โฮมเพจ » ทำอย่างไร » DNSSEC จะช่วยรักษาความปลอดภัยให้กับอินเทอร์เน็ตได้อย่างไรและ SOPA เกือบจะผิดกฎหมายได้อย่างไร

    DNSSEC จะช่วยรักษาความปลอดภัยให้กับอินเทอร์เน็ตได้อย่างไรและ SOPA เกือบจะผิดกฎหมายได้อย่างไร

    Domain Name System Security Extensions (DNSSEC) เป็นเทคโนโลยีความปลอดภัยที่จะช่วยแก้ไขจุดอ่อนของอินเทอร์เน็ต เราโชคดีที่ SOPA ไม่ผ่านเพราะ SOPA ทำให้ DNSSEC ผิดกฎหมาย.

    DNSSEC เพิ่มความปลอดภัยที่สำคัญไปยังสถานที่ที่อินเทอร์เน็ตไม่มีอยู่จริง ระบบชื่อโดเมน (DNS) ใช้งานได้ดี แต่ไม่มีการตรวจสอบ ณ จุดใดในกระบวนการซึ่งทำให้รูเปิดสำหรับผู้โจมตี.

    สถานะปัจจุบันของกิจการ

    เราได้อธิบายว่า DNS ทำงานอย่างไรในอดีต สั้นเมื่อใดก็ตามที่คุณเชื่อมต่อกับชื่อโดเมนเช่น "google.com" หรือ "howtogeek.com" คอมพิวเตอร์ของคุณจะติดต่อเซิร์ฟเวอร์ DNS และค้นหาที่อยู่ IP ที่เกี่ยวข้องสำหรับชื่อโดเมนนั้น คอมพิวเตอร์ของคุณเชื่อมต่อกับที่อยู่ IP นั้น.

    ที่สำคัญไม่มีกระบวนการตรวจสอบที่เกี่ยวข้องในการค้นหา DNS คอมพิวเตอร์ของคุณขอเซิร์ฟเวอร์ DNS สำหรับที่อยู่ที่เชื่อมโยงกับเว็บไซต์เซิร์ฟเวอร์ DNS จะตอบกลับด้วยที่อยู่ IP และคอมพิวเตอร์ของคุณระบุว่า“ ตกลง!” และเชื่อมต่อกับเว็บไซต์นั้นอย่างมีความสุข คอมพิวเตอร์ของคุณไม่หยุดตรวจสอบว่าเป็นคำตอบที่ถูกต้องหรือไม่.

    เป็นไปได้สำหรับผู้โจมตีที่จะเปลี่ยนเส้นทางคำขอ DNS เหล่านี้หรือตั้งค่าเซิร์ฟเวอร์ DNS ที่เป็นอันตรายที่ออกแบบมาเพื่อตอบกลับไม่ดี ตัวอย่างเช่นหากคุณเชื่อมต่อกับเครือข่าย Wi-Fi สาธารณะและคุณพยายามเชื่อมต่อกับ howtogeek.com เซิร์ฟเวอร์ DNS ที่เป็นอันตรายในเครือข่าย Wi-Fi สาธารณะนั้นอาจส่งคืนที่อยู่ IP ที่แตกต่างออกไปโดยสิ้นเชิง ที่อยู่ IP อาจนำคุณไปสู่เว็บไซต์ฟิชชิง เว็บเบราว์เซอร์ของคุณไม่มีวิธีตรวจสอบว่าที่อยู่ IP นั้นเชื่อมโยงกับ howtogeek.com หรือไม่ มันต้องเชื่อถือการตอบสนองที่ได้รับจากเซิร์ฟเวอร์ DNS.

    การเข้ารหัส HTTPS ให้การตรวจสอบบางอย่าง ตัวอย่างเช่นสมมติว่าคุณลองเชื่อมต่อกับเว็บไซต์ธนาคารของคุณและคุณเห็น HTTPS และไอคอนล็อคในแถบที่อยู่ของคุณ คุณรู้ว่าหน่วยงานออกใบรับรองได้ตรวจสอบแล้วว่าเว็บไซต์นั้นเป็นของธนาคารของคุณ.

    หากคุณเข้าถึงเว็บไซต์ธนาคารของคุณจากจุดเชื่อมต่อที่ถูกบุกรุกและเซิร์ฟเวอร์ DNS ส่งคืนที่อยู่ของไซต์ฟิชชิงปลอมเว็บไซต์ฟิชชิ่งจะไม่สามารถแสดงการเข้ารหัส HTTPS นั้นได้ อย่างไรก็ตามไซต์ฟิชชิ่งอาจเลือกที่จะใช้ HTTP ธรรมดาแทน HTTPS การเดิมพันที่ผู้ใช้ส่วนใหญ่จะไม่สังเกตเห็นความแตกต่างและจะป้อนข้อมูลธนาคารออนไลน์ของพวกเขาต่อไป.

    ธนาคารของคุณไม่มีทางพูดว่า“ นี่คือที่อยู่ IP ที่ถูกต้องสำหรับเว็บไซต์ของเรา”

    DNSSEC จะช่วยอย่างไร

    การค้นหา DNS เกิดขึ้นจริงในหลายขั้นตอน ตัวอย่างเช่นเมื่อคอมพิวเตอร์ขอ www.howtogeek.com คอมพิวเตอร์ของคุณทำการค้นหานี้ในหลายขั้นตอน:

    • ก่อนอื่นจะถาม“ ไดเรกทอรีของรูทโซน” ซึ่งสามารถหาได้ .ดอทคอม.
    • จากนั้นจะถามไดเรกทอรี. com ซึ่งหาได้ howtogeek.com.
    • จากนั้นจะถาม howtogeek.com หาสถานที่ได้ www.howtogeek.com.

