Connect with us

Wie man

Wie DNSSEC zur Sicherung des Internets beiträgt und wie SOPA es fast illegal gemacht hat

Wie DNSSEC zur Sicherung des Internets beiträgt und wie SOPA es fast illegal gemacht hat

DNSSEC (Domain Name System Security Extensions) ist eine Sicherheitstechnologie, mit deren Hilfe eine der Schwachstellen des Internets behoben werden kann. Wir haben Glück, dass SOPA nicht bestanden hat, da SOPA DNSSEC illegal gemacht hätte.

DNSSEC fügt einem Ort, an dem das Internet keine wirklich hat, kritische Sicherheit hinzu. Das Domain Name System (DNS) funktioniert gut, aber es gibt zu keinem Zeitpunkt des Prozesses eine Überprüfung, wodurch Lücken für Angreifer offen bleiben.

Der aktuelle Stand der Dinge

Wir haben erklärt, wie DNS in der Vergangenheit funktioniert. Kurz gesagt, wenn Sie eine Verbindung zu einem Domainnamen wie „google.com“ oder „howtogeek.com“ herstellen, kontaktiert Ihr Computer seinen DNS-Server und sucht nach der zugehörigen IP-Adresse für diesen Domainnamen. Ihr Computer stellt dann eine Verbindung zu dieser IP-Adresse her.

Wichtig ist, dass bei einer DNS-Suche kein Überprüfungsprozess erforderlich ist. Ihr Computer fragt seinen DNS-Server nach der einer Website zugeordneten Adresse, der DNS-Server antwortet mit einer IP-Adresse und Ihr Computer sagt „OK!“ und verbindet sich glücklich mit dieser Website. Ihr Computer stoppt nicht, um zu überprüfen, ob dies eine gültige Antwort ist.

Angreifer können diese DNS-Anforderungen umleiten oder böswillige DNS-Server einrichten, die für die Rückgabe fehlerhafter Antworten ausgelegt sind. Wenn Sie beispielsweise mit einem öffentlichen Wi-Fi-Netzwerk verbunden sind und versuchen, eine Verbindung zu howtogeek.com herzustellen, kann ein böswilliger DNS-Server in diesem öffentlichen Wi-Fi-Netzwerk eine vollständig andere IP-Adresse zurückgeben. Die IP-Adresse könnte Sie zu einer Phishing-Website führen. Ihr Webbrowser kann nicht wirklich überprüfen, ob eine IP-Adresse tatsächlich mit howtogeek.com verknüpft ist. Es muss nur der Antwort vertrauen, die es vom DNS-Server erhält.

Die HTTPS-Verschlüsselung bietet einige Überprüfungen. Angenommen, Sie versuchen, eine Verbindung zur Website Ihrer Bank herzustellen, und Sie sehen HTTPS und das Schlosssymbol in Ihrer Adressleiste. Sie wissen, dass eine Zertifizierungsstelle überprüft hat, dass die Website Ihrer Bank gehört.

Wenn Sie von einem kompromittierten Zugriffspunkt auf die Website Ihrer Bank zugegriffen haben und der DNS-Server die Adresse einer Betrüger-Phishing-Site zurückgegeben hat, kann die Phishing-Site diese HTTPS-Verschlüsselung nicht anzeigen. Die Phishing-Site kann sich jedoch für die Verwendung von einfachem HTTP anstelle von HTTPS entscheiden, wobei darauf gewettet wird, dass die meisten Benutzer den Unterschied nicht bemerken und ihre Online-Banking-Informationen trotzdem eingeben würden.

Ihre Bank kann nicht sagen: „Dies sind die legitimen IP-Adressen für unsere Website.“

Wie DNSSEC hilft

Eine DNS-Suche erfolgt tatsächlich in mehreren Schritten. Wenn Ihr Computer beispielsweise nach www.howtogeek.com fragt, führt Ihr Computer diese Suche in mehreren Schritten durch:

  • Es fragt zuerst das „Stammzonenverzeichnis“, wo es finden kann .com.
  • Anschließend wird das .com-Verzeichnis gefragt, wo es gefunden werden kann howtogeek.com.
  • Anschließend wird howtogeek.com gefragt, wo es zu finden ist www.howtogeek.com.

