Como o DNSSEC ajudará a proteger a Internet e como a SOPA quase a tornou ilegal

Índice:

Como o DNSSEC ajudará a proteger a Internet e como a SOPA quase a tornou ilegal
Como o DNSSEC ajudará a proteger a Internet e como a SOPA quase a tornou ilegal

Vídeo: Como o DNSSEC ajudará a proteger a Internet e como a SOPA quase a tornou ilegal

Vídeo: Como o DNSSEC ajudará a proteger a Internet e como a SOPA quase a tornou ilegal
Vídeo: Mandou um email sem querer? Veja como desfazer o envio (GMail) [Dicas e Matérias] - YouTube 2024, Abril
Anonim
As Extensões de Segurança do Sistema de Nomes de Domínio (DNSSEC) são uma tecnologia de segurança que ajudará a consertar um dos pontos fracos da Internet. Temos sorte que o SOPA não passou, porque o SOPA teria tornado o DNSSEC ilegal.
As Extensões de Segurança do Sistema de Nomes de Domínio (DNSSEC) são uma tecnologia de segurança que ajudará a consertar um dos pontos fracos da Internet. Temos sorte que o SOPA não passou, porque o SOPA teria tornado o DNSSEC ilegal.

O DNSSEC adiciona segurança crítica a um lugar onde a Internet realmente não possui nenhum. O sistema de nomes de domínio (DNS) funciona bem, mas não há verificação em nenhum ponto do processo, o que deixa brechas abertas para invasores.

O estado atual dos negócios

Nós explicamos como o DNS funciona no passado. Em suma, sempre que você se conectar a um nome de domínio como "google.com" ou "howtogeek.com", seu computador contata seu servidor DNS e procura o endereço IP associado a esse nome de domínio. Seu computador então se conecta a esse endereço IP.

Importante, não há processo de verificação envolvido em uma pesquisa de DNS. Seu computador solicita ao seu servidor DNS o endereço associado a um site, o servidor DNS responde com um endereço IP e seu computador diz “ok!” E se conecta com alegria a esse site. Seu computador não para para verificar se essa é uma resposta válida.

É possível que invasores redirecionem essas solicitações de DNS ou configurem servidores DNS mal-intencionados criados para retornar respostas incorretas. Por exemplo, se você estiver conectado a uma rede Wi-Fi pública e tentar se conectar a howtogeek.com, um servidor DNS mal-intencionado nessa rede pública Wi-Fi poderá retornar um endereço IP diferente por completo. O endereço IP pode levar você a um site de phishing. Seu navegador não tem uma maneira real de verificar se um endereço IP está realmente associado a howtogeek.com; só precisa confiar na resposta que recebe do servidor DNS.
É possível que invasores redirecionem essas solicitações de DNS ou configurem servidores DNS mal-intencionados criados para retornar respostas incorretas. Por exemplo, se você estiver conectado a uma rede Wi-Fi pública e tentar se conectar a howtogeek.com, um servidor DNS mal-intencionado nessa rede pública Wi-Fi poderá retornar um endereço IP diferente por completo. O endereço IP pode levar você a um site de phishing. Seu navegador não tem uma maneira real de verificar se um endereço IP está realmente associado a howtogeek.com; só precisa confiar na resposta que recebe do servidor DNS.

A criptografia HTTPS fornece alguma verificação. Por exemplo, digamos que você tente se conectar ao website do seu banco e veja o HTTPS e o ícone de bloqueio na sua barra de endereço. Você sabe que uma autoridade de certificação verificou que o site pertence ao seu banco.

Se você acessou o site do seu banco em um ponto de acesso comprometido e o servidor DNS retornou o endereço de um site impostor de phishing, o site de phishing não conseguiria exibir essa criptografia HTTPS. No entanto, o site de phishing pode optar por usar HTTP simples em vez de HTTPS, apostando que a maioria dos usuários não notaria a diferença e inseriria as informações do banco on-line mesmo assim.
Se você acessou o site do seu banco em um ponto de acesso comprometido e o servidor DNS retornou o endereço de um site impostor de phishing, o site de phishing não conseguiria exibir essa criptografia HTTPS. No entanto, o site de phishing pode optar por usar HTTP simples em vez de HTTPS, apostando que a maioria dos usuários não notaria a diferença e inseriria as informações do banco on-line mesmo assim.

Seu banco não tem como dizer "Esses são os endereços IP legítimos do nosso site".

Image
Image

Como o DNSSEC ajudará

Uma pesquisa de DNS realmente acontece em vários estágios. Por exemplo, quando o seu computador solicita o site www.howtogeek.com, o seu computador executa essa pesquisa em vários estágios:

  • Primeiro, ele pergunta ao “diretório da zona raiz” onde ele pode encontrar .com.
  • Em seguida, ele pergunta ao diretório.com onde ele pode encontrar howtogeek.com.
  • Em seguida, pede howtogeek.com onde pode encontrar www.howtogeek.com.

