Aktuální číslo:

2017/12

Téma měsíce:

Kontakty

Stručná historie bezpečnosti doménových jmen

 |  23. 7. 2009
 |  Vesmír 88, 441, 2009/7

Systém pojmenování počítačů textovými názvy se vytvořil velmi záhy poté, co vznikla síť ARPANET, která se později stala základem dnešního internetu. Adresace počítačů pomocí číselných adres (typu 192.168.48.39) byla velmi nepraktická, a proto se pojmenování textovými názvy velmi rychle ujalo.

V úplných počátcích si každý počítač udržoval vlastní kopii souboru pro překlad jména na číselnou adresu. Soubor byl spravován ručně a záznamy do něj přidával lidský operátor. Záhy bylo jasné, že je třeba tento systém nějak centralizovat. První formální návrh lze najít v dokumentu RFC 606 z prosince 1973; tento systém fungoval až do roku 1983.

S rostoucím počtem připojených počítačů na počátku osmdesátých let začal být centralizovaný systém pro správu většího množství záznamů nevhodný. Chceme-li navázat komunikaci s počítačem na konkrétní doméně, kontaktujeme náš server doménových jmen, který je u poskytovatele, a dotážeme se na IP adresu1) stroje, který nás zajímá. Pokud server doménových jmen adresu ještě nezná, zeptá se příslušných serverů doménových jmen na síti. Nakonec nám odpoví a zjištěnou odpověď si zapamatuje. Příště už na stejný dotaz odpoví přímo.2)

V roce 1990 byl internet stále poklidné místo, kde jeho uživatelé žili v míru a vzájemné harmonii. Nebo ne? V tom samém roce přichází Steven M. Bellovin na zásadní chybu při používání serverů doménových jmen. Vzájemná důvěra mezi počítači se v té době většinou řešila pouze na základě správného doménového jména. V zásadě nešlo o chybu samotného systému doménových jmen, ale o chybu přílišné důvěry v systém.

Po zveřejnění tohoto nedostatku se na půdě IETF, což je organizace, která stojí za většinou internetových standardů RFC, začíná uvažovat nad zabezpečením systému doménových jmen. Mezitím Eugene Kashpureff objevuje další zranitelnost v současných implementacích serverů systému doménových jmen, která mu do serveru doménových jmen umožňuje podvrhnout libovolný záznam. V roce 1997 pak používá tuto chybu k celosvětovému přesměrování stránek registrátora InterNIC na stránky své firmy AlterNIC. V tuto chvíli je jasné, že protokol DNS se bez zabezpečení neobejde a tak vzniká zabezpečené DNS.3)

V roce 2008 Dan Kaminsky objevuje v systému doménových jmen závažnou bezpečnostní chybu. Ta umožňuje v řádu sekund až minut podvrhnout libovolný záznam do systému doménových jmen, a tím přesměrovat například libovolné webové stránky na server útočníka.

A co to ten DNSSEC vlastně je? Systém DNSSEC kryptograficky zajišťuje integritu dat poskytovaných DNS servery. Pokud je DNSSEC používán oběma stranami, není již možné podvrhnout a změnit obsah DNS a bez vědomí uživatele přesměrovat webové stránky nebo e-mailovou komunikaci na server útočníka. A nejde jen o stránky internetových bankovnictví, vzhledem k velkému dopadu útoku může být pro útočníka zajímavé napadnout zpravodajské servery nebo jiné zdroje důležitých informací (například burzovní zpravodajství). Situaci bych přirovnal k nedávnému zobrazení atomového výbuchu v televizním vysílání, nicméně internetoví útočníci jsou dnes často součástí organizovaného zločinu a útok na DNS bude motivován spíše finančním ziskem, ať už ve formě přístupů do internetového bankovnictví či průmyslové špionáže.

