Rynek domen

Biznes zaczyna się od domeny.


Przełomowe wydarzenie. ICANN zmieni kod internetu

Przełomowe wydarzenie. ICANN zmieni kod internetu

27 października zostanie zmieniony master key: kryptograficzny klucz dający kontrolę nad systemem DNS. Dojdzie do tego po raz pierwszy w historii internetu.

Jutro ICANN dokona wymiany czyli klucza głównego podpisującego strefę root systemu DNS, tzw. Root Zone Signing Key lub, potocznie, master key. Jest to kod, który stanowi jedno z kluczowych narzędzi kontroli nad internetem. Gdyby wpadł w niepowołane ręce, mogłoby dojść do nieprzewidywalnych, a nawet dramatycznych następstw. Dlatego dostęp do klucza głównego jest obwarowany nadzwyczajnymi środkami ostrożności i zabezpieczony przez kody znajdujące się w rękach czternastu osób zamieszkujących różne części świata.

Zatruwanie DNS

By zrozumieć, na czym polega znaczenie master key, należy zrozumieć na czym polega działanie protokołu DNSSEC (Domain Name System Security Extensions), zabezpieczającego funkcjonowanie systemu DNS. W tym celu warto wyjaśnić pojęcie z dziedziny hackingu, a ściślej phishingu, jakim jest cache poisoning lub DNS spoofing, czyli zatruwanie DNS.

Pod tymi określeniami kryje się technika, polegająca na – w dużym uproszczeniu – podszywaniu się pod cudzy adres internetowy. Mówiąc bardziej precyzyjnie, strona przeprowadzająca atak phishingowy przesyła do serwera DNS fałszywą informację wiążącą mnemoniczny adres internetowy z numerycznym adresem IP. Serwer DNS zapamiętuje tę informację w pamięci podręcznej (cache) i zwraca klientom zapamiętany adres IP. W efekcie klienty łączą się z fałszywą stroną, co może narazić internautę na szkody wynikające z ataków phisherskich.

Ataki z kategorii DNS spoofing wykorzystują lukę w zabezpieczeniach serwera DNS. Jedną z popularnych metod „łatania” tej luki, a zarazem zapobiegania podobnym, atakom jest wdrożenie protokołu DNSSEC: rozszerzenia systemu DNS, zapewniającego uwierzytelnienie źródeł danych (serwerów DNS) za pomocą kryptografii asymetrycznej oraz podpisów cyfrowych, opartych na parze kluczy: publicznym i prywatnym.

Kryptograficzna higiena

Technologia DNSSEC zabezpiecza nie tylko pojedyncze strony, ale całą strefę root, czyli najwyższy poziom systemu DNS. Została ona zaimplementowana w lipcu 2010 r. przez ICANN, Verisign (operator domen .com i .net) i NTIA (Krajowa Administracja Telekomunikacji i Informacji USA) w celu zwiększenia bezpieczeństwa działania „książki adresowej internetu” – jak często określa się system DNS, „tłumaczący” numeryczne adresy IP na mnemoniczne, czyli zapamiętywalne dla człowieka, adresy internetowe.

Jednak DNSSEC nie stanowi domyślnego zabezpieczenia wszystkich adresów www. System ten implementowany jest na różnych piętrach struktury DNS przez oddzielne podmioty. Najwyższym poziomem, czyli root, zarządza ICANN, który przyznaje prawo do obsługi końcówek TLD firmom i organizacjom, takim jak np. Verisign, operator końcówek .com i .net. Verisign ma swoje własne klucze zabezpieczające funkcjonowanie tych końcówek i umożliwiające generowanie podpisów dla kluczy domen niższego poziomu: nazw w domenie .com.

Klucze kryptograficzne systemu DNSSEC stanowią zabezpieczenie solidne, ale nie absolutne. Dlatego właśnie po ponad sześciu latach od wygenerowania master key ICANN postanowił dokonać wymiany „kodu” internetu. – Robimy to dla kryptograficznej higieny – powiedział Matt Larson, wiceprezes ICANN ds. badań.

Zjazd strażników internetu

Wymiana kodu nie będzie oczywiście drobną operacją na pececie, ale dość skomplikowanym przedsięwzięciem. W celu jego przeprowadzenia na miejsce „ceremonii” – jak wydarzenie to bywa określane w mediach – musi przybyć co najmniej trzech z czternastu „strażników internetu”, czyli osób posiadających klucze (fizyczne) zabezpieczające klucz główny. „Strażnicy” mieszkają w różnych częściach świata, co stanowi dodatkową gwarancję, że klucze nie trafią za jednym zamachem (czy raczej rabunkiem) w niepowołane ręce.

Klucze znajdujące się w dyspozycji owych „strażników” służą do otwierania sejfów, w których znajdują się karty z kluczami cyfrowymi. Dopiero one dają dostęp do urządzenia generującego master key – będący de facto hasłem, które umożliwia uzyskanie dostępu do głównej bazy danych ICANN. Klucz główny służy także do generowania kluczy „pochodnych”, które zabezpieczają rozmaite obszary internetu, takie jak strefy poszczególnych TLD.

Wydarzenie, do którego dojdzie już jutro, będzie objęte rygorystycznymi normami bezpieczeństwa. Jego uczestnicy będą musieli przejść przez kilka drzwi zabezpieczonych cyfrowymi kluczami i skanerami dłoni, a operacja wygenerowania nowego klucza zostanie przeprowadzona w pomieszczeniu nieprzepuszczającym sygnałów elektromagentycznych. Całe wydarzenie będzie nagrywane, a następnie audytowane. Każdy jego etap został rozpisany na czynniki pierwsze. Jeśli cokolwiek odbędzie się niezgodnie z zaplanowanym scenariuszem, wszyscy uczestnicy „eventu” będą mieli tego świadomość – i zapewne ceremonia zostanie przerwana. Prawdopodobnie jednak nic takiego się nie wydarzy. Szanse, że jakiś geniusz zbrodni zyska dostęp do ściśle strzeżonych pomieszczeń ICANN i przejmie internet są na szczęście nikłe.

Tagi: , , , , , , ,

Komentarz ( 1 )

Czym możesz się podzielić?

  1. Rafał 28 października 2016 Odpowiedz

    Wreszcie coś ciekawego 🙂

Tutaj możesz komentować