211service.com
Jauns uzticības tīkls
Interneta pamatelements, kas palīdz miljoniem datorsistēmu atrast viena otru, beidzot saņem tik ļoti nepieciešamo jauninājumu. Domēna vārdu sistēma (DNS) darbojas līdzīgi kā interneta tālruņu grāmata, pārvēršot vietrāžus URL, ko lietotāji ievada pārlūkprogrammā, skaitliskās adresēs, ko izmanto, lai identificētu serverus, kas mitina pieprasīto vietni.
Nesen šī 30 gadus vecā sistēma ir sākusi parādīt savu vecumu.
Pagājušajā gadā augsta līmeņa drošības pētnieku komanda sacentās, lai labotu kritisku DNS trūkumu, kas ļāva nolaupīt likumīgu saziņu, potenciāli novirzot nenojaušos tīmekļa sērfotājus uz ļaunprātīgām tīmekļa lapām. Plāksteris, ko komanda nāca klajā, samazināja tiešās briesmas, taču nebija paredzēts kā pastāvīgs risinājums.
Tagad daudzi eksperti meklē ilgtermiņa risinājumu DNSSEC , protokols, kas pārbauda DNS ziņojumus ar ciparparakstiem. The Sabiedrisko interešu reģistrs , kas apstrādā .org domēnu, ievieš DNSSEC visās tīmekļa adresēs, kas beidzas ar šo sufiksu, un plāno pabeigt pirmo procesa posmu šī gada sākumā. ASV valdība ir apņēmusies to ieslēgt DNSSEC domēnam .gov kā arī, un jaunizveidoto DNSSEC nozares koalīcija cenšas panākt, lai protokols tiktu pieņemts vēl plašāk.
Tas ir kaut kāds pavērsiens. 14 gadu laikā kopš DNSSEC pirmās izveides protokols cīnījās, lai iegūtu plašu pielietojumu, jo tika uzskatīts, ka tas nevajadzīgi sarežģī DNS ieviešanu. Pagājušajā gadā atklātās DNS nepilnības atslēga ir tāda, ka protokols tika izstrādāts uzticamākā laikā un neapgrūtina informācijas autentifikāciju. Dens Kaminskis , iespiešanās pārbaudes direktors plkst IOActive , drošības uzņēmums, kas atrodas Sietlā, saprata, ka, ja uzbrucējs varētu iekļūt DNS saziņā, viņš varētu novirzīt tīmekļa trafiku gandrīz jebkurā veidā. DNS ir pievienotas funkcijas, lai samazinātu ziņojumu nolaupīšanas draudus, taču DNSSEC pirmo reizi sistēmai pievieno reālu autentifikāciju.
Alexa padome , Sabiedrisko interešu reģistra izpilddirektors, atzīmē, ka kādam vajadzēja pirmajam ieviest jauno protokolu. Viņa saka, ka līdz šim par domēnu nosaukumiem atbildīgās organizācijas nevēlējās integrēt DNSSEC, jo tās vai nu sūtīja akreditācijas datus serveriem, kuri tos neklausīja, vai arī klausījās akreditācijas datus, kas tos nedzirdēja. esi tur. Rāds saka, ka Sabiedrības interešu reģistrs sāka integrēt DNSSEC krietni pirms Kaminska trūkuma paziņošanas, cerot mudināt pieņemt protokolu, rādot piemēru. Viņa saka, ka Kaminska trūkumu atklājumi vienkārši palīdzēja saasināt debates. Pēdējo divu gadu laikā liela daļa debašu par DNSSEC bija vērstas uz jautājumu “Vai mums tas ir vajadzīgs?” Vai ir arī citas tehnoloģijas? Cik tas ir dzīvotspējīgs?’ Manuprāt, debates no tā ir pilnībā attālinājušās. Mēs visi saprotam, ka DNS patiesībā ir bojāta. Vienīgais risinājums tam faktiski ir DNSSEC. Tagad notiek debates: 'Kā mēs izvietojam?'
DNSSEC mērķis ir izveidot uzticības ķēdi, piebilst Rams Mohans , CTO of Afilias , kas ir strādājis, lai palīdzētu Sabiedrisko interešu reģistram veikt tā izvēršanu. Ir daudzas vietas, kur DNSSEC ir jāieslēdz, lai uzticības ķēde nepārtraukti plūstu no lietotāja uz vietni. Kad augstākā līmeņa domēns (piemēram, .org vai .com) ievieš DNSSEC, jebkura šī domēna vietne var izvēlēties ieslēgt arī DNSSEC, kas ir svarīgs ķēdes posms. Tā kā interneta pakalpojumu sniedzēji, piemēram, Comcast ir sākuši atbalstīt DNSSEC, saka Mohans, kļūst iespējams, ka dažus vietņu apmeklējumus lielākoties aizsargā DNSSEC.
Pols Viksijs, prezidents Interneta sistēmu konsorcijs , kas uztur BIND — programmatūru, ko visbiežāk izmanto DNS ziņojumu apstrādei, sagaida, ka DNSSEC tiks virzīta uz sniega pika. Viņš saka, ka ar .gov un .org parakstīšanu beidzot ir DNSSEC tehnoloģiju un pakalpojumu tirgus. Tagad, kad daži citi ievieš DNSSEC, daudzi citi vēlēsies nodarboties ar DNSSEC risinājumu nodrošināšanu, un tas savukārt ļaus daudziem sētniekiem beidzot nokāpt un pievienoties mums.
Pats Kaminskis sākotnēji bija neitrāls attiecībā uz DNSSEC kā iespējamo risinājumu defektam, ko viņš atklāja ar DNS. Tagad viņš DNSSEC uzskata par labu risinājumu, taču brīdina, ka vēl ir jādara darbs, lai palīdzētu tai paplašināties. Pats galvenais, viņš saka: citiem saknes domēniem, kas ir visu DNS darījumu pamatā, ir jāizmanto DNSSEC. Lai gan DNS nekad netika izstrādāts tā, lai tas būtu autentifikācijas pamatā internetā, tas tā ir, un ir pienācis laiks sākt ar to rīkoties, piebilst Kaminskis.
Mohans saka, ka viņš cer, ka drīzumā DNSSEC ieviesīs vairāk domēnu. Viņš saka, ka ir pienācis laiks, lai DNS kļūtu drošāka. DNS trafika integritāte sāk apšaubīt pikšķerēšanas, robottīklu un tamlīdzīgu lietu parādīšanos. Šeit ir konkrēta lieta, ko var izdarīt, lai novērstu skaidru problēmu.