O DNSSEC envolve “assinar a raiz”. Quando o computador vai perguntar à zona de raiz onde ele pode encontrar.com, ele poderá verificar a chave de assinatura da zona raiz e confirmar que essa é a zona raiz legítima com informações verdadeiras. A zona raiz fornecerá informações sobre a chave de assinatura ou.com e sua localização, permitindo que seu computador entre em contato com o diretório.com e garanta que seja legítimo. O diretório.com fornecerá a chave de assinatura e as informações do howtogeek.com, permitindo que ele entre em contato com o howtogeek.com e verifique se você está conectado ao verdadeiro howtogeek.com, conforme confirmado pelas zonas acima dele.

Quando o DNSSEC estiver totalmente implementado, seu computador poderá confirmar se as respostas do DNS são legítimas e verdadeiras, embora atualmente não tenha como saber quais são falsas e quais são reais.

Leia mais sobre como a criptografia funciona aqui.
Leia mais sobre como a criptografia funciona aqui.

O que o SOPA teria feito

Então, como o Stop Online Piracy Act, mais conhecido como SOPA, atuou em tudo isso? Bem, se você seguir o SOPA, perceberá que ele foi escrito por pessoas que não entenderam a Internet, por isso "quebraria a Internet" de várias maneiras. Este é um deles.

Lembre-se de que o DNSSEC permite que os proprietários de nomes de domínio assinem seus registros de DNS. Assim, por exemplo, o thepiratebay.se pode usar o DNSSEC para especificar os endereços IP aos quais está associado. Quando o computador realiza uma pesquisa de DNS, seja para google.com ou thepiratebay.se, o DNSSEC permite que o computador determine que está recebendo a resposta correta, conforme validado pelos proprietários do nome de domínio. O DNSSEC é apenas um protocolo; não tenta discriminar entre sites "bons" e "ruins".

O SOPA teria exigido que os provedores de serviços de Internet redirecionassem as pesquisas de DNS para sites "ruins". Por exemplo, se os assinantes de um provedor de serviços de Internet tentassem acessar thepiratebay.se, os servidores DNS do ISP retornariam o endereço de outro website, informando que o Pirate Bay havia sido bloqueado.

Com o DNSSEC, tal redirecionamento seria indistinguível de um ataque man-in-the-middle, que o DNSSEC foi projetado para prevenir. Os ISPs que implantarem o DNSSEC teriam que responder com o endereço real do Pirate Bay e, assim, violariam o SOPA.Para acomodar o SOPA, o DNSSEC teria que ter um grande buraco, que permitiria aos provedores de serviços de Internet e governos redirecionar as solicitações DNS de nomes de domínio sem a permissão dos proprietários do nome de domínio. Isso seria difícil (se não impossível) de fazer de maneira segura, provavelmente abrindo novas falhas de segurança para os invasores.

Image
Image

Por sorte, o SOPA está morto e espero que não volte. O DNSSEC está sendo implantado atualmente, fornecendo uma correção há muito esperada para esse problema.

Recomendado:

Por que assistir a DVDs no Linux é ilegal nos EUA?

Por que assistir a DVDs no Linux é ilegal nos EUA?

A Lei de Direitos Autorais do Milênio Digital (DMCA) torna o desbloqueio de telefones celulares, a extração de DVDs, a remoção de eBook DRM e a prática de jailbreak nos tablets ilegais nos EUA. No entanto, há outra surpresa: simplesmente assistir a um DVD no Linux também é ilegal.

Como a Microsoft tornou o Hotmail mais rápido do que nunca?

Como a Microsoft tornou o Hotmail mais rápido do que nunca?

O Hotmail é o serviço de e-mail mais rápido. Graças ao armazenamento em cache, ao pré-carregamento e às operações assíncronas, é possível obter um Hotmail 10x mais rápido.

Segurança do MongoDB: Proteger e proteger o banco de dados MongoDB do Ransomware

Segurança do MongoDB: Proteger e proteger o banco de dados MongoDB do Ransomware

O ransomware atingiu instalações não protegidas do MongoDB. Aprenda como proteger e proteger o banco de dados MongoDB. Leia mais sobre os problemas, lista de verificação, práticas recomendadas.

O Deseat.me ajudará a excluir sua presença na Internet, sua pegada e seu histórico

O Deseat.me ajudará a excluir sua presença na Internet, sua pegada e seu histórico

O Deseat.me é uma ferramenta web útil que permite encontrar todas as suas contas na Internet e excluir completamente a sua presença, histórico e presença.

O software IrisTech ajudará a proteger seus olhos e manter a saúde dos olhos

O software IrisTech ajudará a proteger seus olhos e manter a saúde dos olhos

O Iris é um software gratuito de proteção para os olhos que ajuda a ajustar a cor, a temperatura e o brilho da tela do seu computador com Windows, ajudando a proteger os olhos e manter uma boa saúde dos olhos.