कैसे DNSSEC इंटरनेट को सुरक्षित करने में मदद करेगा और कैसे SOPA लगभग इसे अवैध बना दिया
डोमेन नाम सिस्टम सुरक्षा एक्सटेंशन (DNSSEC) एक सुरक्षा तकनीक है जो इंटरनेट के कमजोर बिंदुओं में से एक को पैच करने में मदद करेगी। हम भाग्यशाली हैं SOPA पास नहीं हुआ, क्योंकि SOPA ने DNSSEC को अवैध बना दिया होगा.
DNSSEC ऐसी जगह पर महत्वपूर्ण सुरक्षा जोड़ता है जहां इंटरनेट वास्तव में कोई भी नहीं है। डोमेन नाम प्रणाली (DNS) अच्छी तरह से काम करती है, लेकिन इस प्रक्रिया में किसी भी बिंदु पर कोई सत्यापन नहीं है, जो हमलावरों के लिए खुले छेद छोड़ देता है.
मामलों की वर्तमान स्थिति
हमने बताया कि DNS अतीत में कैसे काम करता है। संक्षेप में, जब भी आप "google.com" या "howtogeek.com" जैसे डोमेन नाम से जुड़ते हैं, तो आपका कंप्यूटर अपने DNS सर्वर से संपर्क करता है और उस डोमेन नाम के लिए संबद्ध आईपी पते को देखता है। आपका कंप्यूटर तब उस आईपी पते से जुड़ता है.
महत्वपूर्ण रूप से, डीएनएस लुकअप में कोई सत्यापन प्रक्रिया शामिल नहीं है। आपका कंप्यूटर किसी वेबसाइट से जुड़े पते के लिए अपने DNS सर्वर से पूछता है, DNS सर्वर एक आईपी पते के साथ प्रतिक्रिया करता है, और आपका कंप्यूटर कहता है "ठीक है!" और खुशी से उस वेबसाइट से जुड़ जाता है। आपका कंप्यूटर यह जांचने के लिए बंद नहीं होता है कि यह एक वैध प्रतिक्रिया है या नहीं.
हमलावरों के लिए इन DNS अनुरोधों को पुनर्निर्देशित करना या दुर्भावनापूर्ण DNS सर्वर सेट करना संभव है ताकि खराब प्रतिक्रियाएं लौट सकें। उदाहरण के लिए, यदि आप सार्वजनिक वाई-फाई नेटवर्क से जुड़े हैं और आप उस सार्वजनिक वाई-फाई नेटवर्क पर एक दुर्भावनापूर्ण DNS सर्वर, howtogeek.com से कनेक्ट करने का प्रयास करते हैं, तो वह पूरी तरह से एक अलग IP पता लौटा सकता है। IP पता आपको फ़िशिंग वेबसाइट पर ले जा सकता है। आपके वेब ब्राउज़र के पास यह जांचने का कोई वास्तविक तरीका नहीं है कि आईपी एड्रेस वास्तव में howtogeek.com से जुड़ा है या नहीं; यह सिर्फ DNS सर्वर से प्राप्त प्रतिक्रिया पर भरोसा करना है.
HTTPS एन्क्रिप्शन कुछ सत्यापन प्रदान करता है। उदाहरण के लिए, मान लें कि आप अपने बैंक की वेबसाइट से जुड़ने का प्रयास करते हैं और आप अपने एड्रेस बार में HTTPS और लॉक आइकन देखते हैं। आप जानते हैं कि एक प्रमाणीकरण प्राधिकारी ने सत्यापित किया है कि वेबसाइट आपके बैंक की है.
यदि आप अपने बैंक की वेबसाइट को एक एक्सेस किए गए एक्सेस प्वाइंट से एक्सेस करते हैं और DNS सर्वर ने एक इंपॉर्टेंट फ़िशिंग साइट का पता दिया है, तो फ़िशिंग साइट उस HTTPS एन्क्रिप्शन को प्रदर्शित नहीं कर पाएगी। हालांकि, फ़िशिंग साइट HTTPS के बजाय सादे HTTP का उपयोग करने का विकल्प चुन सकती है, यह शर्त लगाते हुए कि अधिकांश उपयोगकर्ता अंतर को नोटिस नहीं करेंगे और वैसे भी अपनी ऑनलाइन-बैंकिंग जानकारी दर्ज करेंगे।.
आपके बैंक के पास यह कहने का कोई तरीका नहीं है कि "ये हमारी वेबसाइट के लिए वैध आईपी पते हैं।"
DNSSEC कैसे मदद करेगा
एक DNS लुकअप वास्तव में कई चरणों में होता है। उदाहरण के लिए, जब आपका कंप्यूटर www.howtogeek.com से पूछता है, तो आपका कंप्यूटर कई चरणों में यह लुकअप करता है:
- यह पहले "रूट ज़ोन डायरेक्टरी" पूछता है जहाँ यह मिल सकती है .कॉम.
