Bagaimana DNSSEC Akan Membantu Mengamankan Internet dan Bagaimana SOPA Hampir Menentukan Ini Tidak Sah
Sambungan Keselamatan Sistem Nama Domain (DNSSEC) adalah teknologi keselamatan yang akan membantu memasang salah satu titik lemah Internet. Kami bernasib baik SOPA tidak lulus, kerana SOPA akan membuat DNSSEC menyalahi undang-undang.
DNSSEC menambah keselamatan kritikal ke tempat di mana Internet tidak mempunyai apa-apa. Sistem nama domain (DNS) berfungsi dengan baik, tetapi tiada pengesahan di mana-mana pun dalam proses, yang meninggalkan lubang terbuka untuk penyerang.
Negeri Hal Ehwal Semasa
Kami telah menjelaskan bagaimana DNS berfungsi pada masa lalu. Singkatnya, setiap kali anda menyambung ke nama domain seperti "google.com" atau "howtogeek.com," komputer anda akan menghubungi pelayan DNSnya dan mencari alamat IP yang berkaitan untuk nama domain tersebut. Komputer anda kemudiannya menyambung ke alamat IP itu.
Yang penting, tidak ada proses pengesahan yang terlibat dalam pemeriksaan DNS. Komputer anda meminta pelayan DNS untuk alamat yang berkaitan dengan tapak web, pelayan DNS bertindak balas dengan alamat IP, dan komputer anda berkata "okay!" Dan dengan senang hati menghubungkan ke laman web itu. Komputer anda tidak berhenti untuk memeriksa jika itu adalah tindak balas yang sah.
Adalah mungkin bagi penyerang untuk mengalihkan permintaan DNS ini atau menyediakan pelayan DNS berniat jahat yang direka untuk membalas respons buruk. Sebagai contoh, jika anda disambungkan ke rangkaian Wi-Fi awam dan anda cuba menyambung ke howtogeek.com, pelayan DNS yang berniat jahat pada rangkaian Wi-Fi awam itu boleh mengembalikan alamat IP yang lain sepenuhnya. Alamat IP boleh membawa anda ke laman web pancingan data. Penyemak imbas web anda tidak mempunyai cara sebenar untuk memeriksa sama ada alamat IP sebenarnya berkaitan dengan howtogeek.com; ia hanya perlu mempercayai sambutan yang diterima daripada pelayan DNS.
Penyulitan HTTPS menyediakan beberapa pengesahan. Sebagai contoh, katakan anda cuba menyambung ke laman web bank anda dan anda melihat HTTPS dan ikon kunci di bar alamat anda. Anda tahu bahawa pihak berkuasa pemerakuan telah mengesahkan bahawa laman web itu milik bank anda.
Sekiranya anda mengakses tapak web bank anda dari titik akses yang dikompromi dan pelayan DNS memulangkan alamat tapak pemancingan phishing, tapak pancingan data tidak dapat memaparkan penyulitan HTTPS. Walau bagaimanapun, tapak pancingan data boleh memilih untuk menggunakan HTTP biasa dan bukannya HTTPS, pertaruhan bahawa kebanyakan pengguna tidak akan melihat perbezaannya dan akan memasukkan maklumat perbankan dalam talian mereka pula.
Bank anda tidak mempunyai cara untuk mengatakan "Ini adalah alamat IP yang sah untuk laman web kami."
Bagaimana DNSSEC Akan Bantu
Pemeriksaan DNS sebenarnya berlaku dalam beberapa peringkat. Contohnya, apabila komputer anda meminta www.howtogeek.com, komputer anda melakukan carian ini dalam beberapa tahap:
- Ia pertama kali meminta "direktori zon akar" di mana ia dapat mencari .com.
- Ia kemudiannya meminta direktori di mana ia dapat mencari howtogeek.com.
- Ia kemudian bertanya howtogeek.com di mana ia dapat mencari www.howtogeek.com.
DNSSEC melibatkan "menandatangani akar." Apabila komputer anda meminta zon akar di mana ia dapat mencari .com, ia akan dapat memeriksa kekunci menandatangani zon akar dan mengesahkan bahawa ia adalah zon akar yang sah dengan maklumat yang benar. Zon akar kemudian akan memberikan maklumat pada kunci tandatangan atau .com dan lokasinya, yang membolehkan komputer anda untuk menghubungi direktori COM dan pastikan ia sah. Direktori .com akan menyediakan kunci dan maklumat untuk signing howtogeek.com, membolehkannya menghubungi howtogeek.com dan mengesahkan bahawa anda disambungkan ke howtogeek.com sebenar, seperti yang disahkan oleh zon di atasnya.
Apabila DNSSEC sepenuhnya dilancarkan, komputer anda akan dapat mengesahkan tindak balas DNS adalah sah dan benar, sedangkan pada masa ini ia tidak mempunyai cara untuk mengetahui mana yang palsu dan yang mana sebenarnya.
Baca lebih lanjut mengenai bagaimana penyulitan berfungsi di sini.
Apa SOPA Akan Dilakukan
Jadi, bagaimanakah Akta Hukuman Hentikan Online, lebih dikenali sebagai SOPA, bermain dalam semua ini? Nah, jika anda mengikuti SOPA, anda menyedari bahawa ia ditulis oleh orang yang tidak memahami Internet, jadi ia akan "memecahkan Internet" dalam pelbagai cara. Ini adalah salah satu daripada mereka.
Ingat bahawa DNSSEC membolehkan pemilik nama domain menandatangani rekod DNS mereka. Jadi, sebagai contoh, thepiratebay.se boleh menggunakan DNSSEC untuk menentukan alamat IP yang dikaitkan dengannya. Apabila komputer anda melakukan pemeriksaan DNS - sama ada untuk google.com atau thepiratebay.se - DNSSEC akan membenarkan komputer menentukan bahawa ia menerima tindak balas yang betul sebagai disahkan oleh pemilik nama domain. DNSSEC hanyalah protokol; ia tidak cuba untuk mendiskriminasikan antara laman web "baik" dan "buruk".
SOPA akan memerlukan penyedia perkhidmatan Internet untuk mengalihkan carian DNS untuk laman web "buruk". Sebagai contoh, jika pelanggan penyedia perkhidmatan Internet cuba mengakses thepiratebay.se, pelayan DNS ISP akan memulangkan alamat laman web yang lain, yang akan memberitahu mereka bahawa Pirate Bay telah disekat.
Dengan DNSSEC, pengalihan seperti ini tidak dapat dibezakan daripada serangan orang tengah, yang DNSSEC direka untuk mencegahnya. ISP yang menggunakan DNSSEC perlu bertindak balas dengan alamat sebenar Pirate Bay, dan dengan itu akan melanggar SOPA. Untuk menampung SOPA, DNSSEC perlu memotong lubang besar ke dalamnya, yang membolehkan pembekal perkhidmatan Internet dan kerajaan untuk mengarahkan permintaan DNS nama domain tanpa kebenaran pemilik nama domain. Ini akan sukar (jika tidak mustahil) dilakukan dengan cara yang selamat, mungkin membuka lubang keselamatan baru untuk penyerang.
Untungnya, SOPA sudah mati dan diharapkan ia tidak akan kembali. DNSSEC sedang ditugaskan, menyediakan penyelesaian jangka panjang untuk masalah ini.
Kredit Imej: Khairil Yusof, Jemimus di Flickr, David Holmes di Flickr
