dnssecsigneringar2011

DNSSEC är här för att stanna – om inte USA drar undan mattan

Det har varit ett fantastiskt år för DNSSEC i .se. Vad som också är glädjande är att vi ser ett ökat intresse från större ISP:er och ledande e-handelsföretag som exempelvis PayPal. Tyvärr ser vi samtidigt ett växande hot från amerikanska lagstiftare som äventyrar införandet av DNSSEC.

Antalet DNSSEC-signerade domäner i .se-zonen gick från 4 299 i början av 2011 till 171 650 vid årsskiftet, väldigt kul! Jag har förespråkat DNSSEC sedan 1999 då jag jobbade på IT-kommissionen (den fjärde i ordningen). Då gjorde vi det allra första försöket att implementera RFC:erna i ”running code” och det var en nyttig erfarenhet. Det var inte allt som fungerade, om man säger så. Det kom att ta ända till 2005 innan det fanns en fastslagen standard från IETF, sex månader därefter hade .SE signerat zonen för .se.

Sedan dess har registrys världen över infört DNSSEC och många har det på sin kortlista över saker att göra. För närvarande har 88 av de 312 toppdomäner som finns i rotzonen signerats, 82 av dessa har sina tillitsankare publicerade som DS-poster i rotzonen. .SE la till sina DS-poster i rotzonen 2010, när rotzonen väl signerades.

Många måste delta för att det ska bli en helhet

DNSSEC gör internet säkrare genom att försvåra manipulation av den information som trafikerar domännamnssystemet, så att en användare kan vara säker på att han eller hon verkligen besöker sin internetbank och inte en falsk kopia som satts upp för att stjäla lösenord och kontouppgifter. Tekniken skapar en förtroendekedja som försäkrar att användarens klick på en webbsida hamnar där den ska, på rätt webbplats, i stället för att kapas på vägen. Med DNSSEC kan konsumenter på nätet känna större förtroende för att de får det de vill. Det har potential att bekämpa bedrägerier på nätet långt effektivare än idag.

En av svårigheterna med att skapa tillit är att varje länk i kedjan måste vara lika stark. Med DNSSEC så hör olika länkar till olika företag och organisationer. Den kedjan kräver deltagande från alla delar av internets infrastruktur, från användare till operatör och leverantör av hårdvara, för att det ska gå att dra nytta av fullt ut. Verisign har illustrerat vilka parter som är inblandade och deras respektive roll.

Registrys och registrarer måste införa tekniken så att deras kunder kan signera sina domäner, medan internetoperatörer och utvecklare av programvaror måste stödja det för att kunna möjliggöra validering av signaturer i ändarna.

Värdet med DNSSEC ökar med tillväxten signerade domäner

Det går inte att kontrollera signaturer om ingen signerar. En fördel med att bo i ett litet land som Sverige är att vi har nära till varandra, även om vi arbetar i olika branscher. Genom det arbete som .SE bedrivit inom olika grupper så har vi inte bara förmått fler att signera, vi har också övertygat de flesta internetoperatörer att validera signaturerna. Men det kommer bara att få någon större betydelse om de får fler signaturer från populära och viktiga webbplatser, som banker, media, myndigheter med mera.

Webbplatser inom bank och e-handel är de som är de vanligaste måltavlorna från de som försöker sig på phishing och annan cyberbrottslighet. Dessa har också mest att vinna på att erbjuda kunderna en högre grad av säkrare transaktioner.

I december införde PayPal, med fler än 100 miljoner aktiva e-handelskonton världen över, DNSSEC fullt ut. De signerade alla zoner i alla toppdomäner där de finns. Så paypal.com är signerat och så även paypal.co.uk.

Det innebär att alla som har ett Paypalkonto och som sitter bakom validerande resolvrar kommer att kunna göra betalningar med förvissning om att PayPal:s DNS inte har kidnappats av bedragare.

SOPA/PIPA hotar införandet av DNSSEC

Beslutet från Comcast och Paypal att införa DNSSEC är mycket positivt, men trots detta ligger USA i många avseenden långt efter andra länder. Tjeckien har 17 procent av sin zon signerad, .SE har 10 procent – bland dem flera myndigheter och kommuner. .com-domänen som är den mest använda av amerikanska företag med fler än 100 miljoner registrerade domäner har endast ett fåtal tusen signerade domäner. Det är uppenbart att man har lite kvar att göra där.

Tyvärr brottas man med ett unikt hinder: den amerikanska kongressen. De föreslagna lagarna SOPA (Stop Online Piracy Act) och PIPA (Preventing Real Online Threats to Economic Creativity and Theft on Intellectual Property Act) innehåller krav som om de genomförs hotar att bryta den funktionalitet från ände till ände som är nödvändig för DNSSEC.

Dessa lagförslag kräver att internetoperatörerna avlyssnar och dirigerar om DNS-uppslagningar för webbplatser som man tror kan vara inblandade i spridning av piratkopierat material eller liknande. I DNSSEC-sammanhang är det samma sak som att kräva att en internetoperatör uppträder som en angripare och medvetet kidnappar i övrigt fullt legitima DNS-frågor.

DNSSEC och de krav på omdirigering som SOPA och PIPA innehåller är oförenliga. Genom att ge mandat till ett beteende som gör att infrastrukturen uppträder på samma sätt som vid en attack måste applikationer kunna ta hänsyn till att det som ser ut som en attack ibland är en legitim filtrering.

I ett sådant scenario kan applikationerna försöka lösa uppslagningen genom att falla tillbaka på traditionell, osäker DNS. Ett sådant beteende skapar dock bara möjlighet för brottslingar att genomföra så kallade ”nedgraderingsattacker” och därmed blir DNSSEC i princip värdelöst. Kort och gott, SOPA och PIPA reser betydande barriärer för införandet av DNSSEC vilket i sin tur leder till ett osäkrare internet.

Internet har många säkerhetsproblem, DNS hijacking är bara ett. Men, till skillnad från många andra problem har vi här en lösning som kan implementeras och det görs i stor omfattning idag av förutseende, säkerhetsmedvetna företag och organisationer.

Det vore mycket olyckligt om bristande förståelse hos amerikanska lagstiftare om funktionen för internets infrastruktur tillåts att tvärnita en global spridning av DNSSEC, just när det börjar nå en kritisk massa!

Källa och mer information: http://www.securityweek.com/dnssecs-time-here-sopa-presents-challenges. Med tillstånd från författaren.

(Uppdatering 16/1 klockan 16: Nyss blev det klart att omröstning om lagförslaget SOPA skjuts upp tills det råder större enighet om förslaget.)

Etiketter: , , , , , , , , , , , , , , ,
Fyll gärna i vår enkät.

Om bloggaren

Anne-Marie Eklund Löwinder Säkerhetschef, IIS Rankad som en av Sveriges främsta IT-säkerhetsexperter. En av få utvalda i världen att delta i nyckelgenereringen för DNSSEC i rotzonen för internet. Ledamot i ett flertal styrelser och remissvarare på statens offentliga utredningar om internet och säkerhet.

Lämna en kommentar

Svara på en kommentar

Obligatoriskt

Obligatoriskt

Frivilligt

Kommentarer

Ingen har kommenterat artikeln ännu.