كيف سيساعد DNSSEC على تأمين الإنترنت وكيف جعلت SOPA تقريبًا غير قانونية
تعد امتدادات أمان نظام أسماء النطاقات (DNSSEC) إحدى تقنيات الأمان التي تساعد في إصلاح إحدى نقاط ضعف الإنترنت. نحن محظوظون لأن SOPA لم تمر ، لأن SOPA كانت ستجعل DNSSEC غير قانوني.
DNSSEC تضيف أمانًا مهمًا إلى مكان لا يتوفر فيه الإنترنت حقًا. يعمل نظام أسماء النطاقات (DNS) بشكل جيد ، ولكن لا يوجد أي تحقق في أي مرحلة من العملية ، مما يترك ثغرات مفتوحة للمهاجمين.
الوضع الحالي للشؤون
لقد شرحنا كيف يعمل DNS في الماضي. باختصار ، عند اتصالك باسم نطاق مثل "google.com" أو "howtogeek.com" ، يتصل جهاز الكمبيوتر الخاص بك بخادم DNS ويبحث عن عنوان IP المقترن لاسم النطاق هذا. يتصل الكمبيوتر الخاص بك بعد ذلك بعنوان IP.
الأهم من ذلك ، لا توجد أي عملية تحقق في بحث نظام أسماء النطاقات. يطلب جهاز الكمبيوتر الخاص بك ملقم DNS الخاص به للحصول على العنوان المرتبط بموقع ويب ، يستجيب ملقم DNS مع عنوان IP ، ويقول جهاز الكمبيوتر الخاص بك "بخير!" ويربط بسعادة بذلك الموقع. لا يتوقف جهاز الكمبيوتر الخاص بك للتحقق مما إذا كان هذا ردًا صالحًا.
من الممكن للمهاجمين إعادة توجيه طلبات DNS هذه أو إعداد خوادم DNS الخبيثة المصممة لإرجاع الاستجابات السيئة. على سبيل المثال ، إذا كنت متصلاً بشبكة Wi-Fi عامة وكنت تحاول الاتصال بـ howtogeek.com ، فقد يتمكن خادم DNS الخبيث على شبكة Wi-Fi العامة هذه من إرجاع عنوان IP مختلف تمامًا. قد يقودك عنوان IP إلى موقع ويب مخادع. متصفح الويب الخاص بك ليس لديه طريقة حقيقية للتحقق مما إذا كان عنوان IP مرتبط بالفعل بـ howtogeek.com ؛ يجب أن تثق فقط في الاستجابة التي تتلقاها من ملقم DNS.
يوفر تشفير HTTPS بعض التحقق. على سبيل المثال ، لنفترض أنك تحاول الاتصال بموقع الويب للمصرف الذي تتعامل معه ورأيتك HTTPS ورمز القفل في شريط العنوان. أنت تعلم أن جهة التصديق قد تحققت من أن موقع الويب ينتمي إلى مصرفك.
إذا قمت بالوصول إلى موقع البنك الخاص بك من نقطة وصول تم اختراقها وقام خادم DNS بإرجاع عنوان موقع التصيد الاحتيالي ، فلن يتمكن موقع التصيد الاحتيالي من عرض تشفير HTTPS هذا. ومع ذلك ، قد يختار موقع التصيد الاحتيالي استخدام HTTP عادي بدلاً من HTTPS ، يراهن على أن معظم المستخدمين لن يلاحظوا الفرق وسيدخلون معلوماتهم المصرفية عبر الإنترنت على أي حال.
لا يوجد لدى المصرف الخاص بك أي طريقة لقول "هذه هي عناوين IP الشرعية لموقعنا على الويب."
كيف سيساعد DNSSEC
يحدث بحث نظام أسماء النطاقات فعليًا في عدة مراحل. على سبيل المثال ، عندما يطلب جهاز الكمبيوتر الخاص بك www.howtogeek.com ، يقوم جهاز الكمبيوتر الخاص بك بإجراء هذا البحث على عدة مراحل:
- يسأل أولاً "دليل منطقة الجذر" حيث يمكن العثور عليه .كوم.
- ثم يطلب دليل .com حيث يمكن العثور عليه howtogeek.com.