- यह तब .com निर्देशिका से पूछता है कि यह कहां मिल सकती है howtogeek.com.
- इसके बाद यह howtogeek.com से पूछता है कि यह कहां मिल सकता है www.howtogeek.com.
DNSSEC में "रूट पर हस्ताक्षर करना" शामिल है। जब आपका कंप्यूटर रूट ज़ोन को पूछने के लिए जाता है कि वह कहां मिल सकता है। रूट ज़ोन तब साइनिंग कुंजी या .com और उसके स्थान की जानकारी प्रदान करेगा, जिससे आपका कंप्यूटर .com निर्देशिका से संपर्क कर सके और यह सुनिश्चित हो सके। .Com निर्देशिका howtogeek.com के लिए हस्ताक्षर करने की कुंजी और जानकारी प्रदान करेगी, यह howtogeek.com से संपर्क करने की अनुमति देगा और सत्यापित करेगा कि आप असली howtogeek.com से जुड़े हुए हैं, जैसा कि इसके ऊपर के ज़ोन द्वारा पुष्टि की गई है.
जब DNSSEC पूरी तरह से लुढ़का हुआ है, तो आपका कंप्यूटर पुष्टि कर सकेगा कि DNS प्रतिक्रियाएँ वैध और सत्य हैं, जबकि वर्तमान में यह जानने का कोई तरीका नहीं है कि कौन से नकली हैं और कौन से असली हैं.
यहां एन्क्रिप्शन कैसे काम करता है, इसके बारे में और पढ़ें.
सोपा ने क्या किया होगा
तो SOPA के रूप में बेहतर स्टॉप ऑनलाइन पाइरेसी एक्ट, इस सब में कैसे चला? यदि आप सोपा का अनुसरण करते हैं, तो आपको पता चलता है कि यह उन लोगों द्वारा लिखा गया था जो इंटरनेट को नहीं समझते थे, इसलिए यह विभिन्न तरीकों से "इंटरनेट को तोड़ देगा"। यह उनमें से एक है.
याद रखें कि DNSSEC डोमेन नाम मालिकों को अपने DNS रिकॉर्ड पर हस्ताक्षर करने की अनुमति देता है। इसलिए, उदाहरण के लिए, thepiratebay.se DNSSEC का उपयोग उन IP पतों को निर्दिष्ट करने के लिए कर सकता है जिनके साथ यह जुड़ा हुआ है। जब आप कंप्यूटर एक DNS लुकअप करते हैं - चाहे वह google.com या thepiratebay.se के लिए हो - DNSSEC कंप्यूटर को यह निर्धारित करने की अनुमति देगा कि वह सही प्रतिक्रिया प्राप्त कर रहा है जैसा कि डोमेन नाम के मालिकों द्वारा मान्य है। DNSSEC सिर्फ एक प्रोटोकॉल है; यह "अच्छे" और "बुरे" वेबसाइटों के बीच भेदभाव करने की कोशिश नहीं करता है.
SOPA को "खराब" वेबसाइटों के लिए DNS लुकअप को पुनर्निर्देशित करने के लिए इंटरनेट सेवा प्रदाताओं की आवश्यकता होगी। उदाहरण के लिए, यदि इंटरनेट सेवा प्रदाता के ग्राहकों ने thepiratebay.se का उपयोग करने की कोशिश की, तो ISP के DNS सर्वर दूसरी वेबसाइट का पता वापस कर देंगे, जो उन्हें सूचित करेगा कि समुद्री डाकू बे अवरुद्ध हो गया था.
DNSSEC के साथ, इस तरह के पुनर्निर्देशन एक मानव-मध्य हमले से अप्रभेद्य होगा, जिसे DNSSEC को रोकने के लिए डिज़ाइन किया गया था। DNSSEC की तैनाती करने वाले ISPs को समुद्री डाकू खाड़ी के वास्तविक पते के साथ जवाब देना होगा, और इस प्रकार SOPA का उल्लंघन होगा। SOPA को समायोजित करने के लिए, DNSSEC को इसमें एक बड़ा छेद काटना होगा, एक जो इंटरनेट सेवा प्रदाताओं और सरकारों को डोमेन नाम के मालिकों की अनुमति के बिना डोमेन नाम DNS अनुरोधों को पुनर्निर्देशित करने की अनुमति देगा। यह मुश्किल होगा (यदि असंभव नहीं है) एक सुरक्षित तरीके से करना, हमलावरों के लिए नए सुरक्षा छेद खोलने की संभावना है.
सौभाग्य से, SOPA मर चुका है और यह उम्मीद है कि वापस नहीं आएगा। DNSSEC वर्तमान में तैनात किया जा रहा है, इस समस्या के लिए एक लंबे समय से अतिदेय फिक्स प्रदान करता है.
इमेज क्रेडिट: ख़ैरिल यूसुफ, फ़्लिकर पर जेमिमस, फ़्लिकर पर डेविड होम्स
