DNSSEC จะช่วยรักษาความปลอดภัยให้กับอินเทอร์เน็ตได้อย่างไรและ SOPA เกือบจะผิดกฎหมายได้อย่างไร
Domain Name System Security Extensions (DNSSEC) เป็นเทคโนโลยีความปลอดภัยที่จะช่วยแก้ไขจุดอ่อนของอินเทอร์เน็ต เราโชคดีที่ SOPA ไม่ผ่านเพราะ SOPA ทำให้ DNSSEC ผิดกฎหมาย.
DNSSEC เพิ่มความปลอดภัยที่สำคัญไปยังสถานที่ที่อินเทอร์เน็ตไม่มีอยู่จริง ระบบชื่อโดเมน (DNS) ใช้งานได้ดี แต่ไม่มีการตรวจสอบ ณ จุดใดในกระบวนการซึ่งทำให้รูเปิดสำหรับผู้โจมตี.
สถานะปัจจุบันของกิจการ
เราได้อธิบายว่า DNS ทำงานอย่างไรในอดีต สั้นเมื่อใดก็ตามที่คุณเชื่อมต่อกับชื่อโดเมนเช่น "google.com" หรือ "howtogeek.com" คอมพิวเตอร์ของคุณจะติดต่อเซิร์ฟเวอร์ DNS และค้นหาที่อยู่ IP ที่เกี่ยวข้องสำหรับชื่อโดเมนนั้น คอมพิวเตอร์ของคุณเชื่อมต่อกับที่อยู่ IP นั้น.
ที่สำคัญไม่มีกระบวนการตรวจสอบที่เกี่ยวข้องในการค้นหา DNS คอมพิวเตอร์ของคุณขอเซิร์ฟเวอร์ DNS สำหรับที่อยู่ที่เชื่อมโยงกับเว็บไซต์เซิร์ฟเวอร์ DNS จะตอบกลับด้วยที่อยู่ IP และคอมพิวเตอร์ของคุณระบุว่า“ ตกลง!” และเชื่อมต่อกับเว็บไซต์นั้นอย่างมีความสุข คอมพิวเตอร์ของคุณไม่หยุดตรวจสอบว่าเป็นคำตอบที่ถูกต้องหรือไม่.
เป็นไปได้สำหรับผู้โจมตีที่จะเปลี่ยนเส้นทางคำขอ DNS เหล่านี้หรือตั้งค่าเซิร์ฟเวอร์ DNS ที่เป็นอันตรายที่ออกแบบมาเพื่อตอบกลับไม่ดี ตัวอย่างเช่นหากคุณเชื่อมต่อกับเครือข่าย Wi-Fi สาธารณะและคุณพยายามเชื่อมต่อกับ howtogeek.com เซิร์ฟเวอร์ DNS ที่เป็นอันตรายในเครือข่าย Wi-Fi สาธารณะนั้นอาจส่งคืนที่อยู่ IP ที่แตกต่างออกไปโดยสิ้นเชิง ที่อยู่ IP อาจนำคุณไปสู่เว็บไซต์ฟิชชิง เว็บเบราว์เซอร์ของคุณไม่มีวิธีตรวจสอบว่าที่อยู่ IP นั้นเชื่อมโยงกับ howtogeek.com หรือไม่ มันต้องเชื่อถือการตอบสนองที่ได้รับจากเซิร์ฟเวอร์ DNS.
การเข้ารหัส HTTPS ให้การตรวจสอบบางอย่าง ตัวอย่างเช่นสมมติว่าคุณลองเชื่อมต่อกับเว็บไซต์ธนาคารของคุณและคุณเห็น HTTPS และไอคอนล็อคในแถบที่อยู่ของคุณ คุณรู้ว่าหน่วยงานออกใบรับรองได้ตรวจสอบแล้วว่าเว็บไซต์นั้นเป็นของธนาคารของคุณ.
หากคุณเข้าถึงเว็บไซต์ธนาคารของคุณจากจุดเชื่อมต่อที่ถูกบุกรุกและเซิร์ฟเวอร์ DNS ส่งคืนที่อยู่ของไซต์ฟิชชิงปลอมเว็บไซต์ฟิชชิ่งจะไม่สามารถแสดงการเข้ารหัส HTTPS นั้นได้ อย่างไรก็ตามไซต์ฟิชชิ่งอาจเลือกที่จะใช้ HTTP ธรรมดาแทน HTTPS การเดิมพันที่ผู้ใช้ส่วนใหญ่จะไม่สังเกตเห็นความแตกต่างและจะป้อนข้อมูลธนาคารออนไลน์ของพวกเขาต่อไป.
ธนาคารของคุณไม่มีทางพูดว่า“ นี่คือที่อยู่ IP ที่ถูกต้องสำหรับเว็บไซต์ของเรา”
DNSSEC จะช่วยอย่างไร
การค้นหา DNS เกิดขึ้นจริงในหลายขั้นตอน ตัวอย่างเช่นเมื่อคอมพิวเตอร์ขอ www.howtogeek.com คอมพิวเตอร์ของคุณทำการค้นหานี้ในหลายขั้นตอน:
- ก่อนอื่นจะถาม“ ไดเรกทอรีของรูทโซน” ซึ่งสามารถหาได้ .ดอทคอม.
