Avoimen lähdekoodin tavoitteena on tehdä turvallisemmaksi verkkotunnukseksi

Kehittäjäryhmä on julkaissut avoimen lähdekoodin ohjelmiston, joka antaa järjestelmänvalvojille mahdollisuuden tehdä Internetin osoitusjärjestelmä vähemmän haavoittuviksi hakkereille.

OpenDNSSEC-ohjelmisto, joka automatisoi monia tehtäviä joka liittyy DNSSEC: n (Domain Name System Security Extensions) käyttöönottoon, joka on joukko protokollia, joka mahdollistaa DNS (Domain Name System) -tietueiden digitaalisen allekirjoituksen toimittamisen, sanoo John A. Dickinson, projektissa työskentelevä DNS-konsultti.

DNS-tietueet sallivat verkkosivustojen kääntämisen nimestä IP-osoitteeksi (Internet Protocol), jota tietokone voi kysyä.

[Lue lisää: Haittaohjelmien poistaminen Windows-tietokoneelta]

DNS-palvelimella saattaa olla mahdollista, että DNS-palvelimella on useita virheitä alkuperäisestä suunnitelmastaan. Käyttäjä kirjoittaa oikean Web-sivuston nimen, mutta se on suunnattu vilpilliselle sivustolle, jonkinlaisen hyökkäyksen tyypiksi välimuisti myrkytys. Tämä on yksi monista huolenaiheista, jotka johtavat liikkumista Internet-palveluntarjoajille ja muille DNS-palvelimia käyttäville yksiköille DNSSEC: n käyttämiseksi.

DNSSEC: n avulla DNS-tietueet salaavat salauksen, ja nämä allekirjoitukset tarkistetaan, jotta tiedot ovat tarkkoja. DNSSEC: n hyväksyminen on kuitenkin hidastunut sekä toteutuksen monimutkaisuudesta että yksinkertaisempien työkalujen puutteesta, Dickinson sanoi.

DNS-tietueiden allekirjoittamiseen DNSSEC käyttää julkisen avaimen salausta, jossa allekirjoitukset luodaan julkisella ja yksityisellä avaimella ja toteutetaan vyöhyketasolla. Osa ongelmasta on näiden avainten hallinta, koska niitä on päivitettävä määräajoin ylläpitääkseen korkeaa turvallisuustasoa, Dickinson sanoi.

OpenDNSSEC: n avulla järjestelmänvalvojat voivat luoda toimintatapoja ja automatisoida avainten hallinnan ja allekirjoittaa tietueet, Dickinson sanoi. Prosessissa on nyt enemmän manuaalisia toimenpiteitä, mikä lisää mahdollisuuksia virheisiin.

OpenDNSSEC "huolehtii siitä, että vyöhyke pysyy kirjautuneena oikein ja oikein vakiokäytännön mukaisesti", Dickinson sanoi. "Kaikki tämä on täysin automatisoitua, jotta ylläpitäjä voi keskittyä tekemään DNS: tä ja anna suojauksen toimimaan taustalla."

Ohjelmistossa on myös avainvarastointitoiminto, jonka avulla järjestelmänvalvojat säilyttävät avaimet joko laitteistossa tai tietoturvaohjelmistomoduulissa, toinen suojakerros, joka varmistaa, että avaimet eivät pääty vääriin käsiin, Dickinson sanoi.

OpenDNSSEC-ohjelmisto on ladattavissa, vaikka sitä tarjotaan tekniikan esikatseluksi eikä sitä tule käyttää vielä tuotanto, Dickinson sanoi. Kehittäjät keräävät työkalun palautetta ja julkaisevat paranneltuja versioita lähitulevaisuudessa.

Aiemmin tänä vuonna useimmat huipputason verkkotunnukset, kuten ".com" -tyyppiset, eivät olleet kryptografisesti allekirjoitettuja eivätkä kumpikaan DNS-juurivyöhykkeessä pääluettelo, jossa tietokoneet voivat mennä etsimään osoitetta tietyllä verkkotunnuksella. VeriSign, joka on ".com" -rekisteri, kertoi helmikuussa, että se toteuttaa DNSSECin huipputason verkkotunnuksilla, mukaan lukien.com mennessä vuoteen 2011.

Muut organisaatiot ovat myös siirtymässä kohti DNSSEC: n käyttöä. Yhdysvaltain hallitus on sitoutunut käyttämään DNSSEC: n ".gov" -verkkotunnusta. Muut turvallisuusalan asiantuntijat väittävät, että myös muut ccTLD-tunnukset (maakohtaiset huipputason verkkotunnukset) toimivat Ruotsissa (.se), Brasiliassa (.br), Puerto Ricossa (.pr) ja Bulgariassa (.bg). DNSSEC: tä tulisi käyttää ennemmin kuin myöhemmin, koska olemassa olevat DNS-heikkoudet ovat. Yksi vakavimmista niistä paljastui tietoturva-tutkija Dan Kaminsky heinäkuussa 2008. Hän osoitti, että DNS-palvelimet voisivat nopeasti täyttää epätarkkoja tietoja, joita voitaisiin käyttää erilaisiin hyökkäyksiin sähköpostinjärjestelmissä, ohjelmistopäivitysjärjestelmissä ja salasanassa palautusjärjestelmät verkkosivuilla.

Vaikka tilapäisiä korjaustiedostoja on käytetty, se ei ole pitkäaikainen ratkaisu, koska se vie vain kauemmin hyökkäyksen. Tämä julkaistiin aiemmin tänä vuonna julkaistussa valkoisessa kirjassa, joka on hollantilainen tutkimusorganisaatio SurfNet. SurfNet kuuluu OpenDNSSEC: n tukijoihin, joihin kuuluu myös ".uk" -rekisteröinti Nominet, NLnet Labs ja SIDN, ".nl" rekisteri.

Ellei DNSSECiä käytetä, "Domain Name System -järjestelmän perusvajaus" ei ole mitään keinoa varmistaa, että vastaukset kyselyihin ovat aitoja - jää edelleen ", paperi sanoi.