καλώδιο ethernet

Το Domain Name System Security Extensions (DNSSEC) είναι μια τεχνολογία ασφάλειας που θα βοηθήσει να διορθώσει ένα από τα αδύνατα σημεία του Διαδικτύου. Είμαστε τυχεροί που το SOPA δεν πέρασε, επειδή το SOPA θα έκανε το DNSSEC παράνομο.

Το DNSSEC προσθέτει κρίσιμη ασφάλεια σε ένα μέρος όπου το Διαδίκτυο δεν έχει πραγματικά. Το σύστημα ονόματος τομέα (DNS) λειτουργεί καλά, αλλά δεν υπάρχει καμία επαλήθευση σε κανένα σημείο της διαδικασίας, κάτι που αφήνει ανοιχτές τις τρύπες για τους εισβολείς.

Η τρέχουσα κατάσταση των πραγμάτων

Έχουμε εξηγήσει πώς λειτουργεί το DNS στο παρελθόν. Με λίγα λόγια, κάθε φορά που συνδέεστε σε ένα όνομα τομέα όπως "google.com" ή "howtogeek.com", ο υπολογιστής σας επικοινωνεί με τον διακομιστή DNS του και αναζητά τη σχετική διεύθυνση IP για αυτό το όνομα τομέα. Ο υπολογιστής σας συνδέεται στη συνέχεια με αυτήν τη διεύθυνση IP.

Είναι σημαντικό ότι δεν υπάρχει διαδικασία επαλήθευσης στην αναζήτηση DNS. Ο υπολογιστής σας ζητά από τον διακομιστή DNS του τη διεύθυνση που σχετίζεται με έναν ιστότοπο, ο διακομιστής DNS αποκρίνεται με μια διεύθυνση IP και ο υπολογιστής σας λέει "εντάξει!" και ευτυχώς συνδέεται με αυτόν τον ιστότοπο. Ο υπολογιστής σας δεν σταματά να ελέγχει αν αυτή είναι έγκυρη απάντηση.

εικόνα

Είναι πιθανό για τους εισβολείς να ανακατευθύνουν αυτά τα αιτήματα DNS ή να δημιουργήσουν κακόβουλους διακομιστές DNS που έχουν σχεδιαστεί για να επιστρέφουν κακές απαντήσεις. Για παράδειγμα, εάν είστε συνδεδεμένοι σε ένα δημόσιο δίκτυο Wi-Fi και προσπαθείτε να συνδεθείτε στο howtogeek.com, ένας κακόβουλος διακομιστής DNS σε αυτό το δημόσιο δίκτυο Wi-Fi θα μπορούσε να επιστρέψει εντελώς μια διαφορετική διεύθυνση IP. Η διεύθυνση IP μπορεί να σας οδηγήσει σε έναν ιστότοπο ηλεκτρονικού ψαρέματος (phishing). Το πρόγραμμα περιήγησής σας στο Web δεν έχει πραγματικό τρόπο να ελέγξει αν μια διεύθυνση IP σχετίζεται πραγματικά με το howtogeek.com. Απλώς πρέπει να εμπιστευτεί την απάντηση που λαμβάνει από τον διακομιστή DNS.

Η κρυπτογράφηση HTTPS παρέχει κάποια επαλήθευση. Για παράδειγμα, ας υποθέσουμε ότι προσπαθείτε να συνδεθείτε στον ιστότοπο της τράπεζάς σας και βλέπετε HTTPS και το εικονίδιο κλειδώματος στη γραμμή διευθύνσεων. Γνωρίζετε ότι μια αρχή πιστοποίησης έχει επαληθεύσει ότι ο ιστότοπος ανήκει στην τράπεζά σας.

Εάν έχετε πρόσβαση στον ιστότοπο της τράπεζάς σας από ένα σημείο πρόσβασης που έχει παραβιαστεί και ο διακομιστής DNS επέστρεψε τη διεύθυνση ενός πλαστογραφημένου ιστότοπου ηλεκτρονικού ψαρέματος, ο ιστότοπος ηλεκτρονικού ψαρέματος δεν θα μπορούσε να εμφανίσει αυτήν την κρυπτογράφηση HTTPS. Ωστόσο, ο ιστότοπος ηλεκτρονικού ψαρέματος μπορεί να επιλέξει να χρησιμοποιεί απλό HTTP αντί για HTTPS, στοιχηματίζοντας ότι οι περισσότεροι χρήστες δεν θα παρατηρούσαν τη διαφορά και θα εισήγαγαν ούτως ή άλλως τις ηλεκτρονικές τραπεζικές τους πληροφορίες.

Η τράπεζά σας δεν έχει κανένα τρόπο να πει "Αυτές είναι οι νόμιμες διευθύνσεις IP για τον ιστότοπό μας."

Πώς θα βοηθήσει το DNSSEC

Μια αναζήτηση DNS συμβαίνει πραγματικά σε διάφορα στάδια. Για παράδειγμα, όταν ο υπολογιστής σας ζητά www.howtogeek.com, ο υπολογιστής σας εκτελεί αυτήν την αναζήτηση σε διάφορα στάδια:

  • Αρχικά ρωτά τον «κατάλογο ρίζας ζώνης» πού μπορεί να βρει .com. Στη συνέχεια ρωτά τον κατάλογο .com, όπου μπορεί να βρει το howtogeek.com. Στη συνέχεια ρωτά το howtogeek.com πού μπορεί να βρει το www.howtogeek.com.