    DNSSEC เกี่ยวข้องกับ“ การเซ็นชื่อรูท” เมื่อคอมพิวเตอร์ของคุณไปถามรูทโซนว่าจะหาคอมที่ไหนมันจะสามารถตรวจสอบคีย์การเซ็นของรูทโซนและยืนยันว่าเป็นโซนรูทที่ถูกต้องตามกฎหมายพร้อมข้อมูลที่แท้จริง จากนั้นโซนรูทจะให้ข้อมูลเกี่ยวกับคีย์การลงนามหรือ. com และตำแหน่งของมันทำให้คอมพิวเตอร์ของคุณสามารถติดต่อไดเรกทอรี. com และตรวจสอบให้แน่ใจว่าถูกต้องตามกฎหมาย ไดเรกทอรี .com จะให้รหัสลงนามและข้อมูลสำหรับ howtogeek.com ช่วยให้สามารถติดต่อ howtogeek.com และตรวจสอบว่าคุณเชื่อมต่อกับ howtogeek.com จริงตามที่ได้รับการยืนยันจากโซนด้านบน.

    เมื่อ DNSSEC เปิดตัวออกมาอย่างเต็มที่คอมพิวเตอร์ของคุณจะสามารถยืนยันการตอบสนอง DNS นั้นถูกต้องและเป็นจริงในขณะที่ไม่มีวิธีรู้ว่าอันไหนเป็นของปลอมและอันไหนเป็นของจริง.

    อ่านเพิ่มเติมเกี่ยวกับการทำงานของการเข้ารหัสที่นี่.

    สิ่งที่ SOPA จะทำได้

    ดังนั้นพระราชบัญญัติการละเมิดลิขสิทธิ์ Stop Online ที่รู้จักกันดีในชื่อ SOPA มีส่วนร่วมอย่างไร ถ้าคุณติดตาม SOPA คุณจะรู้ว่ามันถูกเขียนขึ้นโดยคนที่ไม่เข้าใจอินเทอร์เน็ตดังนั้นมันจึง“ ทำลายอินเทอร์เน็ต” ในหลาย ๆ ทาง นี่คือหนึ่งในนั้น.

    โปรดจำไว้ว่า DNSSEC อนุญาตให้เจ้าของชื่อโดเมนลงนามระเบียน DNS ของพวกเขา ตัวอย่างเช่น thepiratebay.se สามารถใช้ DNSSEC เพื่อระบุที่อยู่ IP ที่เชื่อมโยงกับมัน เมื่อคอมพิวเตอร์ของคุณทำการค้นหา DNS ไม่ว่าจะเป็น google.com หรือ thepiratebay.se - DNSSEC จะอนุญาตให้คอมพิวเตอร์ตรวจสอบว่าได้รับการตอบสนองที่ถูกต้องตามที่เจ้าของโดเมนตรวจสอบความถูกต้อง DNSSEC เป็นเพียงโปรโตคอล ไม่พยายามแยกแยะระหว่างเว็บไซต์ "ดี" และ "ไม่ดี".

    SOPA จะต้องมีผู้ให้บริการอินเทอร์เน็ตในการเปลี่ยนเส้นทางการค้นหา DNS สำหรับเว็บไซต์ "ไม่ดี" ตัวอย่างเช่นหากสมาชิกของผู้ให้บริการอินเทอร์เน็ตพยายามเข้าถึง thepiratebay.se เซิร์ฟเวอร์ DNS ของ ISP จะส่งคืนที่อยู่ของเว็บไซต์อื่นซึ่งจะแจ้งให้ทราบว่า Pirate Bay ถูกบล็อก.

    ด้วย DNSSEC การเปลี่ยนเส้นทางดังกล่าวจะแยกไม่ออกจากการโจมตีแบบคนกลางซึ่ง DNSSEC ได้รับการออกแบบมาเพื่อป้องกัน ISPs ที่ปรับใช้ DNSSEC จะต้องตอบกลับด้วยที่อยู่ที่แท้จริงของ Pirate Bay และจะเป็นการละเมิด SOPA เพื่อรองรับ SOPA DNSSEC จะต้องมีช่องโหว่ขนาดใหญ่ซึ่งจะช่วยให้ผู้ให้บริการอินเทอร์เน็ตและรัฐบาลสามารถเปลี่ยนเส้นทางคำขอ DNS ของชื่อโดเมนโดยไม่ได้รับอนุญาตจากเจ้าของชื่อโดเมน นี่จะเป็นเรื่องยาก (ถ้าหากเป็นไปไม่ได้) ที่จะทำในวิธีที่ปลอดภัยและน่าจะเป็นการเปิดช่องโหว่ด้านความปลอดภัยสำหรับผู้โจมตี.


    โชคดีที่ SOPA ตายไปแล้วและหวังว่าจะไม่กลับมาอีก ขณะนี้กำลังปรับใช้ DNSSEC โดยให้การแก้ไขที่ค้างชำระนานสำหรับปัญหานี้.

    เครดิตรูปภาพ: Khairil Yusof, Jemimus บน Flickr, David Holmes บน Flickr