Kaip DNSSEC padės apsaugoti internetą ir kaip SOPA beveik padarė tai neteisėta

Turinys:

Kaip DNSSEC padės apsaugoti internetą ir kaip SOPA beveik padarė tai neteisėta
Kaip DNSSEC padės apsaugoti internetą ir kaip SOPA beveik padarė tai neteisėta

Video: Kaip DNSSEC padės apsaugoti internetą ir kaip SOPA beveik padarė tai neteisėta

Video: Kaip DNSSEC padės apsaugoti internetą ir kaip SOPA beveik padarė tai neteisėta
Video: Digital pinhole photography 101 - YouTube 2024, Kovas
Anonim
Domenų vardų sistemos saugos plėtiniai (DNSSEC) yra saugumo technologija, kuri padės ištaisyti vieną iš interneto silpnybių. Mes pasisekė, SOPA nepavyko, nes SOPA būtų padaręs DNSSEC neteisėtą.
Domenų vardų sistemos saugos plėtiniai (DNSSEC) yra saugumo technologija, kuri padės ištaisyti vieną iš interneto silpnybių. Mes pasisekė, SOPA nepavyko, nes SOPA būtų padaręs DNSSEC neteisėtą.

DNSSEC prideda kritišką saugumą toje vietoje, kur internetas tikrai neturi. Domeno vardo sistema (DNS) gerai veikia, tačiau procese nėra jokio patikrinimo, dėl kurio prieglobstys atviros.

Dabartinė reikalų būklė

Mes paaiškinome, kaip DNS veikia anksčiau. Trumpai tariant, kiekvieną kartą, kai prisijungiate prie domeno pavadinimo, pvz., "Google.com" arba "howtogeek.com", jūsų kompiuteris prisijungia prie jo DNS serverio ir ieškos atitinkamo to domeno vardo IP adreso. Jūsų kompiuteris prisijungia prie šio IP adreso.

Svarbu tai, kad DNS paieškoje nėra patvirtinimo proceso. Jūsų kompiuteris kreipiasi į savo DNS serverį su adresu, susijusiu su svetaine, DNS serveris reaguoja su IP adresu, o jūsų kompiuteris sako "gerai" ir laimingai prisijungia prie šios svetainės. Jūsų kompiuteris nesibaigia patikrinti, ar tai yra tinkamas atsakymas.

Užpuolikai gali nukreipti šias DNS užklausas arba nustatyti kenksmingus DNS serverius, sukurtus grąžinti blogus atsakymus. Pvz., Jei esate prisijungę prie viešojo "Wi-Fi" tinklo ir bandote prisijungti prie "howtogeek.com", kenksmingas DNS serveris šiame viešajame "Wi-Fi" tinkle gali visiškai sugrąžinti kitą IP adresą. IP adresas gali nukreipti jus į sukčiavimo svetainę. Jūsų žiniatinklio naršyklėje nėra tikrų būdų patikrinti, ar IP adresas yra faktiškai susietas su howtogeek.com; tai tik turi pasitikėti atsakymu, kurį jis gauna iš DNS serverio.
Užpuolikai gali nukreipti šias DNS užklausas arba nustatyti kenksmingus DNS serverius, sukurtus grąžinti blogus atsakymus. Pvz., Jei esate prisijungę prie viešojo "Wi-Fi" tinklo ir bandote prisijungti prie "howtogeek.com", kenksmingas DNS serveris šiame viešajame "Wi-Fi" tinkle gali visiškai sugrąžinti kitą IP adresą. IP adresas gali nukreipti jus į sukčiavimo svetainę. Jūsų žiniatinklio naršyklėje nėra tikrų būdų patikrinti, ar IP adresas yra faktiškai susietas su howtogeek.com; tai tik turi pasitikėti atsakymu, kurį jis gauna iš DNS serverio.

HTTPS šifravimas suteikia tam tikrą patvirtinimą. Pvz., Tarkime, kad bandote prisijungti prie banko svetainės, o adresų juostoje rodote HTTPS ir užrakto piktogramą. Žinai, kad sertifikavimo institucija patvirtino, kad svetainė priklauso jūsų bankui.

Jei patekote į savo banko svetainę iš pažeisto prieigos taško ir DNS serveris grąžino apgaulingos svetainės sukčiavimo adresą, sukčiavimo svetainė negalėtų rodyti šio HTTPS šifravimo. Tačiau sukčiavimo svetainė gali nuspręsti naudoti paprastą HTTP, o ne HTTPS, lažinydama, kad dauguma vartotojų pastebėtų skirtumą ir vis tiek patektų į savo internetinės bankininkystės informaciją.
Jei patekote į savo banko svetainę iš pažeisto prieigos taško ir DNS serveris grąžino apgaulingos svetainės sukčiavimo adresą, sukčiavimo svetainė negalėtų rodyti šio HTTPS šifravimo. Tačiau sukčiavimo svetainė gali nuspręsti naudoti paprastą HTTP, o ne HTTPS, lažinydama, kad dauguma vartotojų pastebėtų skirtumą ir vis tiek patektų į savo internetinės bankininkystės informaciją.