Dnes se píše rok 2009 a pomocí systému DNSSEC je chráněno pouze několik domén nejvyšší úrovně včetně naší národní úrovně .cz. Bezpečnostní chyba objevená Danem Kaminskym naštěstí rozhýbala stojaté vody a o implementaci DNSSEC se začala mimo jiné zajímat i americká administrativa. (Pozn. red.: Americká administrativa zřídila při Bílém domě zvláštní úřad, který bude mít na starosti digitální bezpečnost a ochranu amerického počítačového prostoru před útoky hackerů, počítačových pirátů i počítačové špionáže.)

Běžný uživatel internetu se do styku s DNSSEC pravděpodobně přímo nedostane, úkol zabezpečit systém doménových jmen leží na poskytovatelích připojení. Ti musí nakonfigurovat DNSSEC na svých serverech tak, aby servery ověřovaly integritu DNS dat. Koncoví uživatelé si mohou vyzkoušet, zda poskytovatel jejich připojení podporuje DNSSEC na stránkách www.dnssec.cz. Z opačné strany, tedy na straně poskytovatelů obsahu (např. www.vesmir.cz), pak musí dojít k zabezpečení pomocí DNSSEC tak, aby uživatelé mohli ověřit pravost informací z DNS.

Poznámky

1) IP – Internet Protocol. Pomocí něho spolu komunikují všechna zařízení v internetu.
2) Diskuse v roce 1983 vyústila v sérií dokumentů RFC 881 až 883, kde John Postel a Paul Mockapetris vytyčili základy současného systému DNS. O tři roky později sepisuje Paul Mockapetris dokumenty RFC 1034 a 1035, které shrnují dosavadní vývoj na poli DNS. Ty obsahují základní definice systému DNS a ač byly mnohokrát aktualizovány, jsou stále platné.
3) Ještě v témže roce vzniká první dokument popisující kryptografické zabezpečení systému DNS – RFC 2065. Tento dokument je pak během dvou dalších let rozpracován a v roce 1999 je v RFC 2535 publikována první verze systému DNSSEC, v roce 2005 pak v RFC 4033 až 4035 následuje verze druhá, která je dnes používána.

Ke stažení

OBORY A KLÍČOVÁ SLOVA: Počítače, internet
RUBRIKA: Glosy

O autorovi

Ondřej Surý

Ondřej Surý (*1977) studoval informatiku na MFF UK. Je odpovědný za technickou infrastrukturu a provoz systému centrálního registru domén, spolupracoval na návrhu nového registračního systému a podílí se i na jeho dalším rozvoji. V letech 1998 až 2005 pracoval ve společnosti ACTIVE 24 (dříve Globe Internet) . Ve sdružení CZ.NIC pracuje od roku 2005. Od roku 2007 dálkově studuje psychologii a sociologii na Fakultě sociálních studií Masarykovy univerzity. Rád plave a jezdí na kole, věnuje se charitativním projektům. Je rovněž zakladatelem českého lokálního týmu Ubuntu Linux. V dubnu 2009 byl zvolen do Kontrolní a revizní komise Amnesty International v České republice.

Doporučujeme

Tajemná „Boží země“ Punt

Tajemná „Boží země“ Punt uzamčeno

Břetislav Vachala  |  4. 12. 2017
Mnoho vzácného zboží starověkého Egypta pocházelo z tajemného Puntu, kam Egypťané pořádali časté obchodní výpravy. Odkud jejich expedice...
Hmyz jako dokonalý létací stroj

Hmyz jako dokonalý létací stroj

Rudolf Dvořák  |  4. 12. 2017
Hmyz patří k nejdokonalejším a nejstarším letcům naší planety. Jeho letové schopnosti se vyvíjely přes 300 milionů let a předčí dovednosti všech...
Hranice svobody

Hranice svobody uzamčeno

Stefan Segi  |  4. 12. 2017
Podle listiny základních práv a svobod, která je integrovaná i v Ústavě ČR, jsou „svoboda projevu a právo na informace zaručeny“ a „cenzura je...

Předplatným pomůžete zajistit budoucnost Vesmíru

Tištěná i elektronická
verze časopisu
Digitální archiv
od roku 1994
Speciální nabídka
pro školy a studenty

 

Objednat předplatné