Co to jest DNSSEC? Jak działa? Przed czym chroni? Jak włączyć i zabezpieczyć domenę i stronę WWW?
Wszystkie strony internetowe są wyświetlane dzięki systemowi DNS. Niemniej jednak sam system DNS nie jest chroniony, przez co cyberprzestępcy mają możliwość wykradania danych użytkowników sieci. Jeżeli chcesz dowiedzieć się, jak działa system DNS i dlaczego domeny powinny być chronione protokołem DNSSEC, to jesteś w dobrym miejscu. Zapraszamy do lektury poniższego artykułu.
W jaki sposób wyświetlają się strony w sieci?
Do stworzenia strony internetowej potrzebujemy przynajmniej dwóch rzeczy: domeny oraz hostingu. Domena internetowa to nazwa, którą wykupujemy dla danej strony. Przykładową domeną jest nazwa tego bloga — HostingOnLine.pl — natomiast hosting jest fizycznym, wydzielonym miejscem na dużej maszynie zwanej serwerem. Na hostingu przetrzymywane są wszystkie informacje dotyczące Twojej strony. Każdy tekst, obrazek czy plik, który znajdzie się na stronie WWW, jest przetrzymywany właśnie na hostingu.
Mając tę wiedzę, odpowiedzmy na pytanie, w jaki sposób wyświetlane są strony w Internecie. Jak już wiesz, domena jest tylko nazwą. Punktem odniesienia, dzięki któremu łatwiej jest odnaleźć treści w Internecie, jednak sama nie niesie za sobą informacji — informacje te są trzymane na hostingu. Do tego celu został stworzony system DNS (Domain Name System).
Jak działa protokół DNS?
Użytkownicy sieci, aby wyświetlić daną stronę korzystają z adresów stron WWW. Składają się one zazwyczaj z liter i słów oraz są zakończone końcówką domenową. Natomiast protokół DNS działa na podstawie adresów IP, które są ciągiem cyfr. Dlatego, aby jakakolwiek strona internetowa mogła zostać wyświetlona, jej adres w formie pisemnej musi zostać zamieniony na kod liczbowy, który będzie zrozumiały przez serwery. Protokół DNS jest “tłumaczem” adresów stron na adresy IP.
W uproszczeniu, gdy adres strony zostaje przetłumaczony na adres IP, system może odnaleźć serwer, który hostuje daną stronę. Pozwala to na odesłanie informacji zwrotnej do użytkownika i wyświetlenie określonej zawartości strony.
Jak wygląda wyświetlanie stron WWW przez system DNS?
→ użytkownik wpisuje adres strony WWW w pasku przeglądarki,
→ zostaje wysłane zapytanie do serwera DNS o przetłumaczenie wpisanego adresu WWW na adres IP,
→ serwer DNS tłumaczy adres strony WWW na adres IP
→ za pomocą uzyskanego adresu IP, zostaje wysłane żądanie wyświetlenia danej strony do serwera, na którym znajduje się hostowana strona,
→ z serwera hostującego zostaje wysłana odpowiedź,
→ użytkownik odbiera informację z serwera i zostaje mu wyświetlona strona WWW.
Proces ten może nieco przypominać bieg sztafety, gdzie informacja startuje z jednego miejsca, a potem jest przekazywana w określonych punktach, po to by następnie wbiec na metę.
Z założenia tak powinno wyglądać każde zapytanie w sieci, jednak tak nie jest. Choć działanie systemu DNS jest proste, to szybko zauważono, że niesie za sobą ryzyko, gdyż… proces ten w ogóle nie jest chroniony.
W jaki sposób cyberprzestępcy wykradają dane ze stron?
Informacje przesyłane przez protokół DNS nie są zabezpieczane ani utajniane. Wiele lat temu, podczas powstawania systemu, nikt nie przewidział, z jakimi konsekwencjami będzie się to wiązać. Jednocześnie nikt w tamtym momencie chyba nie potrafił sobie wyobrazić, do jakich rozmiarów rozrośnie się sieć. Ze względu na to, że dzisiaj dostęp do Internetu może mieć każdy, wykorzystują go również oszuści, próbując dorobić się kosztem innych użytkowników sieci.
Z tego powodu, że system DNS został stworzony w tak prosty sposób, cyberprzestępca lub złośliwe oprogramowanie może w prosty sposób przechwytywać zapytania dotyczące danej strony. Tym samym haker wcale nie musi włamać się na Twoją stronę internetową, aby wykraść z niej dane: dane Twoich klientów oraz osób odwiedzających witrynę. Wystarczy, że przechwyci zapytanie i odeśle w odpowiedzi adres IP podstawionej witryny.