Jūsų banke negalima sakyti: "Tai yra teisėti IP adresai mūsų svetainėje."

Image
Image

Kaip DNSSEC padės

DNS paieška iš tikrųjų vyksta keliais etapais. Pavyzdžiui, kai jūsų kompiuteris prašo www.howtogeek.com, jūsų kompiuteris atlieka šį peržiūrą keliais etapais:

  • Jis pirmiausia klausia "root zone directory", kur jis gali rasti .com.
  • Tada jis klausia. Com katalogas, kur jis gali rasti howtogeek.com.
  • Tada jis klausia howtogeek.com, kur jis gali rasti www.howtogeek.com.

DNSSEC reiškia "pasirašyti šakną". Kai jūsų kompiuteris eina paklausti šaknies zonos, kurioje gali rasti ".com", jis galės patikrinti šaknies zonos pasirašymo raktą ir patvirtinti, kad tai yra teisėta šaknies zona su tikra informacija. Šaknies zona tada suteiks informaciją apie pasirašymo raktą arba.com ir jo vietą, leidžiančią jūsų kompiuteriui susisiekti su.com katalogu ir užtikrinti, kad jis teisėtas. Katalogas.com pateiks parašo raktą ir "howtogeek.com" informaciją, leidžiančią susisiekti su "howtogeek.com" ir patvirtinti, kad esate prijungtas prie realaus "howtogeek.com", kaip tai patvirtina jos viršuje esančios zonos.

Kai DNSSEC bus visiškai išjungtas, jūsų kompiuteris galės patvirtinti, kad DNS atsakymai yra teisėti ir teisingi, tuo tarpu šiuo metu nėra galimybės žinoti, kurie iš jų yra padirbti ir kurios yra realios.

Skaitykite daugiau apie tai, kaip šifravimas veikia čia.
Skaitykite daugiau apie tai, kaip šifravimas veikia čia.

Ką SOPA būtų padaręs

Taigi kaip "Stop Online" piratavimo įstatymas, geriau žinomas kaip SOPA, įtakoja visa tai? Na, jei stebėjote SOPA, jūs suprantate, kad tai parašė žmonės, kurie nesuprato interneto, todėl jie "įvairiais būdais" sulaužytų internetą ". Tai vienas iš jų.

Atminkite, kad DNSSEC leidžia domeno savininkams pasirašyti savo DNS įrašus. Pavyzdžiui, thepiratebay.se gali naudoti DNSSEC, norėdamas nurodyti su ja susijusius IP adresus. Kai kompiuteris atlieka DNS paieškos - ar tai yra google.com ar thepiratebay.se - DNSSEC leistų kompiuteriui nustatyti, ar jis gauna teisingą atsakymą, kurį patvirtina domeno vardo savininkai. DNSSEC yra tik protokolas; jis nesistengia diskriminuoti "geros" ir "blogos" svetainės.

SOPA reikėjo, kad interneto paslaugų teikėjai peradresuotų "blogų" svetainių DNS paieškos. Pvz., Jei interneto paslaugų teikėjo abonentai bando pasiekti thepiratebay.se, ISP DNS serveriai grąžins kitos svetainės adresą, kuris informuotų juos, kad "Pirate Bay" buvo užblokuotas.

Naudodamiesi DNSSEC tokia peradresavimas nebūtų atskirtas nuo "žmogus-a-middle" užpuolimo, kurio tikslas buvo užkirsti kelią DNSSEC. Interneto tiekėjai, kurie dislokuoja DNSSEC, turės atsakyti į faktinį "Pirate Bay" adresą ir taip pažeidžia SOPA.Kad būtų galima pritaikyti SOPA, DNSSEC turėtų būti išpjautos didelė skylė, kuri leistų interneto paslaugų teikėjams ir vyriausybėms nukreipti domeno vardo DNS užklausas be domeno vardo savininkų leidimo. Tai būtų sunku (jei nebūtų neįmanoma) daryti saugiai, greičiausiai atveriant naujus saugumo spragas priepuoliams.

Image
Image

Laimei, SOPA mirė ir, tikiuosi, nebus sugrįžti. DNSSEC šiuo metu yra dislokuotos, suteikiant ilgą laiką išspręstą problemą.

Rekomenduojamas: