โครงการโอเพ่นซอร์สมีวัตถุประสงค์เพื่อทำให้ DNS ปลอดภัยขึ้น

กลุ่มนักพัฒนาซอฟต์แวร์ได้เปิดตัวซอฟต์แวร์โอเพนซอร์สซึ่งช่วยให้ผู้ดูแลระบบสามารถทำให้ระบบที่อยู่ในอินเทอร์เน็ตมีความเสี่ยงน้อยกว่าแฮกเกอร์

ซอฟต์แวร์ที่เรียกว่า OpenDNSSEC จะทำงานโดยอัตโนมัติ ที่เกี่ยวข้องกับการใช้ DNSSEC (Domain Name System Security Extensions) ซึ่งเป็นชุดของโปรโตคอลที่อนุญาตให้ระเบียน DNS (Domain Name System) มีลายเซ็นดิจิทัล John A. Dickinson ที่ปรึกษาด้าน DNS ที่ทำงานเกี่ยวกับโครงการกล่าวว่า

ระเบียน DNS อนุญาตให้มีการแปลเว็บไซต์จากชื่อลงในที่อยู่ IP (Internet Protocol) ซึ่งสามารถสอบถามได้จากคอมพิวเตอร์ แต่ระบบ DNS มีข้อบกพร่องหลายประการจากการออกแบบเดิมที่ถูกแฮกเกอร์กำหนดขึ้นเรื่อย ๆ

[การอ่านเพิ่มเติม: วิธีลบมัลแวร์จากพีซีที่ใช้ Windows ของคุณ]

การปลอมแปลงเซิร์ฟเวอร์ DNS อาจเป็นไปได้ ผู้ใช้พิมพ์ชื่อเว็บไซต์ที่ถูกต้อง แต่ถูกนำไปยังไซต์ปลอมซึ่งเป็นประเภทของการโจมตีที่เรียกว่า cache poisoning นี่เป็นหนึ่งในหลายข้อกังวลที่ทำให้เกิดการเคลื่อนไหวของ ISP และหน่วยงานอื่น ๆ ที่ใช้เซิร์ฟเวอร์ DNS เพื่อใช้ DNSSEC

ด้วย DNSSEC ระเบียน DNS จะถูกเข้ารหัสโดยลายเซ็นและลายเซ็นเหล่านี้ได้รับการยืนยันเพื่อให้แน่ใจว่าข้อมูลถูกต้อง การยอมรับของ DNSSEC อย่างไรก็ตามความซับซ้อนของการใช้งานและการขาดเครื่องมือที่ง่ายขึ้นดิกคินสันกล่าวว่า

ในการลงนามบันทึก DNS DNSSEC ใช้การเข้ารหัสลับคีย์สาธารณะโดยใช้ลายเซ็นแบบสาธารณะและคีย์ส่วนตัว และดำเนินการในระดับโซน ส่วนหนึ่งของปัญหาคือการจัดการคีย์เหล่านี้เนื่องจากต้องมีการรีเฟรชเป็นระยะ ๆ เพื่อรักษาระดับความปลอดภัยไว้สูง Dickinson กล่าว ความผิดพลาดในการจัดการคีย์เหล่านั้นอาจก่อให้เกิดปัญหาที่สำคัญซึ่งเป็นความท้าทายอย่างหนึ่งสำหรับผู้ดูแลระบบ

OpenDNSSEC ช่วยให้ผู้ดูแลระบบสามารถสร้างนโยบายและจัดการคีย์ได้โดยอัตโนมัติและลงนามบันทึก Dickinson กล่าว กระบวนการนี้เกี่ยวข้องกับการแทรกแซงด้วยตนเองมากขึ้นซึ่งจะเพิ่มโอกาสในการเกิดข้อผิดพลาด

OpenDNSSEC "ดูแลให้แน่ใจว่าโซนนี้ได้ลงนามอย่างถูกต้องและเป็นไปตามนโยบายอย่างถาวร" นายดิกคินสันกล่าว "ทั้งหมดนี้เป็นระบบอัตโนมัติโดยสมบูรณ์เพื่อให้ผู้ดูแลระบบสามารถมุ่งเน้นที่การทำ DNS และให้การรักษาความปลอดภัยทำงานในพื้นหลังได้"

