Как DNSSEC поможет защитить Интернет и как SOPA почти сделал это незаконным

Оглавление:

Как DNSSEC поможет защитить Интернет и как SOPA почти сделал это незаконным
Как DNSSEC поможет защитить Интернет и как SOPA почти сделал это незаконным

Видео: Как DNSSEC поможет защитить Интернет и как SOPA почти сделал это незаконным

Видео: Как DNSSEC поможет защитить Интернет и как SOPA почти сделал это незаконным
Видео: Пинхол на цифровой камере. - YouTube 2024, Апрель
Anonim
Расширения безопасности системы доменных имен (DNSSEC) - это технология безопасности, которая поможет исправить один из слабых мест в Интернете. Нам повезло, что SOPA не прошла, потому что SOPA сделало DNSSEC незаконным.
Расширения безопасности системы доменных имен (DNSSEC) - это технология безопасности, которая поможет исправить один из слабых мест в Интернете. Нам повезло, что SOPA не прошла, потому что SOPA сделало DNSSEC незаконным.

DNSSEC добавляет критическую безопасность в место, где в Интернете нет ни одного. Система доменных имен (DNS) работает хорошо, но в любой момент процесса нет проверки, которая оставляет дыры открытыми для злоумышленников.

Текущее состояние дел

Мы объяснили, как работает DNS в прошлом. Вкратце, всякий раз, когда вы подключаетесь к доменному имени, например «google.com» или «howtogeek.com», ваш компьютер связывается с его DNS-сервером и ищет соответствующий IP-адрес для этого имени домена. Затем ваш компьютер подключается к этому IP-адресу.

Важно отметить, что процесс поиска DNS не выполняется. Ваш компьютер запрашивает свой DNS-сервер для адреса, связанного с веб-сайтом, DNS-сервер отвечает IP-адресом, а ваш компьютер говорит «хорошо!» И с радостью подключается к этому веб-сайту. Ваш компьютер не останавливается, чтобы проверить, является ли это действительным ответом.

Злоумышленники могут перенаправить эти DNS-запросы или настроить вредоносные DNS-серверы, предназначенные для возврата плохих ответов. Например, если вы подключены к общедоступной сети Wi-Fi и пытаетесь подключиться к howtogeek.com, вредоносный DNS-сервер в этой общедоступной сети Wi-Fi может полностью вернуть другой IP-адрес. IP-адрес может привести вас к фишинговому веб-сайту. В вашем веб-браузере нет реального способа проверить, действительно ли IP-адрес связан с howtogeek.com; он просто должен доверять ответ, который он получает от DNS-сервера.
Злоумышленники могут перенаправить эти DNS-запросы или настроить вредоносные DNS-серверы, предназначенные для возврата плохих ответов. Например, если вы подключены к общедоступной сети Wi-Fi и пытаетесь подключиться к howtogeek.com, вредоносный DNS-сервер в этой общедоступной сети Wi-Fi может полностью вернуть другой IP-адрес. IP-адрес может привести вас к фишинговому веб-сайту. В вашем веб-браузере нет реального способа проверить, действительно ли IP-адрес связан с howtogeek.com; он просто должен доверять ответ, который он получает от DNS-сервера.

Шифрование HTTPS обеспечивает некоторую проверку. Например, предположим, вы пытаетесь подключиться к веб-сайту своего банка, и вы видите HTTPS и значок блокировки в адресной строке. Вы знаете, что центр сертификации подтвердил, что веб-сайт принадлежит вашему банку.

Если вы получили доступ к веб-сайту своего банка с уязвимой точки доступа, а DNS-сервер вернул адрес сайта фишинга-жертвы, сайт фишинга не сможет отобразить это HTTPS-шифрование. Тем не менее, фишинг-сайт может предпочесть использовать простой HTTP вместо HTTPS, делая ставку на то, что большинство пользователей не заметят разницы и в любом случае будут входить в свою онлайн-банковскую информацию.
Если вы получили доступ к веб-сайту своего банка с уязвимой точки доступа, а DNS-сервер вернул адрес сайта фишинга-жертвы, сайт фишинга не сможет отобразить это HTTPS-шифрование. Тем не менее, фишинг-сайт может предпочесть использовать простой HTTP вместо HTTPS, делая ставку на то, что большинство пользователей не заметят разницы и в любом случае будут входить в свою онлайн-банковскую информацию.

Ваш банк не может сказать: «Это законные IP-адреса для нашего сайта».

Image
Image

Как DNSSEC поможет

Поиск DNS фактически происходит в несколько этапов. Например, когда ваш компьютер запрашивает www.howtogeek.com, ваш компьютер выполняет этот поиск в несколько этапов:

  • Сначала он спрашивает «каталог корневой зоны», где он может найти .com.
  • Затем он запрашивает каталог.com, где он может найти howtogeek.com.
  • Затем он спрашивает howtogeek.com, где он может найти www.howtogeek.com.

