Расширения безопасности системы доменных имен (DNSSEC) — это технология безопасности, которая поможет устранить одну из слабых сторон Интернета. Нам повезло, что SOPA не прошел, потому что SOPA сделал бы DNSSEC незаконным.
DNSSEC добавляет критически важную безопасность в место, где нет Интернета. Система доменных имен (DNS) работает хорошо, но в любой точке процесса нет проверки, которая оставляет дыры открытыми для злоумышленников.
Текущее состояние дел
Мы объяснили, как DNS работает в прошлом. Одним словом, всякий раз, когда вы подключаетесь к доменному имени, например «google.com» или «.com», ваш компьютер связывается со своим DNS-сервером и ищет связанный IP-адрес для этого доменного имени. Затем ваш компьютер подключается к этому IP-адресу.
Важно отметить, что процесс поиска DNS не связан с проверкой. Ваш компьютер запрашивает у своего DNS-сервера адрес, связанный с веб-сайтом, DNS-сервер отвечает IP-адресом, а ваш компьютер говорит «хорошо!» И успешно подключается к этому веб-сайту. Ваш компьютер не останавливается, чтобы проверить, если это правильный ответ.
Злоумышленники могут перенаправить эти DNS-запросы или настроить вредоносные DNS-серверы, предназначенные для возврата неверных ответов. Например, если вы подключены к общедоступной сети Wi-Fi и пытаетесь подключиться к .com, вредоносный DNS-сервер в этой общедоступной сети Wi-Fi может полностью вернуть другой IP-адрес. IP-адрес может привести вас к фишинговому сайту. Ваш веб-браузер не имеет реального способа проверить, действительно ли IP-адрес связан с .com; он просто должен доверять ответу, полученному от DNS-сервера.
HTTPS-шифрование действительно обеспечивает некоторую проверку. Например, предположим, вы пытаетесь подключиться к веб-сайту вашего банка, и вы видите HTTPS и значок блокировки в адресной строке . Вы знаете, что центр сертификации подтвердил, что веб-сайт принадлежит вашему банку.
Если вы получили доступ к веб-сайту своего банка из скомпрометированной точки доступа, а DNS-сервер возвратил адрес фишингового сайта-мошенника, фишинговый сайт не сможет отобразить это шифрование HTTPS. Тем не менее, фишинговый сайт может предпочесть использовать обычный HTTP вместо HTTPS, делая ставку на то, что большинство пользователей не заметят разницы и все равно будут вводить свои данные онлайн-банкинга.
Ваш банк не может сказать «Это законные IP-адреса для нашего сайта».
Как DNSSEC поможет
Поиск DNS на самом деле происходит в несколько этапов. Например, когда ваш компьютер запрашивает www..com, он выполняет этот поиск в несколько этапов:
- Сначала он спрашивает «каталог корневой зоны», где он может найти .com .
- Затем он спрашивает каталог .com, где он может найти .com .
- Затем он спрашивает .com, где он может найти www..com .
DNSSEC включает в себя «подписание корневого каталога». Когда ваш компьютер спросит корневую зону, где он может найти .com, он сможет проверить ключ подписи корневой зоны и подтвердить, что это допустимая корневая зона с достоверной информацией. Затем корневая зона предоставит информацию о ключе подписи или .com и его местонахождении, что позволит вашему компьютеру связаться с каталогом .com и убедиться, что он является законным. Каталог .com предоставит ключ подписи и информацию для .com, что позволит ему связаться с .com и убедиться, что вы подключены к реальному .com, что подтверждается зонами над ним.
Когда DNSSEC будет полностью развернут, ваш компьютер сможет подтвердить правильность и достоверность ответов DNS, в то время как в настоящее время он не может узнать, какие из них являются поддельными, а какие — реальными.
Подробнее о том, как работает шифрование, читайте здесь.
Что бы сделал SOPA
Итак, как закон «Остановить пиратство в Интернете», более известный как SOPA, сыграл во всем этом? Что ж, если вы следовали SOPA, вы понимаете, что она написана людьми, которые не понимают Интернет, поэтому она «сломает Интернет» различными способами. Это одна из них.
Помните, что DNSSEC позволяет владельцам доменных имен подписывать свои записи DNS. Так, например, thepiratebay.se может использовать DNSSEC для указания IP-адресов, с которыми он связан. Когда ваш компьютер выполняет поиск DNS — будь то для google.com или thepiratebay.se — DNSSEC позволит компьютеру определить, что он получает правильный ответ, подтвержденный владельцами доменного имени. DNSSEC — это просто протокол; он не пытается различить «хорошие» и «плохие» сайты.
SOPA потребовала бы, чтобы интернет-провайдеры перенаправляли DNS-запросы на «плохие» сайты. Например, если подписчики интернет-провайдера попытались получить доступ к thepiratebay.se, DNS-серверы интернет-провайдера вернут адрес другого веб-сайта, который сообщит им, что Pirate Bay был заблокирован.
С DNSSEC такое перенаправление было бы неотличимо от атаки «человек посередине», которую DNSSEC должен был предотвратить. Интернет-провайдеры, развертывающие DNSSEC, должны будут ответить фактическим адресом Пиратской бухты и, таким образом, будут нарушать SOPA. Чтобы приспособить SOPA, DNSSEC должна была бы иметь большую дыру, такую, которая позволила бы интернет-провайдерам и правительствам перенаправлять DNS-запросы доменных имен без разрешения владельцев доменных имен. Это было бы сложно (если не невозможно) сделать безопасным способом, вероятно, открыв новые дыры в безопасности для злоумышленников.
К счастью, SOPA мертва и, надеюсь, не вернется. DNSSEC в настоящее время развертывается, предоставляя давно назревшее решение этой проблемы.
Изображение предоставлено: Хайрил Юсоф , Джемимус на Flickr , Дэвид Холмс на Flickr