- ثم يسأل howtogeek.com حيث يمكن العثور عليها www.howtogeek.com.
يتضمن DNSSEC "توقيع الجذر". عندما يذهب جهاز الكمبيوتر الخاص بك إلى طلب منطقة الجذر حيث يمكنه العثور على .com ، سيكون بإمكانه التحقق من مفتاح التوقيع الخاص بمنطقة الجذر والتأكد من أنه منطقة الجذر الشرعية مع معلومات صحيحة. بعد ذلك ، ستقوم منطقة الجذر بتوفير معلومات حول مفتاح التوقيع أو .com وموقعها ، مما يسمح للكمبيوتر بالاتصال بدليل .com والتأكد من أنه شرعي. سيزودك دليل .com بمفتاح التوقيع ومعلومات عن howtogeek.com ، مما يسمح له بالاتصال بـ howtogeek.com والتحقق من أنك متصل بـ howtogeek.com الحقيقي ، كما أكدت المناطق أعلاه.
عندما يتم طرح DNSSEC بالكامل ، فسيكون جهاز الكمبيوتر الخاص بك قادرًا على تأكيد أن استجابات DNS مشروعة وحقيقية ، في حين أنه لا تتوفر حاليًا أي طريقة لمعرفة أي منها مزيف وأيها حقيقي.
اقرأ المزيد حول كيفية عمل التشفير هنا.
ما الذي ستفعله SOPA
إذن كيف لعب قانون إيقاف القرصنة على الإنترنت ، المعروف باسم SOPA ، كل هذا؟ حسنًا ، إذا اتبعت SOPA ، فإنك تدرك أنه قد تم كتابته من قبل أشخاص لم يفهموا الإنترنت ، لذا فقد "كسر الإنترنت" بطرق مختلفة. هذا هو واحد منهم.
تذكر أن DNSSEC تسمح لمالكي أسماء النطاقات بالتوقيع على سجلات DNS الخاصة بهم. لذلك ، على سبيل المثال ، يمكن لـ thepiratebay.se استخدام DNSSEC لتحديد عناوين IP المرتبطة به. عندما يقوم الكمبيوتر بإجراء بحث DNS - سواء كان لـ google.com أو thepiratebay.se - فإن DNSSEC سيسمح للكمبيوتر بتحديد أنه يتلقى الاستجابة الصحيحة كما تم التحقق من صحتها بواسطة مالكي اسم النطاق. DNSSEC هو مجرد بروتوكول ؛ لا تحاول التمييز بين المواقع "الجيدة" و "السيئة".
كانت SOPA تطلب من مزودي خدمات الإنترنت إعادة توجيه عمليات البحث عن DNS لمواقع الويب "السيئة". على سبيل المثال ، إذا حاول مشترِك مزود خدمة الإنترنت الوصول إلى thepiratebay.se ، فسوف تقوم ملقمات DNS الخاصة بمزود خدمة الإنترنت بإرجاع عنوان موقع ويب آخر ، والذي يُعلمهم بأنه تم حظر خليج Pirate.
باستخدام DNSSEC ، لا يمكن تمييز مثل هذا التوجيه من هجوم رجل في الوسط ، والذي تم تصميم DNSSEC لمنعه. وسيتعين على مزودي خدمات الإنترنت الذين ينشرون DNSSEC الرد على العنوان الفعلي لخليج Pirate ، ومن ثم ينتهكون SOPA. لاستيعاب SOPA ، يجب أن يكون DNSSEC جزءًا كبيرًا منه ، مما يسمح لمزودي خدمات الإنترنت والحكومات بإعادة توجيه طلبات DNS لاسم النطاق دون إذن من مالكي اسم النطاق. سيكون ذلك صعباً (إن لم يكن مستحيلاً) القيام به بطريقة آمنة ، ومن المحتمل أن يفتح ثغرات أمنية جديدة للمهاجمين.
لحسن الحظ ، مات SOPA ومن المأمول ألا يعود. يتم حاليًا نشر DNSSEC ، مما يوفر إصلاحًا طال انتظاره لهذه المشكلة.
Image Credit: خيريل يوسف ، وجيموس على فليكر ، وديفيد هولمز على فليكر