Startpagina » hoe » Hoe DNSSEC zal helpen het internet te beveiligen en hoe SOPA het bijna illegaal heeft gemaakt

    Hoe DNSSEC zal helpen het internet te beveiligen en hoe SOPA het bijna illegaal heeft gemaakt

    Domain Name System Security Extensions (DNSSEC) is een beveiligingstechnologie die een van de zwakke punten van het internet helpt oplossen. We hebben geluk dat SOPA niet is geslaagd, omdat SOPA DNSSEC illegaal zou hebben gemaakt.

    DNSSEC voegt kritieke beveiliging toe aan een plaats waar internet er eigenlijk geen heeft. Het domeinnaamsysteem (DNS) werkt goed, maar er is geen verificatie op enig moment in het proces, waardoor gaten open blijven voor aanvallers.

    De huidige stand van zaken

    We hebben uitgelegd hoe DNS in het verleden werkt. Kort gezegd: wanneer u verbinding maakt met een domeinnaam zoals 'google.com' of 'howtogeek.com', neemt uw computer contact op met de DNS-server en zoekt het bijbehorende IP-adres voor die domeinnaam op. Uw computer maakt vervolgens verbinding met dat IP-adres.

    Belangrijk is dat er geen verificatieproces is betrokken bij een DNS-zoekopdracht. Uw computer vraagt ​​de DNS-server naar het adres dat aan een website is gekoppeld, de DNS-server antwoordt met een IP-adres en uw computer zegt "oké!" En maakt graag verbinding met die website. Uw computer stopt niet om te controleren of dat een geldig antwoord is.

    Het is mogelijk voor aanvallers om deze DNS-verzoeken om te leiden of kwaadwillende DNS-servers in te stellen die zijn ontworpen om slechte antwoorden te retourneren. Als u bijvoorbeeld bent verbonden met een openbaar Wi-Fi-netwerk en verbinding probeert te maken met howtogeek.com, kan een kwaadwillende DNS-server op dat openbare Wi-Fi-netwerk een ander IP-adres volledig retourneren. Het IP-adres kan u naar een phishingwebsite leiden. Uw webbrowser heeft geen echte manier om te controleren of een IP-adres daadwerkelijk is gekoppeld aan howtogeek.com; het hoeft alleen maar te vertrouwen op het antwoord dat het ontvangt van de DNS-server.

    HTTPS-codering biedt enige verificatie. Stel dat u bijvoorbeeld probeert verbinding te maken met de website van uw bank en dat u HTTPS en het vergrendelingspictogram in uw adresbalk ziet. U weet dat een certificeringsinstantie heeft geverifieerd dat de website van uw bank is.

    Als u de website van uw bank benaderde vanuit een beveiligd toegangspunt en de DNS-server het adres van een bedrieglijke phishing-site retourneerde, zou de phishing-site die HTTPS-codering niet kunnen weergeven. De phishing-site kan er echter voor kiezen om gewoon HTTP te gebruiken in plaats van HTTPS, weddend dat de meeste gebruikers het verschil niet zouden opmerken en toch hun online bankieren-informatie zouden invoeren.

    Uw bank kan niet zeggen: "Dit zijn de legitieme IP-adressen voor onze website."

    Hoe DNSSEC zal helpen

    Een DNS-lookup gebeurt eigenlijk in verschillende fasen. Als uw computer bijvoorbeeld vraagt ​​naar www.howtogeek.com, voert uw computer deze zoekopdracht in verschillende fasen uit:

    • Het vraagt ​​eerst de "rootzone-map" waar het kan vinden .com.
    • Vervolgens wordt de .com-map opgevraagd waar deze kan worden gevonden howtogeek.com.
    • Vervolgens wordt gevraagd howtogeek.com waar het kan vinden www.howtogeek.com.

    DNSSEC omvat "het ondertekenen van de root." Wanneer uw computer naar de rootzone vraagt ​​waar het .com kan vinden, kan het de ondertekeningssleutel van de rootzone controleren en bevestigen dat het de legitieme rootzone met echte informatie is. De root-zone geeft dan informatie over de handtekeningsleutel of .com en de locatie, zodat uw computer contact kan opnemen met de .com-directory en ervoor kan zorgen dat deze legitiem is. De .com-map geeft de handtekeningsleutel en informatie voor howtogeek.com, zodat deze contact kan opnemen met howtogeek.com en kan verifiëren dat u verbonden bent met de echte howtogeek.com, zoals bevestigd door de zones erboven.

    Wanneer DNSSEC volledig is uitgerold, kan uw computer bevestigen dat DNS-reacties legitiem en waar zijn, terwijl er momenteel geen manier is om te weten welke nep-reacties zijn en welke echt zijn.

    Lees meer over hoe encryptie hier werkt.

    Wat SOPA zou hebben gedaan

    Dus hoe speelde de Stop Online Piraterijwet, beter bekend als SOPA, in dit alles? Welnu, als je SOPA volgde, besef je dat het geschreven was door mensen die het internet niet begrepen, dus zou het op verschillende manieren "het internet breken". Dit is er een van.

    Vergeet niet dat DNSSEC eigenaren van domeinnamen toestaat hun DNS-records te ondertekenen. Dus, thepiratebay.se kan DNSSEC gebruiken om de IP-adressen te specificeren waaraan het is gekoppeld. Wanneer uw computer een DNS-lookup uitvoert - of het nu voor google.com of thepiratebay.se is - zou DNSSEC de computer toestaan ​​te bepalen dat het de juiste reactie ontvangt zoals gevalideerd door de eigenaars van de domeinnaam. DNSSEC is slechts een protocol; het probeert niet te discrimineren tussen "goede" en "slechte" websites.

    SOPA zou Internet-serviceproviders verplicht hebben DNS-lookups om te verwijzen naar 'slechte' websites. Als de abonnees van een internetprovider bijvoorbeeld probeerden toegang te krijgen tot thepiratebay.se, zouden de DNS-servers van de internetprovider het adres van een andere website retourneren, waardoor ze zouden weten dat de piraatbaai was geblokkeerd.

    Met DNSSEC zou zo'n omleiding niet te onderscheiden zijn van een man-in-the-middle-aanval, die DNSSEC was bedoeld om te voorkomen. ISP's die DNSSEC inzetten, moeten reageren met het daadwerkelijke adres van de Pirate Bay en zouden daarmee SOPA schenden. Om tegemoet te komen aan SOPA zou DNSSEC er een groot gat in moeten steken, een die het voor internetproviders en overheden mogelijk zou maken DNS-verzoeken voor domeinnamen om te leiden zonder toestemming van de eigenaars van de domeinnaam. Dit zou moeilijk (zo niet onmogelijk) zijn om op een veilige manier te doen, waardoor waarschijnlijk nieuwe gaten in de beveiliging voor aanvallers worden geopend.


    Gelukkig is SOPA dood en hopelijk komt het niet meer terug. DNSSEC wordt momenteel geïmplementeerd, waardoor dit probleem al lang moet worden verholpen.

    Image Credit: Khairil Yusof, Jemimus op Flickr, David Holmes op Flickr