Najczęściej tego typu ataki przeprowadza się w celu wyłudzenia pieniędzy. Cyberprzestępca może atakować np. strony banków, aby uzyskać dane do kont użytkowników i ukraść ich pieniądze. Dzieje się tak poprzez zatrucie serwera DNS (DNS spoofing lub DNS cache poisoning).
Jest to technika phishingu, gdzie przestępca wysyła fałszywe informacje do serwera DNS. Wtedy, na jakiś czas, serwer DNS zapisuje podrobiony adres IP do domeny banku w swojej pamięci podręcznej. Wówczas wszystkie zapytania dotyczące wyświetlenia strony banku, będą przekierowywane na fałszywą stronę WWW. Użytkownik, który wpisze dane do logowania na podstawionej stronie bezpośrednio przekaże hasło do konta cyberprzestępcy.
Historia wielkiego ataku DNS
Okazuje się, że nawet największe organizacje często nie potrafią uchronić się przed atakami DNS. Przykładem jest brazylijski bank, który 2016 został ofiarą ogromnego ataku.
Mowa o banku, który zarządza 500 oddziałami w Brazylii, Stanach Zjednoczonych, Argentynie i Kajmanach. Banku posiadającego 5 mln klientów i aktywa o wartości 25 miliardów dolarów.
Dnia 22 października 2016 został przeprowadzony atak, do którego cyberoszuści przygotowywali się przez nawet 5 miesięcy. Korzystając z certyfikatów Lets Encrypt, byli w stanie przenieść wszystkie 36 domen banków na fałszywe strony internetowe, na których niczego niepodejrzewający użytkownicy mogli ujawniać swoje dane. Na 5 godzin przechwycili wszystkie operacje, bankowość internetową i mobilną, punkty sprzedaży i bankomaty.
Przestępcom udało się przejąć kontrolę nad wszystkimi domenami, firmową pocztą e-mail, serwerami FTP, wyłączyć antywirusa oraz uzyskać kontrolę administracyjną nad kontem DNS. Blokując dostęp do poczty uniemożliwili pracownikom banku poinformowanie klientów o zaistniałej sytuacji. Ofiarami ataku mogły paść setki tysięcy a nawet miliony osób z 300 miast, w których bank prowadził działalność.
Cyberoszuści mogą też atakować mniejsze witryny internetowe
Nie oznacza to jednak, że należy być czujnym jedynie w przypadku stron banków. Inną praktyką wśród oszustów jest tworzenie wiernych kopii stron WWW, tak aby osoby wchodzące na nią, nie widziały różnicy pomiędzy oryginałem a podróbką. Jeżeli posiadasz sklep internetowy, to klienci przychodzący zrobić u Ciebie zakupy “zrobią” je wtedy u oszusta. W tym momencie cyberprzestępca wejdzie w posiadanie danych Twoich klientów. Dlatego posiadanie strony internetowej bez aktywnego zabezpieczenia, jakim jest DNSSEC, jest tak niebezpieczne.
DNSSEC ma za zadanie chronić domenę
DNSSEC (Domain Name System Security Extensions) jest rozszerzeniem protokołu DNS, który zabezpiecza autentyczność odpowiedzi wysyłanych przez system DNS. Gdy DNSSEC jest aktywny w danej domenie, to zapytanie o wyświetlenie jej zawartości powraca do użytkownika wraz z kluczem uwierzytelniającym, potwierdzającym prawidłowość numeru IP.
W skrócie DNSSEC uniemożliwia przekierowanie ruchu i podstawienie fałszywej witryny.
Jeżeli haker próbowałby podmienić informacje znajdujące się na chronionym serwerze DNS, jego zapytania zostaną odrzucone. Właściciele stron zabezpieczonych protokołem DNSSEC mogą mieć pewność, że cyberprzestępcy nie będą w stanie podmienić zapytań od osób pragnących odwiedzić ich stronę. Ochrona DNSSEC to pewność, że odpowiedź z serwerów zawsze pochodzi z autoryzowanego źródła, a użytkownikom zawsze wyświetli się odpowiednia witryna.
Jakie dane może przejąć cyberprzestępca, gdy strona nie jest chroniona przez DNSSEC?
- dane osobowe — np. imię, nazwisko, PESEL, lokalizacja,
- dane wrażliwe — np. pochodzenie rasowe, etniczne, przynależność religijna, orientacja seksualna,
- dane biometryczne — skan odcisku palca / siatkówki oka,
- numery kart kredytowych,
- hasła do kont bankowych.
Po przejęciu tak dużej ilości danych dotyczących użytkowników cyberprzestępca może nawet dokonać kradzieży tożsamości i wykorzystać ich dane do zaciągania kredytów, chwilówek, dokonywania szemranych transakcji lub wyłudzeń.
Co grozi właścicielowi witryny w wyniku przejęcia strony?
- utrata zaufania obecnych klientów,
- odpływ stałych klientów,
- zmniejszenie przypływu nowych klientów,
- niekorzystne opinie w sieci i brak poleceń,
- możliwy spadek pozycji w wyszukiwaniach Google.
