Bagaimana DNSSEC Akan Membantu Mengamankan Internet dan Bagaimana SOPA Hampir Membuatnya Ilegal
Domain Name System Extensions Keamanan (DNSSEC) adalah teknologi keamanan yang akan membantu menambal salah satu titik kelemahan Internet. Kami beruntung SOPA tidak lulus, karena SOPA akan membuat DNSSEC ilegal.
DNSSEC menambahkan keamanan kritis ke tempat di mana Internet tidak benar-benar memilikinya. Sistem nama domain (DNS) berfungsi dengan baik, tetapi tidak ada verifikasi di titik mana pun dalam proses, yang membuat lubang terbuka bagi penyerang.
Keadaan Saat Ini
Kami telah menjelaskan cara kerja DNS di masa lalu. Singkatnya, setiap kali Anda terhubung ke nama domain seperti "google.com" atau "howtogeek.com," komputer Anda menghubungi server DNS-nya dan mencari alamat IP yang terkait untuk nama domain itu. Komputer Anda kemudian terhubung ke alamat IP itu.
Yang penting, tidak ada proses verifikasi yang terlibat dalam pencarian DNS. Komputer Anda meminta server DNS-nya untuk alamat yang terkait dengan situs web, server DNS merespons dengan alamat IP, dan komputer Anda mengatakan "oke!" Dan dengan senang hati menghubungkan ke situs web itu. Komputer Anda tidak berhenti untuk memeriksa apakah itu respons yang valid.
Penyerang bisa mengarahkan permintaan DNS ini atau mengatur server DNS jahat yang dirancang untuk mengembalikan respons buruk. Misalnya, jika Anda terhubung ke jaringan Wi-Fi publik dan Anda mencoba untuk terhubung ke howtogeek.com, server DNS jahat pada jaringan Wi-Fi publik itu dapat mengembalikan alamat IP yang berbeda sama sekali. Alamat IP dapat mengarahkan Anda ke situs web phishing. Peramban web Anda tidak memiliki cara nyata untuk memeriksa apakah alamat IP benar-benar dikaitkan dengan howtogeek.com; hanya harus memercayai respons yang diterimanya dari server DNS.
Enkripsi HTTPS memang menyediakan beberapa verifikasi. Misalnya, katakanlah Anda mencoba menghubungkan ke situs web bank Anda dan Anda melihat HTTPS dan ikon kunci di bilah alamat Anda. Anda tahu bahwa otoritas sertifikasi telah memverifikasi bahwa situs web milik bank Anda.
Jika Anda mengakses situs web bank Anda dari titik akses yang dikompromikan dan server DNS mengembalikan alamat situs phishing palsu, situs phishing tidak akan dapat menampilkan enkripsi HTTPS itu. Namun, situs phishing dapat memilih untuk menggunakan HTTP biasa alih-alih HTTPS, bertaruh bahwa sebagian besar pengguna tidak akan melihat perbedaannya dan tetap akan memasukkan informasi perbankan online mereka.
Bank Anda tidak memiliki cara untuk mengatakan "Ini adalah alamat IP yang sah untuk situs web kami."
Bagaimana DNSSEC Akan Membantu
Pencarian DNS sebenarnya terjadi dalam beberapa tahap. Misalnya, ketika komputer Anda meminta www.howtogeek.com, komputer Anda melakukan pencarian ini dalam beberapa tahap:
- Pertama kali menanyakan "direktori zona root" di mana ia dapat menemukan .com.
- Kemudian menanyakan direktori .com di mana ia dapat menemukan howtogeek.com.
- Kemudian bertanya bagaimana caranya menemukan www.howtogeek.com.
DNSSEC melibatkan "penandatanganan root." Ketika komputer Anda menanyakan zona root di mana ia dapat menemukan .com, ia akan dapat memeriksa kunci penandatanganan zona root dan mengonfirmasi bahwa itu adalah zona root yang sah dengan informasi yang benar. Zona root kemudian akan memberikan informasi tentang kunci masuk atau .com dan lokasinya, memungkinkan komputer Anda untuk menghubungi direktori .com dan memastikannya sah. Direktori .com akan memberikan kunci penandatanganan dan informasi untuk howtogeek.com, yang memungkinkannya untuk menghubungi howtogeek.com dan memverifikasi bahwa Anda terhubung dengan howtogeek.com yang sebenarnya, sebagaimana dikonfirmasi oleh zona di atasnya.
Ketika DNSSEC sepenuhnya diluncurkan, komputer Anda akan dapat mengonfirmasi respons DNS yang sah dan benar, sedangkan saat ini tidak memiliki cara untuk mengetahui mana yang palsu dan mana yang nyata.
Baca lebih lanjut tentang cara kerja enkripsi di sini.
Apa yang Akan Dilakukan SOPA
Jadi bagaimana Stop Pembajakan Online Act, lebih dikenal sebagai SOPA, berperan dalam semua ini? Nah, jika Anda mengikuti SOPA, Anda menyadari bahwa itu ditulis oleh orang-orang yang tidak mengerti Internet, jadi itu akan “menghancurkan Internet” dengan berbagai cara. Ini salah satunya.
Ingat bahwa DNSSEC memungkinkan pemilik nama domain untuk menandatangani catatan DNS mereka. Jadi, misalnya, thepiratebay.se dapat menggunakan DNSSEC untuk menentukan alamat IP yang dikaitkan dengannya. Ketika komputer Anda melakukan pencarian DNS - apakah itu untuk google.com atau thepiratebay.se - DNSSEC akan memungkinkan komputer untuk menentukan bahwa ia menerima respons yang benar sebagaimana divalidasi oleh pemilik nama domain. DNSSEC hanyalah sebuah protokol; itu tidak mencoba untuk membedakan antara situs web "baik" dan "buruk".
SOPA akan mengharuskan penyedia layanan Internet untuk mengalihkan pencarian DNS untuk situs web "buruk". Misalnya, jika pelanggan penyedia layanan Internet mencoba mengakses thepiratebay.se, server DNS ISP akan mengembalikan alamat situs web lain, yang akan memberi tahu mereka bahwa Pirate Bay telah diblokir..
Dengan DNSSEC, pengalihan seperti itu tidak dapat dibedakan dari serangan man-in-the-middle, yang dirancang untuk dicegah oleh DNSSEC. ISP yang menggunakan DNSSEC harus merespons dengan alamat sebenarnya dari Pirate Bay, dan karenanya akan melanggar SOPA. Untuk mengakomodasi SOPA, DNSSEC harus membuat lubang besar ke dalamnya, yang memungkinkan penyedia layanan Internet dan pemerintah untuk mengarahkan kembali nama domain permintaan DNS tanpa izin dari pemilik nama domain. Ini akan sulit (jika bukan tidak mungkin) dilakukan dengan cara yang aman, kemungkinan membuka lubang keamanan baru bagi penyerang.
Untungnya, SOPA sudah mati dan mudah-mudahan tidak akan kembali. DNSSEC saat ini sedang digunakan, menyediakan perbaikan yang sudah lama tertunda untuk masalah ini.
Kredit Gambar: Khairil Yusof, Jemimus on Flickr, David Holmes on Flickr
