פרויקט קוד פתוח מטרתו להפוך את DNS מאובטח לקל יותר

קבוצת מפתחים פרסמה תוכנות קוד פתוח המעניקות למנהלים יד בהפיכת מערכת הפניות לאינטרנט לפגיעה פחות באקרים.

התוכנה, הנקראת OpenDNSSEC, ממכנת משימות רבות המשויך ליישום DNSSEC (Domain Name System System Extensions), שהוא קבוצה של פרוטוקולים המאפשרים לרשומות DNS (Domain Name System) לשאת חתימה דיגיטלית, אמר ג'ון א. דיקינסון, יועץ DNS שעובד על הפרויקט.

רשומות DNS מאפשרות לתרגם אתרי אינטרנט משמה לכתובת IP (פרוטוקול אינטרנט), שאותה ניתן לבדוק באמצעות מחשב. אבל למערכת ה- DNS יש כמה פגמים המתוארים מהעיצוב המקורי שלה שממוקדים יותר ויותר על ידי האקרים.

[קריאה נוספת: כיצד להסיר תוכנות זדוניות ממחשב Windows שלך]

על ידי התעללות בשרת DNS, המשתמש להקליד את שם האתר הנכון, אבל להיות מופנית לאתר הונאה, סוג של התקף שנקרא הרעלת המטמון. זהו אחד הדאגות המניעות תנועה עבור ספקי שירותי אינטרנט וגורמים אחרים המפעילים שרתי DNS להשתמש DNSSEC.

עם DNSSEC, רשומות DNS הם חתומים בחתימה, ואת חתימות אלה מאומתים כדי להבטיח את המידע מדויק. אימוץ DNSSEC, לעומת זאת, נעצר על ידי המורכבות של יישום וחוסר כלים פשוטים, אמר דיקינסון.

כדי לחתום על רשומות DNS, DNSSEC משתמשת בקריפטוגרפיה של מפתח ציבורי, שבו חתימות נוצרות באמצעות מפתח ציבורי ופרטי ו מיושם על אזור אזור. חלק מהבעיה היא ניהול של המפתחות האלה, שכן יש לרענן מעת לעת כדי לשמור על רמה גבוהה של אבטחה, אמר דיקינסון. טעות בניהול מפתחות אלה עלולה לגרום לבעיות עיקריות, וזה אחד האתגרים למנהלי מערכת.

OpenDNSSEC מאפשר למנהלי מערכת ליצור מדיניות ולאחר מכן להפוך את המפתחות לאוטומטיים ולחתום על הרשומות, אמר דיקינסון. התהליך עכשיו כרוך יותר התערבות ידנית, אשר מגדילה את הסיכוי לטעויות.

OpenDNSSEC "דואג לוודא אזור נשאר נשאר חתום כראוי כראוי על פי המדיניות על בסיס קבוע", אמר Dickinson. "כל זה הוא אוטומטי לחלוטין, כך מנהל יכול להתרכז עושה DNS ולתת את העבודה אבטחה ברקע."

התוכנה גם יש תכונה אחסון מפתח המאפשר למנהלים לשמור על המפתחות או חומרה או מודול תוכנה אבטחה, שכבה נוספת של הגנה שמבטיחה כי המפתחות לא יסתיימו בידיים הלא נכונות, אמר דיקינסון.

תוכנת OpenDNSSEC זמינה להורדה, למרות שהיא מוצעת כתצוגה מקדימה טכנולוגית ואין להשתמש בה עדיין, אמר דיקינסון. מפתחים יאספו משוב על הכלי וישחררו גרסאות משופרות בעתיד הקרוב.

נכון לתחילת השנה, רוב הדומיינים ברמה העליונה, כגון אלה המסתיימים ב-.com, לא היו חתומים בחתימה, וגם אלה לא היו באזור השורש DNS, את רשימת המאסטר שבו מחשבים יכולים ללכת לחפש כתובת בתחום מסוים. VeriSign, שהוא הרישום עבור ".com", אמר בחודש פברואר זה יהיה ליישם DNSSEC על פני תחומים ברמה העליונה כולל.com עד 2011.

ארגונים אחרים גם נעים לכיוון באמצעות DNSSEC. ממשלת ארה"ב התחייבה להשתמש ב- DNSSEC עבור הדומיין ".gov" שלה. חברות אחרות בתחום ה- ccTLD (קוד מתחם ברמה העליונה) בשוודיה (.se), ברזיל (.br), פורטו ריקו (.pr) ובולגריה (.bg) משתמשות גם ב- DNSSEC.

מומחי אבטחה טוענים DNSSEC יש להשתמש במוקדם ולא במאוחר בשל הפגיעויות הקיימות ב- DNS. אחד החמורים יותר התגלה על ידי חוקר האבטחה דן קמינסקי ביולי 2008. הוא הראה שרתי DNS יכולים להיות מלאים במהירות במידע לא מדויק, אשר יכול לשמש למגוון של התקפות על מערכות דואר אלקטרוני, מערכות עדכון תוכנה וסיסמה מערכות שחזור באתרי אינטרנטבעוד שתיקונים זמניים נפרסו, זה לא פתרון לטווח ארוך, כי זה לוקח רק זמן רב יותר לבצע פיגוע, על פי מאמר לבן שפורסם מוקדם יותר השנה על ידי SurfNet, הולנדית מחקר וחינוך הארגון. SurfNet הוא בין תומכי OpenDNSSEC, אשר כולל גם את ".uk" Nominet, NLnet Labs ו- SIDN, הרישום ".nl".

אלא אם כן נעשה שימוש ב- DNSSEC, "הפגם הבסיסי במערכת Domain Name System - היא לא דרך להבטיח שתשובות לשאילתות הן אמיתיות - שרידים ", נכתב בעיתון