Czy wszyscy potrzebują ochrony DNSSEC?
Niekoniecznie. Chociażby z tego względu, że DNSSEC można włączyć jedynie dla niektórych domen. Dlatego, jeśli posiadasz inny rodzaj domeny, to prawdopodobnie nie będziesz mógł włączyć tego rozszerzenia. Warto wziąć to pod uwagę, gdy dopiero masz w planach założenie strony WWW, ponieważ jeśli planujesz np. prowadzić sklep, to może nie warto kupować domeny z inną końcówką.
Ochrona DNSSEC jest dostępna dla części:
- domen globalnych (gTLD) – .com, .net.,
- domen krajowych (ccTLD) – .pl, .de,
- domen odnoszących się do regionów – .berlin, .paris,
- nowych końcówek domenowych (domen nTLD) – .expert, .pizza,
- domeny europejskiej – .eu
Najpopularniejsze domeny obsługiwane przez DNSSEC
.agency | .co.uk | .gallery | .org.pl |
.app | .coffee | .game | .partners |
.art | .com | .global | .pizza |
.audio | .com.pl | .gov | .press |
.band | .company | .help | .restaurant |
.bank | .computer | .hosting | .shop |
.bar | .de | .info | .shopping |
.best | .design | .live | .site |
.biz | .dev | .market | .software |
.blackfriday | .diet | .marketing | .style |
.blog | .download | .me | .support |
.business | .eco | .media | .tattoo |
.buzz | .edu | .mobi | .top |
.cafe | .moda | .travel | |
.cam | .eu | .money | .tube |
.camera | .expert | .net | .video |
.catering | .express | .net.pl | .website |
.center | .fans | .network | .xyz |
.ceo | .film | .news | .yoga |
.chat | .finance | .now | .zone |
.cloud | .fit | .online | |
.club | .fitness | .org |
DNSSEC na pewno stanowi niezbędną ochronę dla stron gromadzących dane, jak wspomniane e-sklepy, strony firmowe, banki, instytucje finansowe, ale również blogi, gdzie zbierane są zapisy na newsletter.
Na pewno warto się zaopatrzyć w protokół DNSSEC, gdy jesteś osobą publiczną, influencerem, politykiem lub po prostu zależy Ci na Twoim wizerunku i nie chciałbyś, aby został on nadszarpnięty poprzez możliwość wyświetlenia podstawionej strony.
Jeżeli posiadasz niewielką stronę wizytówkową lub nie gromadzisz danych od użytkowników, to nie musisz mieć DNSSEC.
Jak sprawdzić, czy DNSSEC jest włączone?
Jeżeli nie wiesz, czy Twoja domena posiada aktywną ochronę DNSSEC, możesz sprawdzić to w prosty sposób. W tym celu zostały stworzone internetowe “sprawdzarki”, jak np. DNSSEC Analyser od Verisign. Wystarczy, że okienku na stronie wpiszesz nazwę swojej domeny i klikniesz enter i analizator sprawdzi to za Ciebie.
Jak uruchomić DNSSEC w swojej domenie?
Aby uruchomić DNSSEC, musisz mieć pewność, że twój dostawca usług oferuje tę usługę. Niestety nie wszyscy dostawcy domen ją oferują, natomiast niektórzy oferują ją jedynie za opłatą. Istnieje jednak grono dostawców, którzy gwarantują ochronę DNSSEC za darmo. Zazwyczaj możliwość uruchomienia / zakupienia DNSSEC będzie dostępna w Twoim panelu klienta, w sekcji zarządzania domenami. Dostawcy bardzo często publikują artykuły pomocowe z opisem screenów z panelu klienta, co pozwala na szybkie włączenie ochrony dla domeny.
Jeżeli nie możesz znaleźć informacji na temat DNSSEC u swojego dostawcy lub masz problem z jego uruchomieniem, najlepiej skontaktuj się z nim i wyraź chęć włączenia usługi. Niezależnie czy wyślesz wiadomość e-mail, czy zadzwonisz na infolinię, powinieneś otrzymać pomoc. Przed kontaktem z Biurem Obsługi Klienta warto wcześniej przygotować informacje dotyczące domeny, jej nazwę oraz aktualny adres DNS.
Podsumowanie
Protokół DNSSEC jest wartościowym rozszerzeniem systemu DNS. Chroni on domeny, na których jest aktywny, poprzez szyfrowanie odpowiedzi pochodzących z serwera. Uniemożliwia cyberprzestępcom na podstawianie fałszywych stron WWW i tym samym kradzież danych. Skorzystać z ochrony DNSSEC mogą jedynie posiadacze domen globalnych, jak np. .pl, .eu i .com, jednak jest to usługa prosta do uruchomienia.