Како ће ДНССЕЦ помоћи у обезбеђивању интернета и како је СОПА скоро постала незаконита
Сигурносна проширења система имена домена (ДНССЕЦ) је сигурносна технологија која ће помоћи да се закрпи једна од слабих тачака Интернета. Имали смо среће што СОПА није прошла, јер би СОПА учинила ДНССЕЦ незаконитим.
ДНССЕЦ додаје критичну безбедност месту где Интернет заиста нема. Систем назива домена (ДНС) добро ради, али нема потврде ни у једном тренутку процеса, што оставља рупе отворене за нападаче.
Садашње стање ствари
Објаснили смо како ДНС ради у прошлости. Укратко, кад год се повежете са именом домена као што је “гоогле.цом” или “ховтогеек.цом”, ваш рачунар контактира свој ДНС сервер и тражи одговарајућу ИП адресу за то име домена. Рачунар се затим повезује на ту ИП адресу.
Важно је да не постоји процес верификације у ДНС претраживању. Ваш рачунар пита ДНС сервер за адресу која је повезана са веб сајтом, ДНС сервер одговара са ИП адресом, а ваш рачунар каже “у реду!” И срећно се повезује са тим веб сајтом. Рачунар не престаје да провери да ли је то исправан одговор.
Могуће је да нападачи преусмеравају ове ДНС захтеве или подешавају злонамерне ДНС сервере намењене за враћање лоших одговора. На пример, ако сте повезани са јавном Ви-Фи мрежом и покушате да се повежете са ховтогеек.цом, злонамерни ДНС сервер на тој јавној Ви-Фи мрежи може у потпуности да врати другу ИП адресу. ИП адреса може вас одвести на пхисхинг веб локацију. Ваш веб претраживач нема прави начин да провери да ли је ИП адреса заиста повезана са ховтогеек.цом; само треба да верује одговору који прими од ДНС сервера.
ХТТПС енкрипција обезбеђује неку верификацију. На пример, рецимо да покушате да се повежете са Веб локацијом своје банке и видите ХТТПС и икону закључавања у адресној траци. Ви знате да је сертификациони ауторитет потврдио да веб локација припада вашој банци.
Ако сте приступили вебсајту ваше банке са угрожене приступне тачке, а ДНС сервер је вратио адресу лажног пхисхинг сајта, пхисхинг сајт не би могао да прикаже ХТТПС шифровање. Међутим, веб-локација за крађу идентитета може да се одлучи да користи обичан ХТТП уместо ХТТПС-а, клађењем да већина корисника не би приметила разлику и свеједно би унела своје информације за онлине банкарство.
Ваша банка нема начина да каже "Ово су легитимне ИП адресе за наш сајт."
Како ће ДНССЕЦ помоћи
ДНС претраживање се дешава у неколико фаза. На пример, када рачунар пита за ввв.ховтогеек.цом, ваш рачунар извршава ову претрагу у неколико фаза:
- Прво тражи "директоријум роот зоне" где може да пронађе .цом.
- Затим пита .цом директоријум где може да пронађе ховтогеек.цом.
- Затим пита ховтогеек.цом гдје може пронаћи ввв.ховтогеек.цом.
ДНССЕЦ подразумева „потписивање корена“. Када рачунар оде да пита роот зону где може да нађе .цом, моћи ће да провери кључ потписивања коренске зоне и потврди да је то легитимна коренска зона са истинитим информацијама. Коренска зона ће затим пружити информације о кључу за потписивање или .цом и његовој локацији, дозвољавајући вашем рачунару да контактира .цом директоријум и осигура да је он легитиман. Директоријум .цом ће дати кључ за потписивање и информације за ховтогеек.цом, дозвољавајући му да контактира ховтогеек.цом и потврди да сте повезани са правим ховтогеек.цом, што потврђују зоне изнад њега.
Када се ДНССЕЦ комплетира у потпуности, ваш рачунар ће моћи да потврди да су ДНС одговори легитимни и истинити, док тренутно нема начина да сазна који су лажни и који су прави.
Прочитајте више о томе како овде функционише шифровање.
Шта би СОПА урадила
Како се у свему томе играо Закон о Онлине пиратству, познатијем као СОПА? Па, ако сте пратили СОПУ, схватили сте да су је написали људи који нису разумели Интернет, тако да би "разбила интернет" на различите начине. Ово је један од њих.
Запамтите да ДНССЕЦ дозвољава власницима имена домена да потпишу своје ДНС записе. Тако, на пример, тхепиратебаи.се може да користи ДНССЕЦ да одреди ИП адресе са којима је повезан. Када рачунар изврши ДНС претраживање - било да је то за гоогле.цом или тхепиратебаи.се - ДНССЕЦ би омогућио компјутеру да утврди да прима исправан одговор који су потврдили власници назива домена. ДНССЕЦ је само протокол; не покушава да прави разлику између „добрих“ и „лоших“ сајтова.
СОПА би тражила од Интернет провајдера да преусмеравају ДНС претраге за “лоше” веб странице. На пример, ако су претплатници Интернет провајдера покушали да приступе тхепиратебаи.се, ДНС сервери ИСП-а би вратили адресу другог веб сајта, што би их обавестило да је Пирате Баи био блокиран..
Код ДНССЕЦ-а, таква преусмеравања не би се могла разликовати од напада човека у средини, који је ДНССЕЦ осмишљен да спречи. ИСП-ови који користе ДНССЕЦ би морали да одговоре са стварном адресом Пирате Баи-а, и тиме би кршили СОПА. Да би се прилагодио СОПА-и, ДНССЕЦ би морао имати велику рупу у њој, која би омогућила провајдерима интернетских услуга и владама да преусмеравају ДНС захтеве домена без дозволе власника домена. То би било тешко (ако не и немогуће) урадити на сигуран начин, што ће вероватно отворити нове сигурносне рупе за нападаче.
Срећом, СОПА је мртва и надамо се да се неће вратити. ДНССЕЦ је тренутно у употреби, обезбеђујући дугорочно решење за овај проблем.
Имаге Цредит: Кхаирил Иусоф, Јемимус на Флицкр-у, Давид Холмес на Флицкр-у