Homepage » come » In che modo DNSSEC contribuirà a proteggere Internet e come SOPA lo abbia reso quasi illegale

    In che modo DNSSEC contribuirà a proteggere Internet e come SOPA lo abbia reso quasi illegale

    DNSSEC (Domain Name System Security Extensions) è una tecnologia di sicurezza che aiuterà a correggere uno dei punti deboli di Internet. Siamo fortunati che SOPA non sia passata, perché SOPA avrebbe reso illegale DNSSEC.

    DNSSEC aggiunge sicurezza fondamentale in un luogo in cui Internet non ne possiede davvero. Il DNS (Domain Name System) funziona bene, ma non c'è alcuna verifica in qualsiasi punto del processo, che lascia i buchi aperti agli aggressori.

    Lo stato attuale degli affari

    Abbiamo spiegato come funziona il DNS in passato. In poche parole, ogni volta che ti connetti a un nome di dominio come "google.com" o "howtogeek.com", il tuo computer contatta il suo server DNS e cerca l'indirizzo IP associato per quel nome di dominio. Il tuo computer si connetterà quindi a quell'indirizzo IP.

    È importante sottolineare che non vi è alcun processo di verifica coinvolto in una ricerca DNS. Il tuo computer chiede al server DNS l'indirizzo associato a un sito Web, il server DNS risponde con un indirizzo IP e il tuo computer dice "okay!" E si connette felicemente a quel sito web. Il tuo computer non si ferma per verificare se si tratta di una risposta valida.

    È possibile che gli aggressori reindirizzino queste richieste DNS o configurino server DNS dannosi progettati per restituire risposte errate. Ad esempio, se si è connessi a una rete Wi-Fi pubblica e si tenta di connettersi a howtogeek.com, un server DNS dannoso su tale rete Wi-Fi pubblica potrebbe restituire un indirizzo IP diverso interamente. L'indirizzo IP potrebbe portare a un sito Web di phishing. Il tuo browser non ha un modo reale per verificare se un indirizzo IP è effettivamente associato a howtogeek.com; deve solo fidarsi della risposta che riceve dal server DNS.

    La crittografia HTTPS fornisce alcune verifiche. Ad esempio, supponiamo che provi a connetterti al sito web della tua banca e visualizzi HTTPS e l'icona a forma di lucchetto nella barra degli indirizzi. Sapete che un'autorità di certificazione ha verificato che il sito Web appartiene alla vostra banca.

    Se si accede al sito Web della banca da un punto di accesso compromesso e il server DNS ha restituito l'indirizzo di un sito di phishing, il sito di phishing non sarebbe in grado di visualizzare tale crittografia HTTPS. Tuttavia, il sito di phishing può scegliere di utilizzare HTTP semplice invece di HTTPS, scommettendo sul fatto che la maggior parte degli utenti non noterebbe la differenza e accetterebbe comunque le proprie informazioni bancarie online.

    La tua banca non ha modo di dire "Questi sono gli indirizzi IP legittimi per il nostro sito web".

    Come aiuterà DNSSEC

    Una ricerca DNS avviene in realtà in diverse fasi. Ad esempio, quando il computer richiede www.howtogeek.com, il computer esegue questa ricerca in diverse fasi:

    • Prima chiede la "directory root zone" dove può trovare .com.
    • Quindi chiede la directory .com dove può trovare howtogeek.com.
    • Quindi chiede a howtogeek.com dove può trovare www.howtogeek.com.

    DNSSEC implica "firmare la radice". Quando il computer va a chiedere alla zona radice dove può trovare .com, sarà in grado di controllare la chiave di firma della zona radice e confermare che si tratta della zona radice legittima con informazioni vere. La root zone fornirà quindi informazioni sulla chiave di firma o su .com e sulla sua posizione, consentendo al computer di contattare la directory .com e assicurarsi che sia legittimo. La directory .com fornirà la chiave di firma e le informazioni per howtogeek.com, che gli consentirà di contattare howtogeek.com e verificare di essere collegato al vero howtogeek.com, come confermato dalle zone sopra di esso.

    Quando DNSSEC sarà completamente implementato, il tuo computer sarà in grado di confermare che le risposte DNS sono legittime e vere, mentre al momento non ha modo di sapere quali sono false e quali sono reali.

    Leggi di più su come funziona la crittografia qui.

    Che cosa avrebbe fatto SOPA

    Quindi, come ha fatto lo Stop Online Piracy Act, meglio conosciuto come SOPA, giocare a tutto questo? Bene, se hai seguito SOPA, ti rendi conto che è stato scritto da persone che non hanno capito Internet, quindi "rompere Internet" in vari modi. Questo è uno di loro.

    Ricorda che DNSSEC consente ai proprietari dei nomi di dominio di firmare i propri record DNS. Ad esempio, thepiratebay.se può utilizzare DNSSEC per specificare gli indirizzi IP a cui è associato. Quando il computer esegue una ricerca DNS, sia per google.com che per thepiratebay.se, DNSSEC consente al computer di determinare che sta ricevendo la risposta corretta come convalidato dai proprietari del nome del dominio. DNSSEC è solo un protocollo; non cerca di discriminare tra siti web "buoni" e "cattivi".

    SOPA avrebbe richiesto ai provider di servizi Internet di reindirizzare le ricerche DNS per i siti Web "cattivi". Ad esempio, se gli abbonati di un provider di servizi Internet hanno tentato di accedere a thepiratebay.se, i server DNS dell'ISP restituirebbero l'indirizzo di un altro sito Web, informandolo che il Pirate Bay era stato bloccato.

    Con DNSSEC, tale reindirizzamento sarebbe indistinguibile da un attacco man-in-the-middle, che DNSSEC è stato progettato per prevenire. Gli ISP che implementano DNSSEC dovrebbero rispondere con l'indirizzo effettivo di Pirate Bay e quindi violerebbero SOPA. Per ospitare SOPA, DNSSEC avrebbe dovuto scavare un grosso buco, che consentisse ai provider di servizi Internet e ai governi di reindirizzare le richieste DNS dei nomi di dominio senza il permesso dei proprietari del nome di dominio. Ciò sarebbe difficile (se non impossibile) da fare in modo sicuro, probabilmente aprendo nuove falle nella sicurezza per gli aggressori.


    Fortunatamente, SOPA è morto e si spera che non ritorni. DNSSEC è attualmente in fase di distribuzione, fornendo una soluzione a lungo scaduta per questo problema.

    Immagine di credito: Khairil Yusof, Jemimus su Flickr, David Holmes su Flickr