Proiectul open-source are scopul de a face DNS securizată mai ușoară

Un grup de dezvoltatori a lansat un software open source care oferă administratorilor o mână care face ca sistemul de adresare al Internetului să fie mai puțin vulnerabil la hackeri

Software-ul numit OpenDNSSEC automatizează multe sarcini asociat cu implementarea DNSSEC (Domain Name System Security Extensions), care este un set de protocoale care permite ca înregistrările DNS (Domain Name System) să poarte o semnătură digitală, a declarat John A. Dickinson, un consultant DNS care lucrează la proiect.

Înregistrările DNS permit site-urilor Web să fie traduse dintr-un nume într-o adresă IP (Internet Protocol), care poate fi interogată de un computer. Dar sistemul DNS are mai multe defecte datând de la designul său original, care sunt din ce în ce mai bine țintite de hackeri.

[Citirea suplimentară: Cum să eliminați programele malware de pe PC-ul Windows]

Prin manipularea unui server DNS, utilizatorul să introducă numele site-ului corect, dar să fie direcționat către un site fraudulos, un tip de atac numit otrăvire în cache. Aceasta este una dintre multele preocupări care determină o mișcare pentru ISP-uri și alte entități care rulează servere DNS pentru a utiliza DNSSEC.

În cazul DNSSEC, înregistrările DNS sunt semnate criptografic și aceste semnături sunt verificate pentru a asigura informația corectă. Adoptarea DNSSEC a fost însă împiedicată atât de complexitatea implementării, cât și de lipsa de instrumente mai simple, a spus Dickinson.

Pentru a semna înregistrările DNS, DNSSEC folosește criptografia cu chei publice, unde semnăturile sunt create folosind o cheie publică și privată și implementate la nivel de zonă. O parte a problemei este gestionarea acestor chei, deoarece acestea trebuie să fie actualizate periodic pentru a menține un nivel ridicat de securitate, a spus Dickinson. O greșeală în gestionarea acestor chei ar putea provoca probleme majore, ceea ce este una dintre provocările pentru administratori.

OpenDNSSEC permite administratorilor să creeze politici și apoi să automatizeze gestionarea cheilor și semnarea înregistrărilor, a spus Dickinson. Procesul implică acum mai multă intervenție manuală, ceea ce sporește șansele de eroare.

OpenDNSSEC "are grijă să se asigure că zona rămâne sigură și corectă în conformitate cu politica permanentă", a spus Dickinson. "Toate acestea sunt complet automatizate, astfel încât administratorul să se poată concentra pe efectuarea DNS și să lase securitatea să funcționeze în fundal."

Software-ul are, de asemenea, o funcție de stocare cheie care permite administratorilor să păstreze cheile fie în modul hardware, fie în software-ul de securitate, un strat suplimentar de protecție care garantează faptul că cheile nu se termină în mâinile greșite, a spus Dickinson.

Software-ul OpenDNSSEC este disponibil pentru descărcare, deși este oferit ca o previzualizare a tehnologiei și nu ar trebui utilizat încă producție, a spus Dickinson. Dezvoltatorii vor primi feedback despre instrument și vor lansa versiuni îmbunătățite în viitorul apropiat.

Încă de la începutul acestui an, majoritatea domeniilor de nivel superior, cum ar fi cele care se încheie cu ".com", nu au fost semnate criptografic, în zona rădăcină DNS, lista principală a locațiilor în care computerele pot merge să caute o adresă într-un anumit domeniu. VeriSign, care este registrul pentru ".com", a declarat în luna februarie că va implementa DNSSEC pe domenii de nivel superior, inclusiv.com până în 2011.

Alte organizații se deplasează, de asemenea, spre utilizarea DNSSEC. Guvernul S.U.A. sa angajat să utilizeze DNSSEC pentru domeniul său ".gov". Alți operatori ccTLDs din Suedia (.se), Brazilia (.br), Puerto Rico (.pr) și Bulgaria (.bg) folosesc și DNSSEC.

Experții în securitate susțin că DNSSEC ar trebui să fie utilizat mai curând decât mai târziu, din cauza vulnerabilităților existente în DNS. Una dintre cele mai grave a fost dezvăluită de cercetătorul de securitate Dan Kaminsky în iulie 2008. El a arătat că serverele DNS ar putea fi umple rapid cu informații inexacte, care ar putea fi utilizate pentru o varietate de atacuri asupra sistemelor de e-mail, sistemelor de actualizare a software-ului și parolei sisteme de recuperare pe site-uri web.

În timp ce patch-urile temporare au fost desfășurate, nu este o soluție pe termen lung, deoarece durează mai mult pentru a efectua un atac, potrivit unei cărți albe publicate la începutul acestui an de SurfNet, o organizație olandeză de cercetare și educație. SurfNet se numără printre susținătorii OpenDNSSEC, care include și registrul Numet ".uk", NLnet Labs și SIDN, registrul ".nl".

Cu excepția cazului în care se utilizează DNSSEC, "defectul de bază din sistemul de nume de domeniu - nu este o modalitate de a ne asigura că răspunsurile la întrebări sunt autentice - rămâne ", se spune în ziar.