Rząd USA chce bezpiecznego systemu DNS

Rząd Stanów Zjednoczonych poszukuje rozwiązań zmierzających do takiego zmodyfikowania systemu DNS (Domain Name System), aby był on odporny na działania włamywaczy.

Wydarzenia
30-31 marca 2017 r.

Już po raz dziesiąty stowarzyszenia ISSA Polska, ISACA Warsaw Chapter oraz magazyn Computerworld zapraszają na konferencję SEMAFOR - Forum...

Zarejestruj się
Podstawowy pomysł polega na tym, aby wpisy znajdujące się w obszarze root systemu DNS były chronione za pomocą kryptografii asymetrycznej oraz podpisów cyfrowych, co można realizować przy użyciu rozszerzeń bezpieczeństwa DNSSEC (Domain Name and Addressing System Security Extensions). DNSSEC to zestaw protokołów pozwalających potwierdzać autentyczność wpisów DNS, dzięki temu iż towarzyszą im cyfrowe podpisy. US Department of Commerce (Departament Handlu Stanów Zjednoczonych) rozpoczął już na ten temat dyskusję, prosząc specjalistów o składanie propozycji jak taki system powinien pracować i jak powinno się go wdrażać.

Na najwyższym poziomie systemu DNS (root) znajdują się wpisy, które informują zgłaszających się do niego klientów, gdzie mogą znaleźć adresy IP komputerów zarejestrowanych w poszczególnych domenach (takich jak na przykład .pl). System DNS bada wtedy podaną nazwę witryny (np. www.idg.pl) i zwraca klientowi adres IP tej witryny.

Włamywacze potrafią niestety przejmować kontrolę nad systemem DNS, w wyniku czego klient otrzymuje inny, podstawiony adres IP. Efekt jest taki, że użytkownik łączy się nie z witryną IDG, ale z zupełnie innym serwerem WWW, zawierającym np. szkodliwy kod.

Jeden z najpoważniejszych ataków na system DNS miał miejsce w lipcu br. Jego odkrywcą był Dan Kaminsky (patrz tutaj), specjalista od spraw bezpieczeństwa. Uważa się, że prawie wszystkie serwery DNS zawierają dziury, które można wykorzystywać do przejmowania kontroli nad systemem DNS. Specjaliści apelują od lat o wprowadzenie rozwiązania podobnego do DNSSEC. Jednak póki co, systemu takiego nie udało się wdrożyć.

Rząd USA zapowiedział, że wykorzysta technologię DNSSEC do ochrony swojej domeny .gov. Inni operatorzy ccTLDs (country-code Top-Level Domains), sprawujący pieczę nad narodowymi domenami - w Szwecji (.se), Brazylii (.br), Puerto Rico (.pr) i w Bułgarii (.bg) - stosują już technologię DNSSEC. Podobne zamiary ma operator TLD zarządzający domeną .org.

System DNSSEC będzie jednak chronić skutecznie cały system DNS dopiero wtedy, gdy zmiany do oprogramowania zarządzającego w internecie nazwami hostów i adresami IP wprowadzą wszystkie instytucje sprawujące pieczę nad poszczególnymi elementami systemu DNS (oraz klienci), co nie jest takie proste.

Dołącz do dyskusji
Bądź pierwszy i zostaw komentarz.