Wie DNSSEC dabei helfen wird, das Internet zu sichern, und wie SOPA es fast illegal gemacht hat
DNSSEC (Domain Name System Security Extensions) ist eine Sicherheitstechnologie, mit der einer der Schwachpunkte des Internets behoben werden kann. Wir haben Glück, dass SOPA nicht bestanden hat, weil SOPA DNSSEC illegal gemacht hätte.
DNSSEC fügt einem Ort kritische Sicherheit hinzu, an dem das Internet keine hat. Das Domain Name System (DNS) funktioniert gut, es erfolgt jedoch zu keinem Zeitpunkt eine Überprüfung, sodass Angreifer Lücken offen lassen.
Der aktuelle Stand der Dinge
Wir haben erklärt, wie DNS in der Vergangenheit funktioniert. Kurz gesagt, wenn Sie eine Verbindung zu einem Domainnamen wie "google.com" oder "howtogeek.com" herstellen, kontaktiert Ihr Computer seinen DNS-Server und sucht die zugehörige IP-Adresse für diesen Domainnamen. Ihr Computer verbindet sich dann mit dieser IP-Adresse.
Es ist wichtig, dass an einer DNS-Suche kein Überprüfungsprozess beteiligt ist. Ihr Computer fragt seinen DNS-Server nach der Adresse, die mit einer Website verknüpft ist, der DNS-Server antwortet mit einer IP-Adresse, und Ihr Computer sagt "OK" und stellt glücklich eine Verbindung zu dieser Website her. Ihr Computer hört nicht auf zu prüfen, ob dies eine gültige Antwort ist.
Es ist möglich, dass Angreifer diese DNS-Anfragen umleiten oder schädliche DNS-Server einrichten, die schlechte Antworten liefern. Wenn Sie beispielsweise mit einem öffentlichen Wi-Fi-Netzwerk verbunden sind und versuchen, eine Verbindung zu howtogeek.com herzustellen, kann ein böswilliger DNS-Server in diesem öffentlichen Wi-Fi-Netzwerk eine andere IP-Adresse zurückgeben. Die IP-Adresse kann Sie zu einer Phishing-Website führen. Ihr Webbrowser kann nicht wirklich prüfen, ob eine IP-Adresse tatsächlich mit howtogeek.com verbunden ist. es muss nur der Antwort vertrauen, die es vom DNS-Server erhält.
Die HTTPS-Verschlüsselung bietet einige Überprüfungen. Angenommen, Sie versuchen, eine Verbindung zur Website Ihrer Bank herzustellen, und Sie sehen HTTPS und das Sperrsymbol in Ihrer Adressleiste. Sie wissen, dass eine Zertifizierungsstelle bestätigt hat, dass die Website Ihrer Bank gehört.
Wenn Sie von einem angegriffenen Zugriffspunkt auf die Website Ihrer Bank zugegriffen haben und der DNS-Server die Adresse einer unübersichtlichen Phishing-Site zurückgegeben hat, kann die Phishing-Site diese HTTPS-Verschlüsselung nicht anzeigen. Die Phishing-Site kann sich jedoch dafür entscheiden, statt HTTPS reines HTTP zu verwenden. Wetten, dass die meisten Benutzer den Unterschied nicht bemerken und ihre Online-Banking-Informationen trotzdem eingeben.
Ihre Bank kann nicht sagen: "Dies sind die legitimen IP-Adressen für unsere Website."
Wie DNSSEC helfen wird
Eine DNS-Suche findet tatsächlich in mehreren Schritten statt. Wenn Ihr Computer beispielsweise nach www.howtogeek.com fragt, führt der Computer diese Suche in mehreren Schritten durch:
- Zuerst fragt es das "Root-Zone-Verzeichnis", wo es finden kann .com.
- Es fragt dann das .com-Verzeichnis, wo es finden kann howtogeek.com.
- Es fragt dann howtogeek.com, wo es finden kann www.howtogeek.com.
DNSSEC beinhaltet das "Signieren des Root-Verzeichnisses". Wenn Ihr Computer die Root-Zone fragt, wo er .com finden kann, kann er den Signaturschlüssel der Root-Zone überprüfen und bestätigen, dass es sich um die legitime Root-Zone mit echten Informationen handelt. Die Root-Zone gibt dann Informationen zum Signaturschlüssel oder .com und zu seinem Speicherort an, damit Ihr Computer das .com-Verzeichnis aufrufen und sicherstellen kann, dass es legitim ist. Das .com-Verzeichnis enthält den Signaturschlüssel und die Informationen für howtogeek.com. So können Sie sich mit howtogeek.com in Verbindung setzen und überprüfen, ob Sie mit dem echten howtogeek.com verbunden sind. Dies wird durch die darüber liegenden Zonen bestätigt.
Wenn DNSSEC vollständig ausgerollt ist, kann Ihr Computer bestätigen, dass DNS-Antworten legitim und wahr sind, während derzeit keine Möglichkeit zu erkennen ist, welche falsch und welche echt sind.
Lesen Sie hier mehr darüber, wie die Verschlüsselung funktioniert.
Was SOPA gemacht hätte
Wie spielte also der Stop Online Piracy Act, besser bekannt als SOPA, bei all dem eine Rolle? Nun, wenn Sie SOPA folgen, stellen Sie fest, dass es von Leuten geschrieben wurde, die das Internet nicht verstanden haben, so dass es auf verschiedene Weise "das Internet brechen" würde. Dies ist einer von ihnen.
Denken Sie daran, dass DNSSEC es Domaininhabern ermöglicht, ihre DNS-Einträge zu signieren. So kann beispielsweise thepiratebay.se DNSSEC verwenden, um die IP-Adressen anzugeben, mit denen es verbunden ist. Wenn der Computer eine DNS-Suche durchführt - unabhängig davon, ob es sich um google.com oder um thepiratebay.se handelt - würde DNSSEC dem Computer gestatten, festzustellen, dass er die richtige Antwort empfängt, die von den Inhabern des Domänennamens bestätigt wurde. DNSSEC ist nur ein Protokoll. Es wird nicht versucht, zwischen "guten" und "schlechten" Websites zu unterscheiden.
SOPA hätte Internetdienstanbieter dazu verpflichtet, DNS-Suchvorgänge für "schlechte" Websites umzuleiten. Wenn beispielsweise die Abonnenten eines Internetdienstanbieters versucht, auf die Piratebay.se zuzugreifen, geben die DNS-Server des ISP die Adresse einer anderen Website zurück, die sie darüber informiert, dass die Pirate Bay gesperrt wurde.
Mit DNSSEC wäre eine solche Umleitung nicht von einem Man-in-the-Middle-Angriff zu unterscheiden, den DNSSEC verhindern sollte. ISPs, die DNSSEC einsetzen, müssten mit der tatsächlichen Adresse der Pirate Bay antworten und würden somit gegen SOPA verstoßen. Um SOPA unterzubringen, müsste DNSSEC ein großes Loch aufweisen, das es Internet Service Providern und Regierungen ermöglicht, DNS-Anforderungen von Domänennamen ohne die Erlaubnis der Eigentümer des Domänennamens umzuleiten. Dies wäre schwierig (wenn nicht unmöglich) auf sichere Art und Weise zu tun und könnte neue Sicherheitslücken für Angreifer eröffnen.
Glücklicherweise ist SOPA tot und wird hoffentlich nicht wiederkommen. DNSSEC wird derzeit bereitgestellt und bietet eine überfällige Lösung für dieses Problem.
Bildnachweis: Khairil Yusof, Jemimus auf Flickr, David Holmes auf Flickr