Rząd USA chce bezpiecznego systemu DNS
Rząd Stanów Zjednoczonych poszukuje rozwiązań zmierzających do takiego zmodyfikowania systemu DNS (Domain Name System), aby był on odporny na działania włamywaczy.
Podstawowy pomysł polega na tym, aby wpisy znajdujące się w obszarze root systemu DNS były chronione za pomocą kryptografii asymetrycznej oraz podpisów cyfrowych, co można realizować przy użyciu rozszerzeń bezpieczeństwa DNSSEC (Domain Name and Addressing System Security Extensions). DNSSEC to zestaw protokołów pozwalających potwierdzać autentyczność wpisów DNS, dzięki temu iż towarzyszą im cyfrowe podpisy. US Department of Commerce (Departament Handlu Stanów Zjednoczonych) rozpoczął już na ten temat dyskusję, prosząc specjalistów o składanie propozycji jak taki system powinien pracować i jak powinno się go wdrażać.
Na najwyższym poziomie systemu DNS (root) znajdują się wpisy, które informują zgłaszających się do niego klientów, gdzie mogą znaleźć adresy IP komputerów zarejestrowanych w poszczególnych domenach (takich jak na przykład .pl). System DNS bada wtedy podaną nazwę witryny (np. www.idg.pl) i zwraca klientowi adres IP tej witryny.
Włamywacze potrafią niestety przejmować kontrolę nad systemem DNS, w wyniku czego klient otrzymuje inny, podstawiony adres IP. Efekt jest taki, że użytkownik łączy się nie z witryną IDG, ale z zupełnie innym serwerem WWW, zawierającym np. szkodliwy kod.
Jeden z najpoważniejszych ataków na system DNS miał miejsce w lipcu br. Jego odkrywcą był Dan Kaminsky (patrz tutaj), specjalista od spraw bezpieczeństwa. Uważa się, że prawie wszystkie serwery DNS zawierają dziury, które można wykorzystywać do przejmowania kontroli nad systemem DNS. Specjaliści apelują od lat o wprowadzenie rozwiązania podobnego do DNSSEC. Jednak póki co, systemu takiego nie udało się wdrożyć.
Rząd USA zapowiedział, że wykorzysta technologię DNSSEC do ochrony swojej domeny .gov. Inni operatorzy ccTLDs (country-code Top-Level Domains), sprawujący pieczę nad narodowymi domenami - w Szwecji (.se), Brazylii (.br), Puerto Rico (.pr) i w Bułgarii (.bg) - stosują już technologię DNSSEC. Podobne zamiary ma operator TLD zarządzający domeną .org.
System DNSSEC będzie jednak chronić skutecznie cały system DNS dopiero wtedy, gdy zmiany do oprogramowania zarządzającego w internecie nazwami hostów i adresami IP wprowadzą wszystkie instytucje sprawujące pieczę nad poszczególnymi elementami systemu DNS (oraz klienci), co nie jest takie proste.
Oceń artykuł
Komentarze
Redakcja Computerworld.pl nie ponosi odpowiedzialności za wypowiedzi Internautów opublikowane na stronach serwisu oraz zastrzega sobie prawo do redagowania, skracania bądź usuwania komentarzy zawierających treści zabronione przez prawo, uznawane za obraźliwie lub naruszające zasady współżycia społecznego. Osoby zamieszczające wypowiedzi naruszające prawo lub prawem chronione dobra osób trzecich mogą ponieść z tego tytułu odpowiedzialność karną lub cywilną.
- Liczba zatwierdzonych komentarzy (3) |
- dodaj komentarz |
- zobacz wszystkie
Marcin
- ocena: 3
- IP: 83.17.248.30
- 16-10-2008, 12:15
@Gościnny
f
- ocena: brak oceny
- IP: 195.150.76.3
- 13-10-2008, 07:58
@Gościnny
Bzdury.
Gościnny
- ocena: brak oceny
- IP: 217.117.128.50
- 12-10-2008, 18:47
Powinni
- Samsung Omnia - alternatywa dla iPhone'a?
- Zakończono prace nad specyfikacją USB 3.0
- Kalifornia: odczytywanie informacji z RFID nielegalne
- ZUS ogłasza przetarg na 130 tysięcy dyskietek 3,5" (1,44 MB)
- CA: zagrożenia bezpieczeństwa utrudniają wdrażanie SOA
- Comarch odnotował spadek sprzedaży zagranicą
- Lionbridge Technologies zwiększy zatrudnienie w warszawskim biurze
- "Postaw na oryginał" - nowa kampania Microsoftu
Warunki obsługi - Kontakt - Redakcja - Regulamin - O nas - Polityka prywatności - Serwis zgodny z ASME - Reklama - Licencjonowanie treści
Computerworld Polska i Computerworld Polska online są znakami towarowymi IDG Poland SA.
© Copyright 2008 International Data Group Poland S.A. 04-204 Warszawa ul. Jordanowska 12 tel.(+4822)321-78-00 fax(+4822)321-78-88
