikeaa (jos ei mahdotonta) tehdä turvallisella tavalla, mikä todennäköisesti avaa hyökkääjille uusia turvallisuusreikiä.
Onneksi SOPA on kuollut ja se toivottavasti ei tule takaisin. DNSSEC on parhaillaan käytössä, ja tämä ongelma korjataan pitkään.
Kuvaluotto: Khairil Yusof, Jemimus Flickrissä, David Holmes Flickrissä