Projek sumber terbuka bertujuan untuk menjadikan DNS lebih mudah

Sekumpulan pemaju telah mengeluarkan perisian sumber terbuka yang memberikan pentadbir satu tangan dalam menjadikan sistem pengalamatan Internet kurang terdedah kepada peretas.

Perisian yang dipanggil OpenDNSSEC, mengotomatikasikan banyak tugas yang dikaitkan dengan pelaksanaan DNSSEC (Sambungan Keselamatan Sistem Nama Domain), yang merupakan satu set protokol yang membolehkan rekod DNS (Domain Name System) untuk membawa tandatangan digital, kata John A. Dickinson, seorang perunding DNS yang bekerja pada projek itu.

Rekod DNS membolehkan laman web diterjemahkan dari suatu nama ke alamat IP (Internet Protocol), yang boleh ditanyakan oleh komputer. Tetapi sistem DNS mempunyai beberapa kelemahan yang berasal dari reka bentuk aslinya yang semakin menjadi sasaran penggodam.

[Bacaan lanjut: Bagaimana untuk menghapuskan malware dari PC Windows Anda]

Dengan mengganggu pelayan DNS, pengguna untuk menaip nama laman web yang betul tetapi diarahkan ke tapak penipuan, sejenis serangan yang dikenali sebagai keracunan cache.

Dengan DNSSEC, rekod DNS ditandatangani secara kriptografi, dan tandatangan tersebut diverifikasi untuk memastikan maklumat itu tepat. Namun, penggunaan DNSSEC telah dikendalikan oleh kerumitan pelaksanaan dan kekurangan alat yang lebih mudah, kata Dickinson.

Untuk menandatangani rekod DNS, DNSSEC menggunakan kriptografi utama awam, di mana tanda tangan dibuat menggunakan kunci awam dan swasta dan dilaksanakan pada peringkat zon. Sebahagian daripada masalah itu adalah pengurusan kunci tersebut, kerana ia mesti disegarkan secara berkala untuk mengekalkan tahap keselamatan yang tinggi, kata Dickinson. Kesalahan dalam menguruskan kekunci tersebut boleh menyebabkan masalah utama, yang merupakan salah satu cabaran bagi pentadbir.

OpenDNSSEC membolehkan pentadbir membuat dasar dan mengotomatikkan menguruskan kunci dan menandatangani rekod, kata Dickinson. Proses sekarang melibatkan lebih banyak intervensi manual, yang meningkatkan peluang untuk kesilapan.

OpenDNSSEC "menjaga memastikan zon tetap ditandatangani dengan betul dan betul mengikut dasar secara tetap," kata Dickinson. "Semua itu sepenuhnya diautomatikkan supaya pentadbir boleh menumpukan perhatian kepada melakukan DNS dan biarkan kerja keselamatan di latar belakang."

Perisian ini juga mempunyai ciri storan utama yang membolehkan pentadbir menyimpan kekunci sama ada modul perisian atau perisian keselamatan, satu perlindungan tambahan yang memastikan kunci tidak berakhir di tangan yang salah, kata Dickinson.

Perisian OpenDNSSEC boleh dimuat turun, walaupun ia ditawarkan sebagai pratonton teknologi dan tidak boleh digunakan lagi dalam pengeluaran, kata Dickinson. Pembangun akan mengumpulkan maklum balas mengenai alat dan melepaskan versi yang lebih baik dalam masa terdekat.

Pada awal tahun ini, kebanyakan domain peringkat teratas, seperti yang berakhir dengan ".com," tidak ditandatangani secara kriptografi, dan tidak juga di zon akar DNS, senarai induk di mana komputer boleh mencari alamat di domain tertentu. VeriSign, yang merupakan registri untuk ".com," pada bulan Februari akan melaksanakan DNSSEC merentasi domain peringkat teratas termasuk.com pada tahun 2011.

Organisasi lain juga bergerak ke arah menggunakan DNSSEC. Kerajaan A.S. komited untuk menggunakan DNSSEC untuk domain ".gov "nya. Pengendali ccTLDs (domain-Top-Level Domain) lain di Sweden (.se), Brazil (.br), Puerto Rico (.pr) dan Bulgaria (.bg), juga menggunakan DNSSEC.

DNSSEC harus digunakan lebih lambat daripada kemudian kerana kerentanan sedia ada di DNS. Salah satu yang lebih serius telah diturunkan oleh penyelidik keselamatan Dan Kaminsky pada bulan Julai 2008. Dia menunjukkan bahawa pelayan DNS dapat dengan cepat diisi dengan maklumat yang tidak tepat, yang boleh digunakan untuk pelbagai serangan ke atas sistem e-mel, sistem pengemaskinian perisian dan kata laluan sistem pemulihan di laman web

Walaupun patch sementara telah digunakan, ia bukan penyelesaian jangka panjang kerana ia mengambil masa yang lebih lama untuk melakukan serangan, menurut satu kertas putih yang diterbitkan awal tahun ini oleh SurfNet, sebuah organisasi penyelidikan dan pendidikan Belanda. SurfNet adalah antara pendukung OpenDNSSEC, yang juga termasuk pendaftaran ".uk" Nominet, NLnet Labs dan SIDN, ".nl" registry.

Kecuali DNSSEC digunakan, "cacat asas dalam Sistem Nama Domain - bahawa terdapat tidak ada cara untuk memastikan bahawa jawapan kepada pertanyaan adalah asli - kekal, "kata kertas itu.