- จากนั้นจะถามไดเรกทอรี. com ซึ่งหาได้ howtogeek.com.
- จากนั้นจะถาม howtogeek.com หาสถานที่ได้ www.howtogeek.com.
DNSSEC เกี่ยวข้องกับ“ การเซ็นชื่อรูท” เมื่อคอมพิวเตอร์ของคุณไปถามรูทโซนว่าจะหาคอมที่ไหนมันจะสามารถตรวจสอบคีย์การเซ็นของรูทโซนและยืนยันว่าเป็นโซนรูทที่ถูกต้องตามกฎหมายพร้อมข้อมูลที่แท้จริง จากนั้นโซนรูทจะให้ข้อมูลเกี่ยวกับคีย์การลงนามหรือ. com และตำแหน่งของมันทำให้คอมพิวเตอร์ของคุณสามารถติดต่อไดเรกทอรี. com และตรวจสอบให้แน่ใจว่าถูกต้องตามกฎหมาย ไดเรกทอรี .com จะให้รหัสลงนามและข้อมูลสำหรับ howtogeek.com ช่วยให้สามารถติดต่อ howtogeek.com และตรวจสอบว่าคุณเชื่อมต่อกับ howtogeek.com จริงตามที่ได้รับการยืนยันจากโซนด้านบน.
เมื่อ DNSSEC เปิดตัวออกมาอย่างเต็มที่คอมพิวเตอร์ของคุณจะสามารถยืนยันการตอบสนอง DNS นั้นถูกต้องและเป็นจริงในขณะที่ไม่มีวิธีรู้ว่าอันไหนเป็นของปลอมและอันไหนเป็นของจริง.
อ่านเพิ่มเติมเกี่ยวกับการทำงานของการเข้ารหัสที่นี่.
สิ่งที่ SOPA จะทำได้
ดังนั้นพระราชบัญญัติการละเมิดลิขสิทธิ์ Stop Online ที่รู้จักกันดีในชื่อ SOPA มีส่วนร่วมอย่างไร ถ้าคุณติดตาม SOPA คุณจะรู้ว่ามันถูกเขียนขึ้นโดยคนที่ไม่เข้าใจอินเทอร์เน็ตดังนั้นมันจึง“ ทำลายอินเทอร์เน็ต” ในหลาย ๆ ทาง นี่คือหนึ่งในนั้น.
โปรดจำไว้ว่า DNSSEC อนุญาตให้เจ้าของชื่อโดเมนลงนามระเบียน DNS ของพวกเขา ตัวอย่างเช่น thepiratebay.se สามารถใช้ DNSSEC เพื่อระบุที่อยู่ IP ที่เชื่อมโยงกับมัน เมื่อคอมพิวเตอร์ของคุณทำการค้นหา DNS ไม่ว่าจะเป็น google.com หรือ thepiratebay.se - DNSSEC จะอนุญาตให้คอมพิวเตอร์ตรวจสอบว่าได้รับการตอบสนองที่ถูกต้องตามที่เจ้าของโดเมนตรวจสอบความถูกต้อง DNSSEC เป็นเพียงโปรโตคอล ไม่พยายามแยกแยะระหว่างเว็บไซต์ "ดี" และ "ไม่ดี".
SOPA จะต้องมีผู้ให้บริการอินเทอร์เน็ตในการเปลี่ยนเส้นทางการค้นหา DNS สำหรับเว็บไซต์ "ไม่ดี" ตัวอย่างเช่นหากสมาชิกของผู้ให้บริการอินเทอร์เน็ตพยายามเข้าถึง thepiratebay.se เซิร์ฟเวอร์ DNS ของ ISP จะส่งคืนที่อยู่ของเว็บไซต์อื่นซึ่งจะแจ้งให้ทราบว่า Pirate Bay ถูกบล็อก.
ด้วย DNSSEC การเปลี่ยนเส้นทางดังกล่าวจะแยกไม่ออกจากการโจมตีแบบคนกลางซึ่ง DNSSEC ได้รับการออกแบบมาเพื่อป้องกัน ISPs ที่ปรับใช้ DNSSEC จะต้องตอบกลับด้วยที่อยู่ที่แท้จริงของ Pirate Bay และจะเป็นการละเมิด SOPA เพื่อรองรับ SOPA DNSSEC จะต้องมีช่องโหว่ขนาดใหญ่ซึ่งจะช่วยให้ผู้ให้บริการอินเทอร์เน็ตและรัฐบาลสามารถเปลี่ยนเส้นทางคำขอ DNS ของชื่อโดเมนโดยไม่ได้รับอนุญาตจากเจ้าของชื่อโดเมน นี่จะเป็นเรื่องยาก (ถ้าหากเป็นไปไม่ได้) ที่จะทำในวิธีที่ปลอดภัยและน่าจะเป็นการเปิดช่องโหว่ด้านความปลอดภัยสำหรับผู้โจมตี.
โชคดีที่ SOPA ตายไปแล้วและหวังว่าจะไม่กลับมาอีก ขณะนี้กำลังปรับใช้ DNSSEC โดยให้การแก้ไขที่ค้างชำระนานสำหรับปัญหานี้.
เครดิตรูปภาพ: Khairil Yusof, Jemimus บน Flickr, David Holmes บน Flickr