Stručná historie bezpečnosti doménových jmen

Systém pojmenování počítačů textovými názvy se vytvořil velmi záhy poté, co vznikla síť ARPANET, která se později stala základem dnešního internetu. Adresace počítačů pomocí číselných adres (typu 192.168.48.39) byla velmi nepraktická, a proto se pojmenování textovými názvy velmi rychle ujalo.

V úplných počátcích si každý počítač udržoval vlastní kopii souboru pro překlad jména na číselnou adresu. Soubor byl spravován ručně a záznamy do něj přidával lidský operátor. Záhy bylo jasné, že je třeba tento systém nějak centralizovat. První formální návrh lze najít v dokumentu RFC 606 z prosince 1973; tento systém fungoval až do roku 1983.

S rostoucím počtem připojených počítačů na počátku osmdesátých let začal být centralizovaný systém pro správu většího množství záznamů nevhodný. Chceme-li navázat komunikaci s počítačem na konkrétní doméně, kontaktujeme náš server doménových jmen, který je u poskytovatele, a dotážeme se na IP adresu¹⁾ stroje, který nás zajímá. Pokud server doménových jmen adresu ještě nezná, zeptá se příslušných serverů doménových jmen na síti. Nakonec nám odpoví a zjištěnou odpověď si zapamatuje. Příště už na stejný dotaz odpoví přímo.²⁾

V roce 1990 byl internet stále poklidné místo, kde jeho uživatelé žili v míru a vzájemné harmonii. Nebo ne? V tom samém roce přichází Steven M. Bellovin na zásadní chybu při používání serverů doménových jmen. Vzájemná důvěra mezi počítači se v té době většinou řešila pouze na základě správného doménového jména. V zásadě nešlo o chybu samotného systému doménových jmen, ale o chybu přílišné důvěry v systém.

Po zveřejnění tohoto nedostatku se na půdě IETF, což je organizace, která stojí za většinou internetových standardů RFC, začíná uvažovat nad zabezpečením systému doménových jmen. Mezitím Eugene Kashpureff objevuje další zranitelnost v současných implementacích serverů systému doménových jmen, která mu do serveru doménových jmen umožňuje podvrhnout libovolný záznam. V roce 1997 pak používá tuto chybu k celosvětovému přesměrování stránek registrátora InterNIC na stránky své firmy AlterNIC. V tuto chvíli je jasné, že protokol DNS se bez zabezpečení neobejde a tak vzniká zabezpečené DNS.³⁾

V roce 2008 Dan Kaminsky objevuje v systému doménových jmen závažnou bezpečnostní chybu. Ta umožňuje v řádu sekund až minut podvrhnout libovolný záznam do systému doménových jmen, a tím přesměrovat například libovolné webové stránky na server útočníka.

A co to ten DNSSEC vlastně je? Systém DNSSEC kryptograficky zajišťuje integritu dat poskytovaných DNS servery. Pokud je DNSSEC používán oběma stranami, není již možné podvrhnout a změnit obsah DNS a bez vědomí uživatele přesměrovat webové stránky nebo e-mailovou komunikaci na server útočníka. A nejde jen o stránky internetových bankovnictví, vzhledem k velkému dopadu útoku může být pro útočníka zajímavé napadnout zpravodajské servery nebo jiné zdroje důležitých informací (například burzovní zpravodajství). Situaci bych přirovnal k nedávnému zobrazení atomového výbuchu v televizním vysílání, nicméně internetoví útočníci jsou dnes často součástí organizovaného zločinu a útok na DNS bude motivován spíše finančním ziskem, ať už ve formě přístupů do internetového bankovnictví či průmyslové špionáže.

Dnes se píše rok 2009 a pomocí systému DNSSEC je chráněno pouze několik domén nejvyšší úrovně včetně naší národní úrovně .cz. Bezpečnostní chyba objevená Danem Kaminskym naštěstí rozhýbala stojaté vody a o implementaci DNSSEC se začala mimo jiné zajímat i americká administrativa. (Pozn. red.: Americká administrativa zřídila při Bílém domě zvláštní úřad, který bude mít na starosti digitální bezpečnost a ochranu amerického počítačového prostoru před útoky hackerů, počítačových pirátů i počítačové špionáže.)

Běžný uživatel internetu se do styku s DNSSEC pravděpodobně přímo nedostane, úkol zabezpečit systém doménových jmen leží na poskytovatelích připojení. Ti musí nakonfigurovat DNSSEC na svých serverech tak, aby servery ověřovaly integritu DNS dat. Koncoví uživatelé si mohou vyzkoušet, zda poskytovatel jejich připojení podporuje DNSSEC na stránkách www.dnssec.cz. Z opačné strany, tedy na straně poskytovatelů obsahu (např. www.vesmir.cz), pak musí dojít k zabezpečení pomocí DNSSEC tak, aby uživatelé mohli ověřit pravost informací z DNS.