Projekt open-source ma na celu sprawienie, by bezpieczny DNS był łatwiejszy

Grupa programistów wydała oprogramowanie open source, które daje administratorom rękę do uczynienia systemu adresowania w Internecie mniej podatnego na ataki hakerów.

Oprogramowanie o nazwie OpenDNSSEC automatyzuje wiele zadań związany z implementacją DNSSEC (Domain Name System Security Extensions), który jest zbiorem zestawu protokołów, który umożliwia systemowi DNS (Domain Name System) przesyłanie podpisu cyfrowego, powiedział John A. Dickinson, konsultant DNS pracujący nad projektem.

Rekordy DNS umożliwiają tłumaczenie stron internetowych z nazwy na adres IP (protokół internetowy), który może być sprawdzany przez komputer. Ale system DNS ma kilka wad pochodzących z oryginalnego projektu, które są coraz częściej atakowane przez hakerów.

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z komputera z Windows]

Przez manipulowanie serwerem DNS możliwe jest użytkownik powinien wpisać właściwą nazwę witryny internetowej, ale powinien zostać skierowany do fałszywej witryny, czyli ataku zwanego zatruwaniem pamięci podręcznej. Jest to jedna z wielu kwestii, które napędzają ruch dostawców usług internetowych i innych podmiotów używających serwerów DNS do korzystania z DNSSEC.

Dzięki DNSSEC rekordy DNS są podpisywane kryptograficznie, a te podpisy są weryfikowane w celu zapewnienia dokładności informacji. Adaptacja DNSSEC została jednak powstrzymana zarówno przez złożoność implementacji, jak i przez brak prostszych narzędzi, powiedział Dickinson.

Aby podpisy DNS były podpisywane, DNSSEC wykorzystuje kryptografię klucza publicznego, gdzie podpisy są tworzone przy użyciu publicznego i prywatnego klucza i wdrożone na poziomie strefy. Częścią problemu jest zarządzanie tymi kluczami, ponieważ muszą być okresowo odświeżane, aby utrzymać wysoki poziom bezpieczeństwa, powiedział Dickinson. Błąd w zarządzaniu tymi kluczami może spowodować poważne problemy, co jest jednym z wyzwań dla administratorów.

OpenDNSSEC pozwala administratorom tworzyć zasady, a następnie automatyzować zarządzanie kluczami i podpisywanie rekordów, powiedział Dickinson. Obecnie proces wymaga ręcznej interwencji, co zwiększa szansę na błędy.

OpenDNSSEC "dba o to, aby strefa była właściwie i prawidłowo podpisana zgodnie z zasadami na stałe" - powiedział Dickinson. "Wszystko to jest całkowicie zautomatyzowane, aby administrator mógł skoncentrować się na robieniu DNS i pozwolić bezpieczeństwu pracować w tle."

Oprogramowanie posiada również funkcję przechowywania kluczy, która pozwala administratorom zachować klucze w sprzęcie lub module oprogramowania zabezpieczającego, dodatkowa warstwa ochrony, która zapewnia, że ​​klucze nie trafiają w niepowołane ręce, powiedział Dickinson.

Oprogramowanie OpenDNSSEC jest dostępne do pobrania, mimo że jest oferowane jako podgląd technologii i nie powinno być używane w produkcji, powiedział Dickinson. Programiści zbiorą opinie na temat narzędzia i wydadzą ulepszone wersje w najbliższej przyszłości.

Od początku tego roku większość domen najwyższego poziomu, takich jak te, które kończą się na ".com", nie było podpisanych kryptograficznie, a także nie były nimi w strefie głównej DNS - głównej liście miejsc, w których komputery mogą wyszukiwać adres w określonej domenie. VeriSign, czyli rejestr dla ".com", powiedział w lutym, że zaimplementuje DNSSEC w domenach najwyższego poziomu, w tym.com, do roku 2011.

Inne organizacje również zmierzają w kierunku używania DNSSEC. Rząd USA zobowiązał się do używania DNSSEC dla swojej domeny ".gov". Inne ccTLD (operatorzy domen najwyższego poziomu) w Szwecji (.se), Brazylii (.br), Puerto Rico (.pr) i Bułgarii (.bg) również używają DNSSEC.

Eksperci ds. Bezpieczeństwa twierdzą, że DNSSEC powinien być używany raczej wcześniej niż później ze względu na istniejące luki w zabezpieczeniach DNS. Jeden z poważniejszych odkrył badacz bezpieczeństwa Dan Kaminsky w lipcu 2008 r. Pokazał, że serwery DNS mogą być szybko wypełnione niedokładnymi informacjami, które mogą być wykorzystane do różnych ataków na systemy poczty elektronicznej, systemy aktualizacji oprogramowania i hasło systemy odzyskiwania w witrynach sieci Web.

Chociaż tymczasowe poprawki zostały wdrożone, nie jest to rozwiązanie długoterminowe, ponieważ przeprowadzenie ataku trwa dłużej, wynika z białej księgi opublikowanej w tym roku przez holenderską organizację badawczo-edukacyjną SurfNet. SurfNet jest wśród backers OpenDNSSEC, który obejmuje także rejestr ".uk" rejestru Nominet, NLnet Labs i SIDN, rejestr ".nl".

O ile DNSSEC nie jest używany, "podstawowa wada w systemie nazw domenowych - to tam nie ma sposobu, aby upewnić się, że odpowiedzi na pytania są prawdziwe - pozostaje "- czytamy w dokumencie.