Wie DNSSEC dazu beitragen wird, das Internet zu sichern, und wie SOPA es fast illegal gemacht hat

Inhaltsverzeichnis:

Video: Wie DNSSEC dazu beitragen wird, das Internet zu sichern, und wie SOPA es fast illegal gemacht hat

Video: Wie DNSSEC dazu beitragen wird, das Internet zu sichern, und wie SOPA es fast illegal gemacht hat
Video: Outlook E Mail zurück fordern - Nachrichtenrückruf 2024, März
Wie DNSSEC dazu beitragen wird, das Internet zu sichern, und wie SOPA es fast illegal gemacht hat
Wie DNSSEC dazu beitragen wird, das Internet zu sichern, und wie SOPA es fast illegal gemacht hat
Anonim
DNSSEC (Domain Name System Security Extensions) ist eine Sicherheitstechnologie, mit der einer der Schwachpunkte des Internets behoben werden kann. Wir haben Glück, dass SOPA nicht bestanden hat, weil SOPA DNSSEC illegal gemacht hätte.
DNSSEC (Domain Name System Security Extensions) ist eine Sicherheitstechnologie, mit der einer der Schwachpunkte des Internets behoben werden kann. Wir haben Glück, dass SOPA nicht bestanden hat, weil SOPA DNSSEC illegal gemacht hätte.

DNSSEC fügt einem Ort kritische Sicherheit hinzu, an dem das Internet nicht wirklich Das Domain Name System (DNS) funktioniert gut, aber zu keinem Zeitpunkt des Prozesses gibt es eine Überprüfung, sodass Angreifer Lücken offen lassen.

Der aktuelle Stand der Dinge

Wir haben erklärt, wie DNS in der Vergangenheit funktioniert. Kurz gesagt, wenn Sie sich mit einem Domainnamen wie "google.com" oder "howtogeek.com" verbinden, kontaktiert Ihr Computer seinen DNS-Server und sucht die zugehörige IP-Adresse für diesen Domainnamen. Ihr Computer verbindet sich dann mit dieser IP-Adresse.

Es ist wichtig, dass an einer DNS-Suche kein Überprüfungsprozess beteiligt ist. Ihr Computer fragt seinen DNS-Server nach der Adresse, die mit einer Website verknüpft ist, der DNS-Server antwortet mit einer IP-Adresse, und Ihr Computer sagt "OK" und stellt glücklich eine Verbindung zu dieser Website her. Ihr Computer stoppt nicht, um zu prüfen, ob dies eine gültige Antwort ist.

Es ist möglich, dass Angreifer diese DNS-Anfragen umleiten oder schädliche DNS-Server einrichten, die schlechte Antworten liefern. Wenn Sie beispielsweise mit einem öffentlichen Wi-Fi-Netzwerk verbunden sind und versuchen, eine Verbindung zu howtogeek.com herzustellen, kann ein bösartiger DNS-Server in diesem öffentlichen Wi-Fi-Netzwerk eine andere IP-Adresse zurückgeben. Die IP-Adresse kann Sie zu einer Phishing-Website führen. Ihr Webbrowser kann nicht wirklich prüfen, ob eine IP-Adresse tatsächlich mit howtogeek.com verbunden ist. es muss nur der Antwort vertrauen, die es vom DNS-Server erhält.
Es ist möglich, dass Angreifer diese DNS-Anfragen umleiten oder schädliche DNS-Server einrichten, die schlechte Antworten liefern. Wenn Sie beispielsweise mit einem öffentlichen Wi-Fi-Netzwerk verbunden sind und versuchen, eine Verbindung zu howtogeek.com herzustellen, kann ein bösartiger DNS-Server in diesem öffentlichen Wi-Fi-Netzwerk eine andere IP-Adresse zurückgeben. Die IP-Adresse kann Sie zu einer Phishing-Website führen. Ihr Webbrowser kann nicht wirklich prüfen, ob eine IP-Adresse tatsächlich mit howtogeek.com verbunden ist. es muss nur der Antwort vertrauen, die es vom DNS-Server erhält.

Die HTTPS-Verschlüsselung bietet einige Überprüfungen. Angenommen, Sie versuchen, eine Verbindung zur Website Ihrer Bank herzustellen, und Sie sehen HTTPS und das Sperrsymbol in Ihrer Adressleiste. Sie wissen, dass eine Zertifizierungsstelle bestätigt hat, dass die Website Ihrer Bank gehört.

