Πώς το DNSSEC θα βοηθήσει στη διασφάλιση του Διαδικτύου και πώς το SOPA το έκανε σχεδόν παράνομο
Επέκταση ασφαλείας συστήματος ονόματος τομέα (DNSSEC) είναι μια τεχνολογία ασφάλειας που θα βοηθήσει να επιδιορθώσει ένα από τα αδύνατα σημεία του Internet. Είμαστε τυχεροί που η SOPA δεν πέρασε, επειδή η SOPA θα είχε κάνει το DNSSEC παράνομο.
Το DNSSEC προσθέτει κρίσιμη ασφάλεια σε έναν τόπο όπου το Διαδίκτυο δεν έχει πραγματικά κανένα. Το σύστημα ονομάτων τομέα (DNS) λειτουργεί καλά, αλλά δεν υπάρχει καμία επαλήθευση σε κανένα σημείο της διαδικασίας, η οποία αφήνει ανοικτές τρύπες για εισβολείς.
Η σημερινή κατάσταση των υποθέσεων
Έχουμε εξηγήσει πώς λειτουργεί το DNS στο παρελθόν. Με λίγα λόγια, κάθε φορά που συνδέεστε με ένα όνομα τομέα όπως "google.com" ή "howtogeek.com", ο υπολογιστής σας επικοινωνεί με τον διακομιστή DNS του και αναζητά τη σχετική διεύθυνση IP για αυτό το όνομα τομέα. Στη συνέχεια, ο υπολογιστής σας συνδέεται στη διεύθυνση IP.
Είναι σημαντικό ότι δεν υπάρχει καμία διαδικασία επαλήθευσης που να εμπλέκεται σε μια αναζήτηση DNS. Ο υπολογιστής σας ζητά τον διακομιστή DNS του για τη διεύθυνση που σχετίζεται με έναν ιστότοπο, ο διακομιστής DNS αποκρίνεται με μια διεύθυνση IP και ο υπολογιστής σας λέει "εντάξει!" Και ευτυχώς συνδέεται με αυτόν τον ιστότοπο. Ο υπολογιστής σας δεν σταματά για να ελέγξει εάν αυτή είναι μια έγκυρη απάντηση.
Είναι δυνατό για τους εισβολείς να ανακατευθύνουν αυτά τα αιτήματα DNS ή να δημιουργήσουν κακόβουλους διακομιστές DNS που έχουν σχεδιαστεί για να επιστρέφουν κακές απαντήσεις. Για παράδειγμα, εάν είστε συνδεδεμένοι σε ένα δημόσιο δίκτυο Wi-Fi και προσπαθείτε να συνδεθείτε στο howtogeek.com, ένας κακόβουλος διακομιστής DNS σε αυτό το δημόσιο δίκτυο Wi-Fi θα μπορούσε να επιστρέψει εξ ολοκλήρου διαφορετική διεύθυνση IP. Η διεύθυνση IP θα μπορούσε να σας οδηγήσει σε έναν ιστότοπο ηλεκτρονικού "ψαρέματος". Το πρόγραμμα περιήγησης ιστού δεν έχει κανέναν πραγματικό τρόπο για να ελέγξει εάν μια διεύθυνση IP σχετίζεται πραγματικά με το howtogeek.com. απλά πρέπει να εμπιστευτεί την απάντηση που λαμβάνει από το διακομιστή DNS.
Η κρυπτογράφηση HTTPS παρέχει κάποια επαλήθευση. Για παράδειγμα, ας υποθέσουμε ότι προσπαθείτε να συνδεθείτε στον ιστότοπο της τράπεζάς σας και ότι βλέπετε το HTTPS και το εικονίδιο κλειδώματος στη γραμμή διευθύνσεων. Γνωρίζετε ότι μια αρχή πιστοποίησης έχει επαληθεύσει ότι ο ιστότοπος ανήκει στην τράπεζά σας.
Εάν έχετε επισκεφθεί τον ιστότοπο της τράπεζάς σας από ένα συμβιβαζόμενο σημείο πρόσβασης και ο διακομιστής DNS επέστρεψε τη διεύθυνση ενός ιστότοπου απατεώνων που διέπει το ηλεκτρονικό ψάρεμα, ο ιστότοπος ηλεκτρονικού "ψαρέματος" δεν θα μπορούσε να εμφανίσει την κρυπτογράφηση HTTPS. Ωστόσο, ο ιστότοπος ηλεκτρονικού "ψαρέματος" μπορεί να επιλέξει να χρησιμοποιεί απλό HTTP αντί για HTTPS, στοιχηματίζοντας ότι οι περισσότεροι χρήστες δεν θα παρατηρήσουν τη διαφορά και θα μπουν ούτως ή άλλως στις ηλεκτρονικές τραπεζικές τους πληροφορίες.
Η τράπεζά σας δεν έχει κανέναν τρόπο να λέει "Αυτές είναι οι νόμιμες διευθύνσεις IP για τον ιστότοπό μας".
Πώς θα βοηθήσει το DNSSEC
Μια αναζήτηση DNS συμβαίνει στην πραγματικότητα σε διάφορα στάδια. Για παράδειγμα, όταν ο υπολογιστής σας ζητά τη διεύθυνση www.howtogeek.com, ο υπολογιστής σας πραγματοποιεί αυτή την αναζήτηση σε διάφορα στάδια:
- Πρώτα ζητά από τον "κατάλογο ζώνης ρίζας", όπου μπορεί να βρει .com.
- Στη συνέχεια, ρωτά τον κατάλογο .com όπου μπορεί να βρει howtogeek.com.
- Στη συνέχεια, ζητά από το howtogeek.com να εντοπίσει www.howtogeek.com.
Το DNSSEC περιλαμβάνει "υπογραφή της ρίζας". Όταν ο υπολογιστής σας πάει να ρωτήσει τη ζώνη ρίζας όπου μπορεί να βρει .com, θα μπορεί να ελέγχει το κλειδί υπογραφής της ριζικής ζώνης και να επιβεβαιώνει ότι είναι η νόμιμη ριζική ζώνη με αληθινές πληροφορίες. Η ζώνη ρίζας θα παρέχει πληροφορίες σχετικά με το κλειδί υπογραφής ή το .com και τη θέση του, επιτρέποντας στον υπολογιστή σας να έρχεται σε επαφή με τον κατάλογο .com και να διασφαλίζει ότι είναι νόμιμο. Ο κατάλογος .com θα παράσχει το κλειδί υπογραφής και πληροφορίες για το howtogeek.com, επιτρέποντάς του να επικοινωνήσει με το howtogeek.com και να επαληθεύσει ότι είστε συνδεδεμένοι με τον πραγματικό howtogeek.com, όπως επιβεβαιώνεται από τις ζώνες πάνω από αυτό.
Όταν ολοκληρωθεί η προβολή του DNSSEC, ο υπολογιστής σας θα είναι σε θέση να επιβεβαιώσει ότι οι απαντήσεις DNS είναι νόμιμες και αληθείς, ενώ αυτή τη στιγμή δεν έχει τρόπο να γνωρίζει ποιες είναι ψεύτικες και ποιες είναι πραγματικές.
Διαβάστε περισσότερα σχετικά με τον τρόπο λειτουργίας της κρυπτογράφησης εδώ.
Τι θα γίνει με τη SOPA
Πώς λοιπόν η Πράξη για την Παύση της Πειρατείας, γνωστή ως SOPA, παίζει όλα αυτά; Λοιπόν, αν ακολουθήσατε τη SOPA, συνειδητοποιείτε ότι γράφτηκε από ανθρώπους που δεν κατάλαβαν το Διαδίκτυο, οπότε θα "σπάσει το Διαδίκτυο" με διάφορους τρόπους. Αυτό είναι ένα από αυτά.
Θυμηθείτε ότι το DNSSEC επιτρέπει στους κατόχους ονομάτων τομέα να υπογράψουν τις εγγραφές DNS τους. Έτσι, για παράδειγμα, το thepiratebay.se μπορεί να χρησιμοποιήσει το DNSSEC για να καθορίσει τις διευθύνσεις IP με τις οποίες συσχετίζεται. Όταν ο υπολογιστής πραγματοποιεί αναζήτηση DNS - είτε πρόκειται για google.com είτε για τοpiratebay.se - το DNSSEC θα επιτρέψει στον υπολογιστή να διαπιστώσει ότι λαμβάνει τη σωστή απάντηση όπως έχει επικυρωθεί από τους κατόχους του domain name. Το DNSSEC είναι απλώς ένα πρωτόκολλο. δεν προσπαθεί να κάνει διακρίσεις μεταξύ των «καλών» και των «κακών» ιστότοπων.
Η SOPA θα απαιτούσε από τους παρόχους υπηρεσιών Διαδικτύου να ανακατευθύνουν αναζητήσεις DNS για "κακές" ιστοσελίδες. Για παράδειγμα, αν οι συνδρομητές του παροχέα υπηρεσιών Internet προσπάθησαν να έχουν πρόσβαση στο piratebay.se, οι διακομιστές DNS του ISP θα επέστρεφαν τη διεύθυνση άλλου ιστότοπου, ο οποίος θα τους πληροφορούσε ότι ο πειρατικός κόλπος είχε αποκλειστεί.
Με το DNSSEC, μια τέτοια ανακατεύθυνση θα ήταν αδιαμφισβήτητη από μια ανθρωποειδής επίθεση, την οποία το DNSSEC σχεδιάστηκε για να αποτρέψει. Οι ISP που αναπτύσσουν το DNSSEC θα πρέπει να ανταποκριθούν με την πραγματική διεύθυνση του Pirate Bay, και έτσι θα παραβιάζουν την SOPA. Για να φιλοξενήσει τη SOPA, η DNSSEC θα πρέπει να έχει μια μεγάλη τρύπα σε αυτήν, μία που θα επέτρεπε στους παροχείς υπηρεσιών διαδικτύου και στις κυβερνήσεις να ανακατευθύνουν τα ονόματα DNS domain names χωρίς την άδεια των κατόχων του domain name. Αυτό θα ήταν δύσκολο (αν όχι αδύνατο) να γίνει με ασφαλή τρόπο, πιθανόν να ανοίξει νέες τρύπες ασφαλείας για τους επιτιθέμενους.
Ευτυχώς, η SOPA είναι νεκρή και ελπίζουμε ότι δεν θα επιστρέψει. Το DNSSEC αναπτύσσεται επί του παρόντος, παρέχοντας μια καθυστερημένη λύση για αυτό το πρόβλημα.
Image Credit: Khairil Yusof, Jemimus στο Flickr, David Holmes στο Flickr