Jak služba DNSSEC pomůže zabezpečit internet a jak SOPA téměř způsobila, že je nezákonné
Domain Name System Security Extensions (DNSSEC) je bezpečnostní technologie, která pomůže napravit jeden z internetových slabých míst. Máme štěstí, že společnost SOPA neprošla, protože společnost SOPA by způsobila, že by DNSSEC byl nezákonný.
Služba DNSSEC přidává důležitou bezpečnost do místa, kde Internet opravdu nemá. Systém názvů domén (DNS) funguje dobře, ale v žádném okamžiku procesu není ověřování, které otvírá otvory pro útočníky.
Současný stav záležitostí
Vysvětlili jsme, jak funguje DNS v minulosti. Stručně řečeno, kdykoli se připojíte k doménovému názvu jako "google.com" nebo "howtogeek.com", váš počítač bude kontaktovat svůj server DNS a vyhledá přidruženou adresu IP pro tento název domény. Počítač se pak připojí k té IP adrese.
Důležité je, že při hledání DNS není použit žádný ověřovací proces. Váš počítač požádá DNS server o adresu přidruženou k webu, server DNS odpovídá na adresu IP a počítač říká "v pořádku!" A šťastně se k ní připojí. Váš počítač nepřestává kontrolovat, zda je to platná odpověď.
Útočníci mohou přesměrovat tyto požadavky na DNS nebo nastavit škodlivé servery DNS určené k vrácení špatných odpovědí. Pokud jste například připojeni k veřejné síti Wi-Fi a pokoušíte se připojit se k adrese howtogeek.com, škodlivý server DNS v této veřejné síti Wi-Fi by mohl vrátit úplně jinou adresu IP. Adresa IP vám může vést k phishingovým webům. Váš webový prohlížeč nemá žádný reálný způsob, jak zkontrolovat, zda je adresa IP skutečně přiřazena k adrese howtogeek.com; musí pouze důvěřovat odpovědi, kterou obdrží od serveru DNS.
Šifrování HTTPS poskytuje některé ověření. Řekněme například, že se pokoušíte připojit k webové stránce vaší banky a vidíte v panelu s adresou HTTPS a ikonu zámku. Víte, že certifikační autorita ověřila, že tato webová stránka patří vaší bance.
Pokud jste se dostali na webovou stránku vaší banky z ohroženého přístupového bodu a DNS server vrátil adresu podvodného phishingového webu, phishingová stránka by nemohla zobrazit šifrování HTTPS. Místo phishingu se však může rozhodnout, že místo HTTPS použije obyčejný HTTP, sází se na to, že většina uživatelů by si nevšimla rozdílu a stejně by zadávala informace o online bankovnictví.
Vaše banka nemá žádný způsob, jak říkat "Toto jsou legitimní adresy IP pro naše webové stránky."
Jak DNSSEC pomůže
Vyhledávání DNS se skutečně děje v několika fázích. Pokud například počítač požádá www.howtogeek.com, váš počítač provede tento postup v několika fázích:
- Nejprve se zeptá na "adresář zóny kořenové", kde najde .com.
- Poté se zeptá na adresář .com, kde může najít howtogeek.com.
- Poté se zeptá Howtogeek.com, kde najde www.howtogeek.com.
DNSSEC zahrnuje "podepisování kořenového adresáře". Pokud se váš počítač pokusí zeptat kořenové zóny, kde může najít .com, bude moci zkontrolovat podpisový klíč kořenové zóny a potvrdit, že se jedná o oprávněnou kořenovou zónu s pravdivými informacemi. Kořenová zóna pak poskytne informace o podpisovém klíči nebo .com a jeho umístění, což umožní, aby váš počítač kontaktoval adresář .com a ujistil se, že je legitimní. Adresář .com poskytne podpisový klíč a informace pro howtogeek.com, což mu umožní kontaktovat howtogeek.com a ověřit, že jste připojeni k reálnému howtogeek.com, což potvrzují zóny nad ním.
Když je služba DNSSEC plně spuštěna, bude váš počítač schopen potvrdit, že odpovědi DNS jsou legitimní a pravdivé, zatímco v současné době nemá možnost zjistit, které z nich jsou falešné a které jsou skutečné.
Přečtěte si více o tom, jak šifrování funguje.
Co by SOPA dělala
Tak jak se na to všechno stalo zákon o zastavení online pirátství, známý jako SOPA? Pokud jste sledovali SOPA, uvědomíte si, že to napsali lidé, kteří nerozuměli internetu, a proto by to "rozbíjelo internet" různými způsoby. To je jeden z nich.
Nezapomeňte, že DNSSEC umožňuje vlastníkům doménového jména podepisovat záznamy DNS. Například, thepiratebay.se může pomocí DNSSEC specifikovat IP adresy, s nimiž je spojena. Když počítač provádí vyhledávání DNS - ať už je to pro google.com nebo thepiratebay.se - DNSSEC by umožnil počítači zjistit, že přijímá správnou odpověď jako ověřenou majitelem doménového jména. DNSSEC je jen protokol; nesnaží se rozlišovat mezi "dobrými" a "špatnými" webovými stránkami.
SOPA by požadovala, aby poskytovatelé internetových služeb přesměrovali vyhledávání DNS pro "špatné" webové stránky. Například pokud se účastníci poskytovatele internetových služeb pokusí přistupovat k serveru piratebay.se, DNS servery ISP vrátí adresu jiné webové stránky, která by je informovala o tom, že byla zablokována služba Pirate Bay.
S DNSSECem by takové přesměrování bylo nerozeznatelné od útoku typu man-in-the-middle, který měl DNSSEC zabránit. Poskytovatelé internetových služeb, kteří nasazují službu DNSSEC, budou muset reagovat na skutečnou adresu portálu Pirate Bay a porušovat tak SOPA. Aby bylo možné vyhovět SOPA, bude muset mít DNSSEC velký rozměr, který by umožnil poskytovatelům internetových služeb a vládám přesměrování doménových jmen DNS bez souhlasu majitelů doménových jmen. To by bylo obtížné (ne-li nemožné) dělat bezpečným způsobem, pravděpodobně otevřít nové bezpečnostní otvory pro útočníky.
Naštěstí je SOPA mrtvá a snad se nevrátí. Služba DNSSEC je právě nasazena a poskytuje tento problém dlouhodobě opravenou opravu.
Image Credit: Khairil Yusof, Jemimus na Flickru, David Holmes na Flickru