Το DNSSEC περιλαμβάνει "υπογραφή της ρίζας". Όταν ο υπολογιστής σας πηγαίνει να ρωτήσει τη ρίζα ζώνη πού μπορεί να βρει .com, θα μπορεί να ελέγξει το κλειδί υπογραφής της ρίζας ζώνης και να επιβεβαιώσει ότι είναι η νόμιμη ριζική ζώνη με αληθινές πληροφορίες. Στη συνέχεια, η ριζική ζώνη θα παρέχει πληροφορίες σχετικά με το κλειδί υπογραφής ή το .com και τη θέση του, επιτρέποντας στον υπολογιστή σας να επικοινωνήσει με τον κατάλογο .com και να διασφαλίσει ότι είναι νόμιμο. Ο κατάλογος .com θα παρέχει το κλειδί υπογραφής και πληροφορίες για το howtogeek.com, επιτρέποντάς του να επικοινωνήσει με το howtogeek.com και να επαληθεύσει ότι είστε συνδεδεμένοι στο πραγματικό howtogeek.com, όπως επιβεβαιώνεται από τις ζώνες που βρίσκονται πάνω του.

Όταν το DNSSEC είναι πλήρως διαθέσιμο, ο υπολογιστής σας θα μπορεί να επιβεβαιώσει ότι οι αποκρίσεις DNS είναι νόμιμες και αληθείς, ενώ προς το παρόν δεν έχει κανέναν τρόπο να γνωρίζει ποιες είναι ψεύτικες και ποιες είναι πραγματικές.

Διαβάστε περισσότερα για το πώς λειτουργεί η κρυπτογράφηση εδώ.

Τι θα έκανε η SOPA

Πώς λοιπόν το Stop Online Piracy Act, γνωστότερο ως SOPA, έπαιξε σε όλα αυτά; Λοιπόν, αν ακολουθήσατε το SOPA, συνειδητοποιείτε ότι γράφτηκε από άτομα που δεν καταλάβαιναν το Διαδίκτυο, οπότε θα «σπάσει το Διαδίκτυο» με διάφορους τρόπους. Αυτό είναι ένα από αυτά.

Να θυμάστε ότι το DNSSEC επιτρέπει στους κατόχους ονομάτων τομέα να υπογράφουν τις εγγραφές DNS τους. Έτσι, για παράδειγμα, το thepiratebay.se μπορεί να χρησιμοποιήσει το DNSSEC για να καθορίσει τις διευθύνσεις IP με τις οποίες σχετίζεται. Όταν ο υπολογιστής σας εκτελεί αναζήτηση DNS - είτε πρόκειται για google.com ή thepiratebay.se - το DNSSEC θα επιτρέπει στον υπολογιστή να προσδιορίσει ότι λαμβάνει τη σωστή απόκριση όπως επικυρώνεται από τους κατόχους του ονόματος τομέα. Το DNSSEC είναι απλώς ένα πρωτόκολλο. δεν προσπαθεί να κάνει διάκριση μεταξύ «καλών» και «κακών» ιστοσελίδων.

Η SOPA θα απαιτούσε από τους παρόχους υπηρεσιών Διαδικτύου να ανακατευθύνουν τις αναζητήσεις DNS για «κακούς» ιστότοπους. Για παράδειγμα, εάν οι συνδρομητές ενός παρόχου υπηρεσιών Internet προσπάθησαν να αποκτήσουν πρόσβαση στο thepiratebay.se, οι διακομιστές DNS του ISP θα επέστρεφαν τη διεύθυνση ενός άλλου ιστότοπου, ο οποίος θα τους ενημέρωνε ότι το Pirate Bay είχε αποκλειστεί.

Με το DNSSEC, μια τέτοια ανακατεύθυνση δεν θα μπορούσε να διακριθεί από μια επίθεση man-in-the-middle, την οποία το DNSSEC σχεδιάστηκε για να αποτρέψει. Οι ISP που αναπτύσσουν DNSSEC θα πρέπει να απαντήσουν με την πραγματική διεύθυνση του Pirate Bay, και έτσι θα παραβίαζαν το SOPA. Για να φιλοξενήσει το SOPA, το DNSSEC θα έπρεπε να κόψει μια μεγάλη τρύπα, κάτι που θα επέτρεπε στους παρόχους υπηρεσιών Διαδικτύου και τις κυβερνήσεις να ανακατευθύνουν τα αιτήματα DNS ονόματος τομέα χωρίς την άδεια των κατόχων του ονόματος τομέα. Αυτό θα ήταν δύσκολο (αν όχι αδύνατο) να γίνει με ασφαλή τρόπο, πιθανόν να ανοίξει νέες τρύπες ασφαλείας για τους επιτιθέμενους.

wikipedia-συσκότιση

Ευτυχώς, το SOPA είναι νεκρό και ελπίζουμε ότι δεν θα επιστρέψει. Το DNSSEC βρίσκεται σε εξέλιξη, παρέχοντας μια καθυστερημένη επιδιόρθωση για αυτό το πρόβλημα.

Πιστωτική εικόνα: Khairil Yusof, Jemimus στο Flickr, David Holmes στο Flickr