DNSSEC sẽ giúp bảo mật Internet như thế nào và làm thế nào mà SOPA làm cho nó bất hợp pháp
Phần mở rộng bảo mật hệ thống tên miền (DNSSEC) là một công nghệ bảo mật sẽ giúp khắc phục một trong những điểm yếu của Internet. Chúng tôi may mắn không vượt qua được, vì SOPA đã biến DNSSEC thành bất hợp pháp.
DNSSEC bổ sung bảo mật quan trọng cho một nơi mà Internet không thực sự có. Hệ thống tên miền (DNS) hoạt động tốt, nhưng không có xác minh tại bất kỳ điểm nào trong quy trình, điều này để lại lỗ hổng cho kẻ tấn công.
Tình trạng hiện tại
Chúng tôi đã giải thích cách DNS hoạt động trong quá khứ. Tóm lại, bất cứ khi nào bạn kết nối với một tên miền như của Google google.com, hay hoặc howtogeek.com, thì máy tính của bạn sẽ liên lạc với máy chủ DNS của nó và tìm địa chỉ IP được liên kết cho tên miền đó. Máy tính của bạn sau đó kết nối với địa chỉ IP đó.
Điều quan trọng, không có quá trình xác minh liên quan đến việc tra cứu DNS. Máy tính của bạn yêu cầu máy chủ DNS của nó cho địa chỉ được liên kết với một trang web, máy chủ DNS phản hồi với một địa chỉ IP và máy tính của bạn nói rằng không sao! Hãy và vui vẻ kết nối với trang web đó. Máy tính của bạn không dừng lại để kiểm tra xem đó có phải là phản hồi hợp lệ không.
Kẻ tấn công có thể chuyển hướng các yêu cầu DNS này hoặc thiết lập các máy chủ DNS độc hại được thiết kế để trả về các phản hồi xấu. Ví dụ: nếu bạn được kết nối với mạng Wi-Fi công cộng và bạn cố gắng kết nối với howtogeek.com, máy chủ DNS độc hại trên mạng Wi-Fi công cộng đó có thể hoàn toàn trả về một địa chỉ IP khác. Địa chỉ IP có thể dẫn bạn đến một trang web lừa đảo. Trình duyệt web của bạn không có cách nào thực sự để kiểm tra xem địa chỉ IP có thực sự được liên kết với howtogeek.com hay không; nó chỉ cần tin tưởng vào phản hồi mà nó nhận được từ máy chủ DNS.
Mã hóa HTTPS cung cấp một số xác minh. Ví dụ: giả sử bạn thử kết nối với trang web của ngân hàng và bạn thấy HTTPS và biểu tượng khóa trong thanh địa chỉ của bạn. Bạn biết rằng cơ quan chứng nhận đã xác minh rằng trang web thuộc về ngân hàng của bạn.
Nếu bạn truy cập trang web của ngân hàng của bạn từ một điểm truy cập bị xâm nhập và máy chủ DNS đã trả lại địa chỉ của trang lừa đảo mạo danh, trang lừa đảo sẽ không thể hiển thị mã hóa HTTPS đó. Tuy nhiên, trang web lừa đảo có thể chọn sử dụng HTTP đơn giản thay vì HTTPS, cá cược rằng hầu hết người dùng sẽ không nhận thấy sự khác biệt và dù sao cũng sẽ nhập thông tin ngân hàng trực tuyến của họ.
Ngân hàng của bạn không có cách nào để nói rằng Đây là những địa chỉ IP hợp pháp cho trang web của chúng tôi.
DNSSEC sẽ giúp như thế nào
Một tra cứu DNS thực sự xảy ra trong một số giai đoạn. Ví dụ: khi máy tính của bạn yêu cầu www.howtogeek.com, máy tính của bạn sẽ thực hiện tra cứu này trong một số giai đoạn:
- Đầu tiên, nó hỏi thư mục vùng gốc của Wikipedia, nơi nó có thể tìm thấy .com.