Bei DNSSEC wird der Stamm signiert. Wenn Ihr Computer die Stammzone fragt, wo er .com finden kann, kann er den Signaturschlüssel der Stammzone überprüfen und bestätigen, dass es sich um die legitime Stammzone mit echten Informationen handelt. Die Stammzone liefert dann Informationen zum Signaturschlüssel oder .com und seinem Speicherort, sodass Ihr Computer das .com-Verzeichnis kontaktieren und sicherstellen kann, dass es legitim ist. Das .com-Verzeichnis enthält den Signaturschlüssel und Informationen für howtogeek.com, sodass es sich an howtogeek.com wenden und überprüfen kann, ob Sie mit dem echten howtogeek.com verbunden sind, wie durch die darüber liegenden Zonen bestätigt.

Wenn DNSSEC vollständig eingeführt ist, kann Ihr Computer bestätigen, dass DNS-Antworten legitim und wahr sind, während er derzeit nicht wissen kann, welche gefälscht und welche echt sind.

Lesen Sie hier mehr darüber, wie Verschlüsselung funktioniert.

Was SOPA getan hätte

Wie hat sich das Stop Online Piracy Act, besser bekannt als SOPA, auf all das ausgewirkt? Wenn Sie SOPA folgen, stellen Sie fest, dass es von Leuten geschrieben wurde, die das Internet nicht verstanden haben, sodass es das Internet auf verschiedene Weise „brechen“ würde. Dies ist einer von ihnen.

Denken Sie daran, dass DNSSEC es Domainnamenbesitzern ermöglicht, ihre DNS-Einträge zu signieren. So kann thepiratebay.se beispielsweise DNSSEC verwenden, um die IP-Adressen anzugeben, mit denen es verknüpft ist. Wenn Ihr Computer eine DNS-Suche durchführt – sei es für google.com oder thepiratebay.se – kann der Computer mit DNSSEC feststellen, dass er die richtige Antwort erhält, die von den Eigentümern des Domainnamens bestätigt wurde. DNSSEC ist nur ein Protokoll. Es wird nicht versucht, zwischen „guten“ und „schlechten“ Websites zu unterscheiden.

SOPA hätte von Internetdienstanbietern verlangt, DNS-Lookups für „schlechte“ Websites umzuleiten. Wenn beispielsweise die Abonnenten eines Internetdienstanbieters versuchen, auf thepiratebay.se zuzugreifen, geben die DNS-Server des ISP die Adresse einer anderen Website zurück, die sie darüber informiert, dass die Pirate Bay blockiert wurde.

Mit DNSSEC wäre eine solche Umleitung nicht von einem Man-in-the-Middle-Angriff zu unterscheiden, den DNSSEC verhindern sollte. ISPs, die DNSSEC bereitstellen, müssten mit der tatsächlichen Adresse der Piratenbucht antworten und würden somit gegen SOPA verstoßen. Um SOPA zu unterstützen, müsste DNSSEC eine große Lücke aufweisen, die es Internetdienstanbietern und Regierungen ermöglichen würde, DNS-Anfragen von Domainnamen ohne die Erlaubnis der Eigentümer des Domainnamens umzuleiten. Dies wäre schwierig (wenn nicht unmöglich) auf sichere Weise zu tun und würde wahrscheinlich neue Sicherheitslücken für Angreifer öffnen.

Zum Glück ist SOPA tot und wird hoffentlich nicht zurückkommen. DNSSEC wird derzeit bereitgestellt und bietet eine längst überfällige Lösung für dieses Problem.

Bildnachweis: Khairil Yusof, Jemimus auf Flickr, David Holmes auf Flickr

Continue Reading
Click to comment

Leave a Reply

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Tendencia