Baj van a DNS-szel

A DNS (Domain Name System) nagy vonalakban úgy működik, mint az internet telefonkönyve: egy hierarchikus felépítésű adatbázisrendszer, amely kétségkívül az internet egyik legfontosabb szolgáltatása. Amikor begépeljük böngészőnkbe az URL-t, vagyis a megjeleníteni kívánt oldal webcímét, a DNS-rendszer lefordítja azt IP-címmé, majd azonosítja a szervert, amely a keresett oldalt működteti. E módon a DNS-szolgáltatás segítségével nagymértékben egyszerűsödik a felhasználó élete, hiszen nem egy számsort kell megjegyeznie ahhoz, hogy a kívánt tartalmat elérje. Mindemellett egy weblap IP-címe bármikor megváltozhat (például másik szerverre kerül a honlap), a domén ellenben a már jól ismert név maradhat.

A DNS-rendszer alapspecifikációját 1983-ban alakították ki. Mint minden más idősebb technológiai vívmány, ez a szolgáltatás is a korosodás egyértelmű jeleit mutatja.

A tavalyi évben biztonsági szakemberek éjt nappallá téve dolgoztak egy DNS-szolgáltatást érintő biztonsági rés kijavításán, amelyet kihasználva a weben szörfölők mit sem sejtve káros programokkal fertőzött weboldalra irányítódhattak át. A kutatók által telepített frissítés – amelyet egyébként a web történelmének legnagyobb összehangolt biztonsági frissítésének tartanak – csökkentette ugyan a veszélyt, de semmiképpen nem mondható végleges megoldásnak. Nem meglepő módon a szakemberek nem osztották meg a nagyközönséggel a biztonsági rés mibenlétét, azonban a javítás természetéről néhány információ szabadon hozzáférhető. Eszerint amikor a DNS-szerver válaszol egy weboldalt azonosítani kívánó kérésre, 65 ezer szám közül véletlenszerűen kiválaszt egyet, amelyet megerősítő kódként visszaküldve biztosítja a kérés hitelességét.

Amit a kutatók felfedeztek, az leegyszerűsítve nem más, mint a 65 ezer szám nem elégséges mennyisége. Így a javítás óta immáron nem egy, hanem két véletlenszerűen generált kóddal igyekszik a DNS-rendszer megvalósítani a hiteles és biztonságos működést. Ezt ahhoz hasonlíthatjuk, mint ha a frissítés előtt olyan leveleket lehettünk volna képesek elküldeni, amelyek ugyan alá vannak írva, de nem tartalmaznak érvényes feladói címet; a frissítés óta pedig már csak olyan leveleket írhatunk, amelyek mindkettőt tartalmazzák.

Abban nyilvánvalóan mindenki egyetért – derül ki a Technology Review elemzéséből –, hogy a hosszú távon biztonságos működés záloga semmi esetre sem egy meglévő rendszer állandó foltozgatása, hanem egy új megoldás keresése. Az egyik potenciális jelölt a DNSSEC – egy protokoll, amely a DNS-üzeneteket digitális aláírásokkal látja el. A .org domének kezelője, a Public Interest Registry az idei év első felében kezdi meg a DNSSEC protokoll beépítését, míg az USA kormánya is hasonló lépésre készül a .gov végződésű domének esetében. A nemrégiben alakult DNSSEC Industry Coalition tervei szerint pedig eljött az idő, hogy a protokollt minél szélesebb körben implementálják szerte a világon.

A cikk még nem ért véget, kérlek, lapozz!