ซอฟต์แวร์นี้ยังมีคุณลักษณะการจัดเก็บข้อมูลหลักที่ช่วยให้ผู้ดูแลระบบสามารถเก็บกุญแจไว้ในโมดูลซอฟต์แวร์ฮาร์ดแวร์หรือซอฟต์แวร์รักษาความปลอดภัย ซึ่งเป็นชั้นเพิ่มเติมของการป้องกันเพื่อให้แน่ใจว่าคีย์ไม่ได้อยู่ในมือคนที่ไม่ถูกต้อง Dickinson กล่าวว่า

ซอฟต์แวร์ OpenDNSSEC สามารถดาวน์โหลดได้แม้ว่าจะมีการนำเสนอเป็นตัวอย่างเทคโนโลยีและไม่ควรใช้ การผลิต, ดิกคินสันกล่าวว่า นักพัฒนาซอฟต์แวร์จะรวบรวมข้อเสนอแนะเกี่ยวกับเครื่องมือและเผยแพร่เวอร์ชันที่ปรับปรุงใหม่ในอนาคตอันใกล้นี้

ในช่วงต้นปีนี้โดเมนระดับบนสุดเช่นผู้ที่ลงท้ายด้วย ". com" ไม่ได้รับการเซ็นชื่อแบบเข้ารหัส ในโซนรากของ DNS รายการหลักที่คอมพิวเตอร์สามารถไปค้นหาที่อยู่ในโดเมนใดโดเมนหนึ่ง VeriSign ซึ่งเป็นรีจีสทของ ".com" กล่าวว่าในเดือนกุมภาพันธ์จะใช้ DNSSEC ในโดเมนระดับบนสุดรวมถึง. com ในปี 2554

องค์กรอื่น ๆ ยังมุ่งสู่ DNSSEC รัฐบาลสหรัฐอเมริกามีพันธะในการใช้ DNSSEC สำหรับโดเมน ".gov" ของตน ผู้ให้บริการโดเมนเนมอื่น ๆ ในประเทศสวีเดน (.se), บราซิล (.br), เปอร์โตริโก (.pr) และบัลแกเรีย (.bg) ยังใช้ DNSSEC

ผู้เชี่ยวชาญด้านความปลอดภัยให้เหตุผลว่า ควรใช้ DNSSEC เร็วกว่าในภายหลังเนื่องจากมีช่องโหว่ที่มีอยู่ใน DNS หนึ่งในคนที่ร้ายแรงที่สุดถูกเปิดเผยโดย Dan Kaminsky นักวิจัยด้านความปลอดภัยในเดือนกรกฎาคม 2551 เขาแสดงให้เห็นว่าเซิร์ฟเวอร์ DNS อาจเต็มไปด้วยข้อมูลที่ไม่ถูกต้องซึ่งอาจใช้สำหรับการโจมตีระบบอีเมลระบบอัพเดตซอฟต์แวร์และรหัสผ่านที่หลากหลาย ระบบกู้คืนข้อมูลบนเว็บไซต์

แม้ว่าจะมีการนำแพทช์ชั่วคราวมาใช้ แต่ก็ไม่ใช่ทางออกในระยะยาวเนื่องจากใช้เวลาดำเนินการโจมตีนานกว่านี้โดย SurfNet ซึ่งเป็นองค์กรด้านการวิจัยและการศึกษาของเนเธอร์แลนด์ SurfNet เป็นหนึ่งในผู้สนับสนุนของ OpenDNSSEC ซึ่งรวมถึงรีจิสทรี ".uk" Nominet, NLnet Labs และ SIDN, ".nl" registry

เว้นแต่จะใช้ DNSSEC "ข้อบกพร่องขั้นพื้นฐานใน Domain Name System - ไม่มีทางที่จะทำให้แน่ใจได้ว่าคำตอบของข้อความค้นหาจะเป็นของแท้ "- หนังสือพิมพ์กล่าวว่า