- Sau đó nó hỏi thư mục .com nơi nó có thể tìm thấy howtogeek.com.
- Sau đó nó hỏi howtogeek.com nơi nó có thể tìm thấy www.howtogeek.com.
DNSSEC liên quan đến việc ký tên vào root. Khi máy tính của bạn hỏi vùng gốc nơi nó có thể tìm thấy .com, nó sẽ có thể kiểm tra khóa ký của vùng gốc và xác nhận rằng đó là vùng gốc hợp pháp với thông tin thật. Vùng gốc sau đó sẽ cung cấp thông tin về khóa ký hoặc .com và vị trí của nó, cho phép máy tính của bạn liên hệ với thư mục .com và đảm bảo nó hợp pháp. Thư mục .com sẽ cung cấp khóa ký và thông tin cho howtogeek.com, cho phép nó liên hệ với howtogeek.com và xác minh rằng bạn đã kết nối với howtogeek.com thật, như được xác nhận bởi các khu vực phía trên nó.
Khi DNSSEC hoàn tất, máy tính của bạn sẽ có thể xác nhận phản hồi DNS là hợp pháp và đúng sự thật, trong khi hiện tại không có cách nào để biết cái nào là giả và cái nào là thật.
Tìm hiểu thêm về cách mã hóa hoạt động ở đây.
Những gì SOPA sẽ làm
Vậy làm thế nào mà Đạo luật chống vi phạm bản quyền trực tuyến, được biết đến với tên gọi là SOPA, đã áp dụng tất cả những điều này? Chà, nếu bạn đã theo dõi SOPA, bạn sẽ nhận ra rằng nó được viết bởi những người không hiểu về Internet, vì vậy nó sẽ phá vỡ Internet Internet theo nhiều cách khác nhau. đây là một trong chúng.
Hãy nhớ rằng DNSSEC cho phép chủ sở hữu tên miền ký các bản ghi DNS của họ. Vì vậy, ví dụ, thepiratebay.se có thể sử dụng DNSSEC để chỉ định địa chỉ IP được liên kết. Khi máy tính của bạn thực hiện tra cứu DNS - cho dù đó là google.com hay thepiratebay.se - DNSSEC sẽ cho phép máy tính xác định rằng nó nhận được phản hồi chính xác như được xác thực bởi chủ sở hữu tên miền. DNSSEC chỉ là một giao thức; nó không cố gắng phân biệt giữa các trang web tốt của Good và.
SOPA sẽ yêu cầu các nhà cung cấp dịch vụ Internet chuyển hướng tra cứu DNS cho các trang web Bad Bad. Ví dụ: nếu các thuê bao của nhà cung cấp dịch vụ Internet cố gắng truy cập thepiratebay.se, các máy chủ DNS của ISP sẽ trả về địa chỉ của một trang web khác, thông báo cho họ rằng Pirate Bay đã bị chặn.
Với DNSSEC, một sự chuyển hướng như vậy sẽ không thể phân biệt được với một cuộc tấn công trung gian, mà DNSSEC được thiết kế để ngăn chặn. Các ISP triển khai DNSSEC sẽ phải phản hồi với địa chỉ thực tế của Pirate Bay, và do đó sẽ vi phạm SOPA. Để phù hợp với SOPA, DNSSEC sẽ phải cắt một lỗ lớn, một lỗ hổng sẽ cho phép các nhà cung cấp dịch vụ Internet và chính phủ chuyển hướng yêu cầu DNS tên miền mà không cần sự cho phép của chủ sở hữu tên miền. Điều này sẽ rất khó (nếu không phải là không thể) thực hiện theo cách an toàn, có khả năng mở các lỗ hổng bảo mật mới cho những kẻ tấn công.
May mắn thay, SOPA đã chết và hy vọng nó sẽ không quay trở lại. DNSSEC hiện đang được triển khai, cung cấp một bản sửa lỗi quá hạn cho vấn đề này.
Tín dụng hình ảnh: Khairil Yusof, Jemimus trên Flickr, David Holmes trên Flickr