DNSSEC предполагает «подписание корня». Когда ваш компьютер отправляется спрашивать корневую зону, где он может найти.com, он сможет проверить ключ подписи корневой зоны и подтвердить, что это законная корневая зона с достоверной информацией. Затем корневая зона предоставит информацию о ключе подписи или.com и его местоположении, что позволит вашему компьютеру связаться с каталогом.com и обеспечить его легитимность. В каталоге.com будет предоставлен ключ подписи и информация для howtogeek.com, позволяющая ему связаться с howtogeek.com и убедиться, что вы подключены к реальному howtogeek.com, что подтверждается зонами, расположенными над ним.

Когда DNSSEC будет полностью развернут, ваш компьютер сможет подтвердить, что ответы DNS являются законными и истинными, тогда как в настоящее время он не знает, какие из них являются поддельными, а какие - реальными.

Подробнее о том, как работает шифрование.
Подробнее о том, как работает шифрование.

Что сделала бы SOPA

Итак, как все это произошло в «Остановлении онлайн-пиратства», более известном как SOPA? Ну, если вы следовали за SOPA, вы понимаете, что это написано людьми, которые не понимают Интернет, поэтому он «разрывает Интернет» различными способами. Это одна из них.

Помните, что DNSSEC позволяет владельцам доменных имен подписывать свои DNS-записи. Так, например, thepiratebay.se может использовать DNSSEC для указания IP-адресов, с которыми он связан. Когда компьютер выполняет поиск DNS - будь то для google.com или thepiratebay.se - DNSSEC разрешает компьютеру определять, что он получает правильный ответ, подтвержденный владельцами доменных имен. DNSSEC - это всего лишь протокол; он не пытается различать «хорошие» и «плохие» веб-сайты.

SOPA потребовало бы, чтобы поставщики интернет-услуг перенаправляли поисковые запросы DNS на «плохие» веб-сайты. Например, если подписчики провайдера интернет-услуг попытались получить доступ к thepiratebay.se, DNS-серверы ISP вернут адрес другого веб-сайта, который будет информировать их о блокировке Pirate Bay.

С DNSSEC такое перенаправление было бы неотличимым от атаки «человек в середине», которую DNSSEC был разработан для предотвращения. Интернет-провайдеры, внедряющие DNSSEC, должны будут ответить фактическим адресом пиратской бухты и, таким образом, будут нарушать SOPA.Чтобы разместить SOPA, DNSSEC должен был бы иметь в себе большое отверстие, которое позволит провайдерам интернет-услуг и правительствам перенаправлять DNS-запросы доменных имен без разрешения владельцев доменных имен. Это было бы трудно (если не невозможно) сделать безопасным способом, вероятно, открыв новые дыры в безопасности для злоумышленников.

Image
Image

К счастью, SOPA мертв, и, надеюсь, он не вернется. DNSSEC в настоящее время развертывается, обеспечивая долговременное исправление этой проблемы.

Рекомендуемые:

Система разрешений для Android нарушена, а Google просто сделал это хуже

Система разрешений для Android нарушена, а Google просто сделал это хуже

Мобильные приложения собирают целые адресные книги и загружают их на серверы объявлений, отслеживая движения пользователей через GPS и делая другие неприятные вещи. Но система разрешения Android не делает достаточно, чтобы помочь пользователям бороться с этим.

Может ли мой интернет-провайдер действительно продавать мои данные? Как я могу защитить себя?

Может ли мой интернет-провайдер действительно продавать мои данные? Как я могу защитить себя?

Возможно, вы недавно слышали много новостей о поставщиках интернет-услуг (ISP), отслеживающих историю просмотров и продажи всех ваших данных. Что это значит и как вы можете наилучшим образом защитить себя?

Почему смотреть DVD на Linux является незаконным в США

Почему смотреть DVD на Linux является незаконным в США

Закон о защите авторских прав в цифровую эпоху (DMCA) позволяет разблокировать сотовые телефоны, копировать DVD-диски, удалять электронные книги DRM и джейлбрейк-таблетки в США. Однако есть еще один сюрприз: просто просмотр DVD на Linux также является незаконным.

Что такое Pharming и как вы можете предотвратить это интернет-мошенничество?

Что такое Pharming и как вы можете предотвратить это интернет-мошенничество?

Pharming перенаправляет пользователей Интернета с законных веб-сайтов на злонамеренные. Вот несколько рекомендаций, которые помогут вам предотвратить Фарминг и оставаться в безопасности.

Программное обеспечение IrisTech поможет защитить ваши глаза и поддерживать здоровье глаз

Программное обеспечение IrisTech поможет защитить ваши глаза и поддерживать здоровье глаз

Iris - это бесплатное программное обеспечение для защиты глаз, которое помогает вам регулировать цвет, температуру и яркость экрана вашего компьютера Windows и тем самым защищать ваши глаза и поддерживать хорошее здоровье глаз.