Wenn Sie von einem angegriffenen Zugangspunkt auf die Website Ihrer Bank zugegriffen haben und der DNS-Server die Adresse einer Imposter-Phishing-Site zurückgegeben hat, kann die Phishing-Site diese HTTPS-Verschlüsselung nicht anzeigen. Die Phishing-Site kann sich jedoch dafür entscheiden, reines HTTP anstelle von HTTPS zu verwenden. Es wird gewettet, dass die meisten Benutzer den Unterschied nicht bemerken und ihre Online-Banking-Informationen trotzdem eingeben.
Wenn Sie von einem angegriffenen Zugangspunkt auf die Website Ihrer Bank zugegriffen haben und der DNS-Server die Adresse einer Imposter-Phishing-Site zurückgegeben hat, kann die Phishing-Site diese HTTPS-Verschlüsselung nicht anzeigen. Die Phishing-Site kann sich jedoch dafür entscheiden, reines HTTP anstelle von HTTPS zu verwenden. Es wird gewettet, dass die meisten Benutzer den Unterschied nicht bemerken und ihre Online-Banking-Informationen trotzdem eingeben.

Ihre Bank kann nicht sagen: "Dies sind die legitimen IP-Adressen für unsere Website."

Image
Image

Wie DNSSEC helfen wird

Eine DNS-Suche findet tatsächlich in mehreren Schritten statt. Wenn Ihr Computer beispielsweise nach www.howtogeek.com fragt, führt der Computer diese Suche in mehreren Schritten durch:

  • Zuerst fragt es das "Root-Zone-Verzeichnis", wo es finden kann .com.
  • Es fragt dann das.com-Verzeichnis, wo es finden kann howtogeek.com.
  • Es fragt dann howtogeek.com, wo es finden kann www.howtogeek.com.

DNSSEC beinhaltet das "Signieren des Root-Verzeichnisses". Wenn Ihr Computer die Root-Zone fragt, wo er.com finden kann, kann er den Signaturschlüssel der Root-Zone überprüfen und bestätigen, dass es sich um die legitime Root-Zone mit echten Informationen handelt. Die Root-Zone gibt dann Informationen zum Signaturschlüssel oder.com und zu seinem Speicherort an, sodass Ihr Computer das.com-Verzeichnis aufrufen und sicherstellen kann, dass es legitim ist. Das.com-Verzeichnis enthält den Signaturschlüssel und die Informationen für howtogeek.com. So können Sie sich mit howtogeek.com in Verbindung setzen und überprüfen, ob Sie mit dem echten howtogeek.com verbunden sind. Dies wird durch die darüber liegenden Zonen bestätigt.

Wenn DNSSEC vollständig ausgerollt ist, kann Ihr Computer bestätigen, dass die DNS-Antworten legitim und wahr sind, während derzeit keine Möglichkeit zu erkennen ist, welche falsch und welche echt sind.

Lesen Sie hier mehr darüber, wie die Verschlüsselung funktioniert.
Lesen Sie hier mehr darüber, wie die Verschlüsselung funktioniert.

Was SOPA getan hätte

Wie spielte also der Stop Online Piracy Act, besser bekannt als SOPA, bei all dem eine Rolle? Nun, wenn Sie SOPA folgen, stellen Sie fest, dass es von Leuten geschrieben wurde, die das Internet nicht verstanden haben, so dass es das Internet auf verschiedene Weise "zerbrechen" würde. Dies ist einer von ihnen.

Denken Sie daran, dass DNSSEC es Domain-Inhabern ermöglicht, ihre DNS-Einträge zu signieren. So kann beispielsweise thepiratebay.se mit DNSSEC die IP-Adressen angeben, mit denen es verbunden ist. Wenn der Computer eine DNS-Suche durchführt - unabhängig davon, ob es sich um google.com oder thepiratebay.se handelt - würde DNSSEC dem Computer gestatten, festzustellen, dass er die richtige Antwort erhält, die von den Inhabern des Domänennamens bestätigt wurde. DNSSEC ist nur ein Protokoll. Es wird nicht versucht, zwischen "guten" und "schlechten" Websites zu unterscheiden.

SOPA hätte Internetdienstanbieter dazu verpflichtet, DNS-Suchvorgänge für "schlechte" Websites umzuleiten. Wenn beispielsweise die Abonnenten eines Internet-Service-Providers versuchen, auf die Piratebay.se zuzugreifen, geben die DNS-Server des ISP die Adresse einer anderen Website zurück, wodurch sie darüber informiert werden, dass die Pirate Bay gesperrt wurde.

Mit DNSSEC wäre eine solche Umleitung nicht von einem Man-in-the-Middle-Angriff zu unterscheiden, den DNSSEC verhindern sollte. ISPs, die DNSSEC einsetzen, müssten mit der tatsächlichen Adresse der Pirate Bay antworten und würden somit gegen SOPA verstoßen.Um SOPA unterzubringen, müsste DNSSEC ein großes Loch aufweisen, das es Internet-Service-Providern und Regierungen ermöglicht, DNS-Anforderungen von Domänennamen ohne die Erlaubnis der Eigentümer des Domänennamens umzuleiten. Dies wäre schwierig (wenn nicht unmöglich) auf sichere Art und Weise zu tun und könnte neue Sicherheitslücken für Angreifer eröffnen.

Image
Image

Glücklicherweise ist SOPA tot und wird hoffentlich nicht wiederkommen. DNSSEC wird derzeit bereitgestellt und bietet eine überfällige Lösung für dieses Problem.

Empfohlen: