Hvordan DNSSEC vil hjælpe med at sikre internettet og hvordan SOPA næsten gjorde det ulovligt
Domænenavn System Security Extensions (DNSSEC) er en sikkerhedsteknologi, der hjælper med at lappe op på et af internets svage punkter. Vi har heldige SOPA passerede ikke, fordi SOPA ville have gjort DNSSEC ulovlig.
DNSSEC tilføjer kritisk sikkerhed til et sted, hvor internettet ikke har nogen. Domænenavnssystemet (DNS) fungerer godt, men der er ingen kontrol på noget tidspunkt i processen, hvilket giver huller åbne for angribere.
Den nuværende tilstand af anliggender
Vi har forklaret, hvordan DNS fungerer tidligere. I en nøddeskal, når din forbindelse til et domænenavn som "google.com" eller "howtogeek.com", kontakter din computer sin DNS-server og ser den tilhørende IP-adresse til det pågældende domænenavn op. Din computer forbinder så til den IP-adresse.
Det er vigtigt, at der ikke er nogen verifikationsproces involveret i et DNS-opslag. Din computer spørger sin DNS-server for adressen, der er knyttet til et websted, DNS-serveren reagerer med en IP-adresse, og din computer siger "okay!" Og forbinder lykkeligt med den pågældende hjemmeside. Din computer stopper ikke for at kontrollere, om det er et gyldigt svar.
Det er muligt for angriberne at omdirigere disse DNS-anmodninger eller konfigurere ondsindede DNS-servere designet til at returnere dårlige svar. Hvis du f.eks. Har forbindelse til et offentligt Wi-Fi-netværk, og du forsøger at oprette forbindelse til howtogeek.com, kan en ondsindet DNS-server på det offentlige Wi-Fi-netværk helt og fremmest returnere en anden IP-adresse. IP-adressen kan føre dig til et phishing-websted. Din webbrowser har ingen reel måde at kontrollere, om en IP-adresse rent faktisk er forbundet med howtogeek.com; det skal bare stole på det svar, det modtager fra DNS-serveren.
HTTPS kryptering giver nogle verifikation. Lad os f.eks. Sige, at du forsøger at oprette forbindelse til din banks hjemmeside, og du kan se HTTPS og låsikonet i adresselinjen. Du ved, at en certificeringsmyndighed har bekræftet, at hjemmesiden tilhører din bank.
Hvis du har fået adgang til din banks hjemmeside fra et kompromitteret adgangspunkt, og DNS-serveren returnerede adressen til et phishing-websted for bedrageri, ville phishing-webstedet ikke kunne vise denne HTTPS-kryptering. Phishing-webstedet kan dog vælge at bruge almindelig HTTP i stedet for HTTPS, væddemål om, at de fleste brugere ikke ville bemærke forskellen, og alligevel ville indtaste deres online-bankoplysninger.
Din bank har ingen måde at sige "Disse er de legitime IP-adresser til vores hjemmeside."
Hvordan DNSSEC vil hjælpe
Et DNS-opslag forekommer faktisk i flere faser. Når din computer f.eks. Spørger til www.howtogeek.com, udfører din computer dette opslag i flere faser:
- Den spørger først "root zone directory", hvor den kan finde .com.
- Den spørger derefter .com-mappen, hvor den kan finde howtogeek.com.
- Det spørger derefter howtogeek.com, hvor den kan finde www.howtogeek.com.
DNSSEC involverer "signering af roten". Når din computer går hen til spørge rodzonen, hvor den kan finde .com, vil den kunne kontrollere rotzones underskrivingsnøgle og bekræfte, at det er den legitime rodszone med ægte information. Rotzonen giver derefter oplysninger om signaturnøglen eller .com og dens placering, så din computer kan kontakte .com-mappen og sikre, at den er legitim. .Com-mappen giver signaturnøglen og informationen til howtogeek.com, så den kan kontakte howtogeek.com og kontrollere, at du er forbundet til den virkelige howtogeek.com, som bekræftet af zonerne over det.
Når DNSSEC er fuldt udbygget, vil din computer kunne bekræfte, at DNS-svar er legitime og sande, mens det i øjeblikket ikke har nogen mulighed for at vide, hvilke der er falske, og hvilke er reelle.
Læs mere om, hvordan kryptering fungerer her.
Hvad SOPA ville have gjort
Så hvordan spillede Stop Online Piracy Act, bedre kendt som SOPA, ind i alt dette? Nå, hvis du fulgte SOPA, indser du, at det var skrevet af folk, der ikke forstod internettet, så det ville "bryde internettet" på forskellige måder. Dette er en af dem.
Husk at DNSSEC giver domænenavneejere mulighed for at underskrive deres DNS-poster. Så for eksempel kan thepiratebay.se bruge DNSSEC til at angive de IP-adresser, den er knyttet til. Når din computer udfører et DNS-opslag - uanset om det er for google.com eller thepiratebay.se - vil DNSSEC tillade computeren at bestemme, at den modtager det korrekte svar som valideret af domænenavnets ejere. DNSSEC er blot en protokol; det forsøger ikke at diskriminere mellem "gode" og "dårlige" hjemmesider.
SOPA ville have krævet internetudbydere at omdirigere DNS-opslag for "dårlige" hjemmesider. Hvis en internetudbyderes abonnenter forsøgte at få adgang til thepiratebay.se, ville internetudbyderens DNS-servere f.eks. Returnere adressen til en anden hjemmeside, hvilket ville informere dem om, at Pirate Bay var blevet blokeret.
Med DNSSEC ville en sådan omdirigering være uadskillelig fra et mand-i-midten-angreb, som DNSSEC var designet til at forhindre. Internetudbydere, der anvender DNSSEC, skulle svare med den faktiske adresse på Pirate Bay, og ville således være i strid med SOPA. For at imødekomme SOPA ville DNSSEC skulle have et stort hul skåret ind i det, hvilket ville gøre det muligt for internetudbydere og regeringer at omdirigere DNS-anmodninger om domænenavne uden tilladelse fra domænenavnets ejere. Dette ville være vanskeligt (hvis ikke umuligt) at gøre på en sikker måde, sandsynligvis at åbne nye sikkerhedshuller for angribere.
Heldigvis er SOPA død og det forhåbentlig ikke kommer tilbage. DNSSEC er i øjeblikket ved at blive implementeret, hvilket giver en langvarig løsning på dette problem.
Billedkredit: Khairil Yusof, Jemimus på Flickr, David Holmes på Flickr