211service.com
Een nieuw web van vertrouwen
Een kernelement van internet dat miljoenen computersystemen helpt elkaar te lokaliseren, krijgt eindelijk een hoognodige upgrade. Het domeinnaamsysteem (DNS) lijkt veel op het telefoonboek van internet en vertaalt de URL's die gebruikers in een browser typen in de numerieke adressen die worden gebruikt om de servers te identificeren die de gevraagde site hosten.
Onlangs begon dit 30 jaar oude systeem zijn leeftijd te vertonen.
Vorig jaar haastte een team van spraakmakende beveiligingsonderzoekers zich om een kritieke fout in DNS te repareren die het mogelijk maakte legitieme communicatie te kapen, waardoor nietsvermoedende websurfers mogelijk naar kwaadaardige webpagina's werden geleid. De patch die het team bedacht, verminderde het onmiddellijke gevaar, maar was niet bedoeld als een permanente oplossing.
Veel experts zijn nu op zoek naar een oplossing voor de lange termijn: DNSSEC , een protocol dat DNS-berichten verifieert met digitale handtekeningen. De Register van openbaar belang , dat het .org-domein beheert, implementeert DNSSEC op alle webadressen die eindigen op dit achtervoegsel, en is van plan de eerste fase van het proces begin dit jaar af te ronden. De Amerikaanse regering heeft toegezegd om DNSSEC voor .gov ook, en de nieuw gevormde DNSSEC Industrie Coalitie dringt erop aan dat het protocol nog breder wordt aangenomen.
Dit is iets van een ommekeer. In de 14 jaar sinds DNSSEC voor het eerst werd bedacht, had het protocol moeite om wijdverbreide acceptatie te krijgen, omdat werd gezien dat het de implementatie van DNS onnodig ingewikkelder maakte. De sleutel tot de vorig jaar ontdekte DNS-fout is dat het protocol is ontworpen tijdens een meer vertrouwde tijd en niet de moeite neemt om informatie te verifiëren. Dan Kaminsky , directeur penetratietesten bij IOActive , een beveiligingsbedrijf gevestigd in Seattle, realiseerde zich dat als een aanvaller zich een weg zou kunnen banen in een DNS-communicatie, hij het webverkeer op bijna elke manier zou kunnen omleiden. Er zijn functies aan DNS toegevoegd om het risico dat berichten worden gekaapt te verminderen, maar DNSSEC voegt voor het eerst echte authenticatie toe aan het systeem.
Alexa Raad , CEO van de Public Interest Registry, merkt op dat iemand de eerste moest zijn om het nieuwe protocol te implementeren. Voorheen, zegt ze, waren de organisaties die verantwoordelijk waren voor domeinnamen niet bezig met het integreren van DNSSEC omdat ze ofwel inloggegevens zouden sturen naar servers die niet naar hen luisterden, of ze zouden luisteren naar inloggegevens die dat niet zouden doen. wees erbij. Raad zegt dat de Public Interest Registry DNSSEC begon te integreren ruim voordat de fout van Kaminsky werd aangekondigd, in de hoop de acceptatie van het protocol aan te moedigen door een voorbeeld te stellen. De onthullingen van Kaminsky's tekortkoming hebben het debat alleen maar aangewakkerd, zegt ze. De afgelopen twee jaar was veel van het debat rond DNSSEC gericht op: 'Hebben we het nodig? Zijn er andere technologieën? Hoe levensvatbaar is het?' Ik denk dat het debat daar volledig van is afgeweken. We begrijpen allemaal dat DNS in feite kapot is. De enige oplossing daarvoor is namelijk DNSSEC. Het debat is nu: 'Hoe implementeren we?'
DNSSEC gaat over het creëren van een vertrouwensketen, voegt eraan toe Ram Mohan , CTO van Afilias , die heeft gewerkt om de Public Interest Registry te helpen bij de implementatie ervan. Er zijn veel plekken waar DNSSEC moet worden ingeschakeld om de vertrouwensketen ononderbroken van de gebruiker naar een website te laten stromen. Zodra een topleveldomein (zoals .org of .com) DNSSEC implementeert, kan elke website onder dat domein ervoor kiezen om DNSSEC ook in te schakelen, wat een belangrijke schakel in de keten is. Aangezien internetserviceproviders zoals: Comcast zijn begonnen met het ondersteunen van DNSSEC, zegt Mohan, wordt het mogelijk dat sommige websitebezoeken grotendeels onder de bescherming van DNSSEC vallen.
Paul Vixie, voorzitter van de Consortium voor internetsystemen , die BIND onderhoudt, de software die het meest wordt gebruikt om DNS-berichten te verwerken, verwacht dat de overstap naar DNSSEC een sneeuwbaleffect zal hebben. Nu .gov en .org zijn ondertekend, is er eindelijk een markt voor DNSSEC-technologie en -diensten, zegt hij. Nu sommigen DNSSEC implementeren, zullen vele anderen DNSSEC-oplossingen willen leveren, en dat zal het voor veel heksenaars mogelijk maken om eindelijk naar beneden te klimmen en zich bij ons aan te sluiten.
Zelf was Kaminsky aanvankelijk neutraal over DNSSEC als mogelijke oplossing voor de fout die hij ontdekte bij DNS. Hij ziet DNSSEC nu als een goede oplossing, maar waarschuwt dat er nog werk aan de winkel is om het op te schalen. Het belangrijkste is volgens hem: andere rootdomeinen, die de kern vormen van alle DNS-transacties, moeten DNSSEC gebruiken. Hoewel DNS nooit is ontworpen om de kern van authenticatie op internet te zijn, is het dat wel, en het wordt tijd dat we het op die manier gaan behandelen, voegt Kaminsky eraan toe.
Mohan zegt goede hoop te hebben dat binnenkort meer domeinen DNSSEC gaan implementeren. Het wordt verdomd tijd dat DNS veiliger wordt, zegt hij. De integriteit van DNS-verkeer begint in twijfel te trekken met de komst van phishing en botnets en dat soort dingen. Hier is iets concreets dat gedaan kan worden en waarvan bewezen is dat het een duidelijk probleem oplost.