Расширения безопасности системы доменных имен (DNSSEC) – это технология безопасности, которая поможет устранить одну из слабых сторон Интернета. Нам повезло, что SOPA не прошел, потому что SOPA сделал бы DNSSEC незаконным.
DNSSEC добавляет критически важную безопасность в место, где нет Интернета. Система доменных имен (DNS) работает хорошо, но в любой момент процесса проверки не выполняются, что оставляет злоумышленникам дыры.
Текущее состояние дел
Мы объясняли, как DNS работает в прошлом. Одним словом, всякий раз, когда вы подключаетесь к доменному имени, например «google.com» или «howtogeek.com», ваш компьютер связывается со своим DNS-сервером и ищет связанный IP-адрес для этого доменного имени. Затем ваш компьютер подключается к этому IP-адресу.
Важно отметить, что процесс поиска DNS не связан с проверкой. Ваш компьютер запрашивает у своего DNS-сервера адрес, связанный с веб-сайтом, DNS-сервер отвечает IP-адресом, а ваш компьютер говорит «хорошо!» И успешно подключается к этому веб-сайту. Ваш компьютер не останавливается, чтобы проверить, верный ли это ответ.
Злоумышленники могут перенаправить эти DNS-запросы или настроить вредоносные DNS-серверы, предназначенные для возврата неверных ответов. Например, если вы подключены к общедоступной сети Wi-Fi и пытаетесь подключиться к howtogeek.com, вредоносный DNS-сервер в этой общедоступной сети Wi-Fi может полностью вернуть другой IP-адрес. IP-адрес может привести вас к фишинговому сайту. Ваш веб-браузер не имеет реального способа проверить, действительно ли IP-адрес связан с howtogeek.com; он просто должен доверять ответу, полученному от DNS-сервера.
HTTPS-шифрование действительно обеспечивает некоторую проверку. Например, допустим, вы пытаетесь подключиться к веб-сайту вашего банка, и вы видите HTTPS и значок блокировки в адресной строке. Вы знаете, что центр сертификации подтвердил, что веб-сайт принадлежит вашему банку.
Если вы зашли на веб-сайт вашего банка из скомпрометированной точки доступа и DNS-сервер возвратил адрес фишингового сайта-мошенника, фишинговый сайт не сможет отобразить это HTTPS-шифрование. Тем не менее, фишинговый сайт может предпочесть использовать обычный HTTP вместо HTTPS, делая ставку на то, что большинство пользователей не заметят разницы и в любом случае будут вводить свои данные онлайн-банкинга.
Ваш банк не может сказать «Это законные IP-адреса для нашего сайта».
Как DNSSEC поможет
Поиск DNS на самом деле происходит в несколько этапов. Например, когда ваш компьютер запрашивает www.howtogeek.com, он выполняет этот поиск в несколько этапов:
- Сначала он спрашивает «каталог корневой зоны», где он может найти .com .
- Затем он спрашивает каталог .com, где можно найти howtogeek.com .
- Затем он спрашивает howtogeek.com, где можно найти www.howtogeek.com .
DNSSEC включает в себя «подписание корневого каталога». Когда ваш компьютер спросит корневую зону, где он может найти .com, он сможет проверить ключ подписи корневой зоны и подтвердить, что это допустимая корневая зона с достоверной информацией. Затем корневая зона предоставит информацию о ключе подписи или .com и его местонахождении, что позволит вашему компьютеру связаться с каталогом .com и убедиться, что он является законным. Каталог .com предоставит ключ подписи и информацию для howtogeek.com, что позволит ему связаться с howtogeek.com и убедиться, что вы подключены к реальному howtogeek.com, что подтверждается зонами над ним.
Когда DNSSEC будет полностью развернут, ваш компьютер сможет подтвердить правильность и достоверность ответов DNS, в то время как в настоящее время он не может узнать, какие из них являются поддельными, а какие – реальными.
Подробнее о том, как работает шифрование, читайте здесь.
Что бы сделал SOPA
Итак, как закон «Остановить пиратство в Интернете», более известный как SOPA, сыграл во всем этом? Что ж, если вы следовали SOPA, вы понимаете, что он был написан людьми, которые не понимают Интернет, поэтому он «сломал бы Интернет» различными способами. Это одна из них.
Помните, что DNSSEC позволяет владельцам доменных имен подписывать свои записи DNS. Так, например, thepiratebay.se может использовать DNSSEC для указания IP-адресов, с которыми он связан. Когда ваш компьютер выполняет поиск DNS – будь то для google.com или thepiratebay.se – DNSSEC позволит компьютеру определить, что он получает правильный ответ, подтвержденный владельцами доменного имени. DNSSEC – это просто протокол; он не пытается различить «хорошие» и «плохие» сайты.
SOPA потребовала бы, чтобы интернет-провайдеры перенаправляли DNS-запросы на «плохие» сайты. Например, если подписчики интернет-провайдера попытались получить доступ к thepiratebay.se, DNS-серверы интернет-провайдера вернут адрес другого веб-сайта, который сообщит им, что Pirate Bay был заблокирован.
В случае DNSSEC такое перенаправление было бы неотличимо от атаки «человек посередине», которую DNSSEC должен был предотвратить. Интернет-провайдеры, развертывающие DNSSEC, должны будут ответить фактическим адресом Пиратской бухты и, таким образом, будут нарушать SOPA. Чтобы приспособить SOPA, DNSSEC должна была иметь большую дыру, которая позволила бы провайдерам интернет-услуг и правительствам перенаправлять DNS-запросы доменных имен без разрешения владельцев доменных имен. Это было бы сложно (если не невозможно) сделать безопасным способом, вероятно, открыв новые дыры в безопасности для злоумышленников.
К счастью, SOPA мертва и, надеюсь, не вернется. DNSSEC в настоящее время развертывается, предоставляя давно назревшее решение этой проблемы.
Изображение предоставлено: Хайрил Юсоф, Джемимус на Flickr, Дэвид Холмс на Flickr
