Как DNSSEC поможет защитить Интернет и как SOPA почти сделал его незаконным
Расширения безопасности системы доменных имен (DNSSEC) - это технология безопасности, которая поможет устранить одну из слабых сторон Интернета. Нам повезло, что SOPA не прошел, потому что SOPA сделал бы DNSSEC незаконным.
DNSSEC добавляет критически важную безопасность в место, где нет Интернета. Система доменных имен (DNS) работает хорошо, но в любой момент процесса нет проверки, что оставляет злоумышленников открытыми дырами.
Текущее состояние дел
Мы объяснили, как DNS работает в прошлом. Одним словом, всякий раз, когда вы подключаетесь к доменному имени, например, «google.com» или «howtogeek.com», ваш компьютер связывается со своим DNS-сервером и ищет соответствующий IP-адрес для этого доменного имени. Затем ваш компьютер подключается к этому IP-адресу.
Важно отметить, что процесс поиска DNS не связан с проверкой. Ваш компьютер запрашивает у своего DNS-сервера адрес, связанный с веб-сайтом, DNS-сервер отвечает IP-адресом, а ваш компьютер говорит «хорошо!» И успешно подключается к этому веб-сайту. Ваш компьютер не останавливается, чтобы проверить, если это правильный ответ.
Злоумышленники могут перенаправить эти DNS-запросы или настроить вредоносные DNS-серверы, предназначенные для возврата неверных ответов. Например, если вы подключены к общедоступной сети Wi-Fi и пытаетесь подключиться к howtogeek.com, вредоносный DNS-сервер в этой общедоступной сети Wi-Fi может полностью вернуть другой IP-адрес. IP-адрес может привести вас к фишинговому сайту. Ваш веб-браузер не имеет реального способа проверить, действительно ли IP-адрес связан с howtogeek.com; он просто должен доверять ответу, полученному от DNS-сервера.
HTTPS-шифрование обеспечивает некоторую проверку. Например, предположим, что вы пытаетесь подключиться к веб-сайту вашего банка, и вы видите HTTPS и значок блокировки в адресной строке. Вы знаете, что центр сертификации подтвердил, что веб-сайт принадлежит вашему банку.
Если вы получили доступ к веб-сайту своего банка из скомпрометированной точки доступа, а DNS-сервер возвратил адрес фишингового сайта-мошенника, фишинговый сайт не сможет отобразить это HTTPS-шифрование. Тем не менее, фишинговый сайт может предпочесть использовать простой HTTP вместо HTTPS, делая ставку на то, что большинство пользователей не заметят разницы и в любом случае будут вводить свои данные онлайн-банкинга.
Ваш банк не может сказать «Это законные IP-адреса для нашего сайта».
Как DNSSEC поможет
Поиск DNS на самом деле происходит в несколько этапов. Например, когда ваш компьютер запрашивает www.howtogeek.com, он выполняет этот поиск в несколько этапов:
- Сначала он спрашивает «каталог корневой зоны», где он может найти .ком.
- Затем он спрашивает каталог .com, где он может найти howtogeek.com.
- Затем он спрашивает howtogeek.com, где он может найти www.howtogeek.com.
DNSSEC включает в себя «подписание корневого каталога». Когда ваш компьютер отправит запрос в корневую зону, где он может найти .com, он сможет проверить ключ подписи корневой зоны и подтвердить, что это допустимая корневая зона с достоверной информацией. Затем корневая зона предоставит информацию о ключе подписи или .com и его местонахождении, что позволит вашему компьютеру связаться с каталогом .com и убедиться, что он является законным. Каталог .com предоставит ключ подписи и информацию для howtogeek.com, что позволит ему связаться с howtogeek.com и убедиться, что вы подключены к реальному howtogeek.com, что подтверждается зонами над ним..
Когда DNSSEC будет полностью развернут, ваш компьютер сможет подтвердить, что ответы DNS являются законными и правдивыми, тогда как в настоящее время у него нет возможности узнать, какие из них являются поддельными, а какие - реальными..
Подробнее о том, как работает шифрование, читайте здесь.
Что бы сделал SOPA
Итак, как закон «Остановить пиратство в Интернете», более известный как SOPA, отразился на всем этом? Что ж, если вы следовали SOPA, вы понимаете, что она была написана людьми, которые не понимали Интернет, поэтому она «сломала бы Интернет» различными способами. Это один из них.
Помните, что DNSSEC позволяет владельцам доменных имен подписывать свои записи DNS. Так, например, thepiratebay.se может использовать DNSSEC для указания IP-адресов, с которыми он связан. Когда ваш компьютер выполняет поиск DNS - будь то для google.com или thepiratebay.se - DNSSEC позволит компьютеру определить, что он получает правильный ответ, подтвержденный владельцами доменного имени. DNSSEC - это просто протокол; он не пытается различить «хорошие» и «плохие» сайты.
SOPA потребовала бы, чтобы интернет-провайдеры перенаправляли DNS-запросы на «плохие» сайты. Например, если подписчики интернет-провайдера попытались получить доступ к thepiratebay.se, DNS-серверы интернет-провайдера вернут адрес другого веб-сайта, который сообщит им, что Pirate Bay был заблокирован..
В случае DNSSEC такое перенаправление было бы неотличимо от атаки «человек посередине», которую DNSSEC должен был предотвратить. Интернет-провайдеры, развертывающие DNSSEC, должны будут ответить фактическим адресом Пиратской бухты и, таким образом, будут нарушать SOPA. Чтобы приспособить SOPA, DNSSEC должна была бы иметь большую дыру, такую, которая позволила бы интернет-провайдерам и правительствам перенаправлять DNS-запросы доменных имен без разрешения владельцев доменных имен. Это было бы сложно (если не невозможно) сделать безопасным способом, вероятно, открыв новые дыры в безопасности для злоумышленников.
К счастью, SOPA мертва и, надеюсь, не вернется. DNSSEC в настоящее время разворачивается, предоставляя давно назревшее решение этой проблемы.
Изображение предоставлено: Хайрил Юсоф, Джемимус на Flickr, Дэвид Холмс на Flickr