איך DNSSEC יעזור לאבטח את האינטרנט וכיצד SOPA כמעט עשה את זה לא חוקי
שם תחום מערכת הביטחון Extensions (DNSSEC) היא טכנולוגיית אבטחה שיסייע תיקון אחד נקודות התורפה של האינטרנט. אנחנו מזל SOPA לא עבר, כי SOPA היה עושה DNSSEC חוקי.
DNSSEC מוסיף אבטחה קריטית למקום שבו האינטרנט לא באמת יש. מערכת שם התחום (DNS) פועלת היטב, אך אין אימות בשלב כלשהו בתהליך, מה שמשאיר חורים פתוחים לתוקפים.
מצב העניינים הנוכחי
הסברנו כיצד DNS פועל בעבר. בקיצור, בכל פעם שאתה מתחבר לשם תחום כמו "google.com" או "howtogeek.com", המחשב שלך יוצר קשר עם שרת ה- DNS שלו ואת מחפש את כתובת ה- IP המשויכת עבור שם התחום. לאחר מכן המחשב מתחבר לכתובת IP זו.
חשוב לציין, אין תהליך אימות מעורב בחיפוש DNS. המחשב שלך שואל את שרת ה- DNS שלו עבור כתובת המשויכת לאתר אינטרנט, שרת ה- DNS מגיב עם כתובת IP, והמחשב שלך אומר "בסדר!" ומתחבר בשמחה לאותו אתר. המחשב שלך אינו מפסיק לבדוק אם מדובר בתגובה חוקית.
ייתכן שהתוקפים יפנו מחדש בקשות DNS אלה או יקימו שרתי DNS זדוניים שנועדו להחזיר תגובות גרועות. לדוגמה, אם אתה מחובר לרשת Wi-Fi ציבורית ואתה מנסה להתחבר ל- howtogeek.com, שרת DNS זדוני ברשת ה- Wi-Fi הציבורית יכול להחזיר כתובת IP שונה לחלוטין. כתובת ה- IP עלולה להוביל אותך לאתר אינטרנט של התחזות. דפדפן האינטרנט שלך אין דרך אמיתית לבדוק אם כתובת ה- IP קשורה למעשה עם howtogeek.com; זה רק צריך לסמוך על התגובה שהוא מקבל משרת ה- DNS.
הצפנת HTTPS מספקת אימות כלשהו. לדוגמה, נניח שאתה מנסה להתחבר לאתר האינטרנט של הבנק שלך ואתה רואה את HTTPS ואת סמל המנעול בסרגל הכתובות שלך. אתה יודע שרשות אישורים אימתה שאתר זה שייך לבנק שלך.
אם ניגשת לאתר הבנק שלך מנקודת גישה שנפרצה, שרת ה- DNS החזיר את הכתובת של אתר פישינג מתחזה, אתר הדיוג לא יוכל להציג את ההצפנה של HTTPS. עם זאת, אתר התחזות עשוי לבחור להשתמש ב- HTTP רגיל במקום ב- HTTPS, הימורים שרוב המשתמשים לא ישימו לב להבדל ויכניסו את פרטי הבנקאות המקוונת שלהם בכל מקרה.
לבנק שלך אין דרך לומר "אלה כתובות ה- IP החוקיות עבור האתר שלנו".
איך DNSSEC יעזור
בדיקת DNS אכן מתרחשת בכמה שלבים. לדוגמה, כאשר המחשב מבקש www.howtogeek.com, המחשב מבצע בדיקה זו במספר שלבים:
- זה הראשון שואל את "אזור השורש ספרייה" שבו הוא יכול למצוא .com.
- לאחר מכן הוא שואל את המדריך. Com שבו הוא יכול למצוא כיצד.
- לאחר מכן הוא שואל howtogeek.com איפה זה יכול למצוא www.howtogeek.com.
DNSSEC כרוך "החתימה על השורש." כאשר המחשב הולך לשאול את אזור השורש שבו הוא יכול למצוא. Com, הוא יוכל לבדוק את החתימה של אזור השורש המפתח ולאשר כי הוא אזור שורש לגיטימי עם מידע אמיתי. אזור הבסיס יספק מידע על מפתח החתימה או .com ועל מיקומו, דבר שיאפשר למחשב שלך ליצור קשר עם ספריית .com ולוודא שהוא לגיטימי. המדריך. Com יספק את החתימה מפתח ומידע עבור howtogeek.com, ומאפשר לו ליצור קשר עם howtogeek.com ולוודא שאתה מחובר howtogeek.com אמיתי, כפי שאושר על ידי אזורים מעל זה.
כאשר DNSSEC הוא התגלגל החוצה לחלוטין, המחשב יוכל לאשר את התגובות DNS הם לגיטימיים ונכונים, ואילו כרגע אין לו דרך לדעת אילו מהם מזויפים ומי הם אמיתיים.
קרא עוד על אופן הפעולה של ההצפנה כאן.
מה SOPA היה עושה
אז איך חוק הפירטיות להפסיק באינטרנט, הידוע יותר בשם SOPA, לשחק לתוך כל זה? ובכן, אם אתה עוקב אחרי סופה, אתה מבין שזה נכתב על ידי אנשים שלא מבינים את האינטרנט, אז זה היה "לשבור את האינטרנט" בדרכים שונות. זה אחד מהם.
זכור ש- DNSSEC מאפשר לבעלי שם תחום לחתום על רשומות ה- DNS שלהם. כך, לדוגמה, thepiratebay.se יכול להשתמש DNSSEC כדי לציין את כתובות ה- IP שהוא משויך. כאשר המחשב מבצע חיפוש DNS - בין אם הוא עבור google.com או thepiratebay.se - DNSSEC יאפשר למחשב לקבוע שהוא מקבל את התגובה הנכונה כפי שאומתה על ידי הבעלים של שם התחום. DNSSEC הוא רק פרוטוקול; זה לא מנסה להפלות בין "טוב" ו "רע" אתרי אינטרנט.
SOPA הייתה דורשת מספקי שירותי אינטרנט להפנות חיפושי DNS לאתרים "רעים". לדוגמה, אם המנויים של ספק שירותי האינטרנט ניסו לגשת אל thepiratebay.se, שרתי ה- DNS של ספק שירותי האינטרנט יחזירו את הכתובת של אתר אינטרנט אחר, אשר יודיע להם כי מפרץ פיראט נחסם.
עם DNSSEC, ניתוב מחדש כזה יהיה בלתי ניתן להבדיל בין אדם ב-באמצע התקפה, אשר DNSSEC נועד למנוע. ספקי שירותי אינטרנט לפריסת DNSSEC יצטרכו להגיב עם הכתובת האמיתית של מפרץ הפיראטים, ובכך היו מפרים את SOPA. כדי להתאים את SOPA, DNSSEC היה צריך להיות גדול חור לחתוך לתוכו, אחד שיאפשר ספקי שירותי אינטרנט וממשלות להפנות שם תחום DNS בקשות ללא אישור של שם התחום של הבעלים. זה יהיה קשה (אם לא בלתי אפשרי) לעשות בצורה בטוחה, סביר להניח פתיחת חורי אבטחה חדשים עבור התוקפים.
למרבה המזל, SOPA הוא מת והוא מקווה לא יחזור. DNSSEC נמצאת כעת בפריסה, ומספקת תיקון שהגיע מזמן לאירוע זה.
תמונה אשראי: ח 'יריל יוסוף, Jemimus על פליקר, דוד הולמס על פליקר