Я ИТ специалист или Жизнь ИТшника Это блог о моей работе, жизни и увлечениях! Решим ИТ проблемы вместе!

20Авг/101

Ключи от Интернета

За последнюю неделю, мне уже несколько раз попались на глаза статьи о таинственной шестерке или семерке людей, в руках которых находятся "ключи от интернета".  Ну и последнее что я увидел, на одном из сервисов вопросов и ответов , это жалобный крик о помощи. Просят разъяснить что это за ключи и с чем их едят.

Начнем с краткого описания ситуации. Известно, что действительно есть группа людей. Как правило, это люди непосредственно принимающие участие в разработки систем безопасности для современного функционирования интернета.  Эти люди получили пластиковые карты-ключи содержащие фрагменты электронного ключа подписи главного корневого сервера сертификации DNS.

А теперь перейдем к терминам. DNS или Domain Name Service это сервер-служба производящая процесс преобразования понятного нам доменного имени в ip адрес.  Однако данное преобразование, легко могло быть подделано злоумышленниками путем взлома сетевой инфраструктуры атакуемого или других хакерских методов. В итоге человек мог даже не подозревать что вместо сайта банка он попадает на сайт хакера, а между тем, его просто переключили на другой, фальшивый DNS  сервер. Для борьбы с этим и была придумана система расширенной безопасности DNS - DNSSEC.

DNSSEC была разработана для обеспечения безопасности клиентов от фальшивых DNS данных, например, создаваемых DNS cache poisoning. Все ответы от DNSSEC имеют цифровую подпись. При проверке цифровой подписи DNS распознаватель проверяет верность и целостность информации.

Как мы видим, в новой службе DNS теперь используется цифровая подпись для заверения передаваемой клиенту информации. Соответственно имеются некие корневые сервера сертификации, которые проверяют и выдают сертификаты для корневых серверов DNS всего мира.

Если верить Википедии

15 июля 2010 года состоялось подписание корневой зоны и началось внедрение подписанной зоны на серверы. 28 июля ICANN сообщил о завершении этого процесса. Корневая зона была подписана электронной подписью и распространилась в системе DNS.

И вот тут мы видим одну вещь. Корневая зона была подписана неким ключом. И ключ это позволяет легко заверять любой корневой домен и в дальнейшем производить любые замены и подмены адресов. Понятно что это ключ является крайне важным элементом безопасности системы. Поэтому его разделили на 7 кусков и раздали хранителям, вроде как бы обычным людям. По сути дела, это персонал отвечающий за эту подсистему безопасности.

В случае глобальной катастрофы, или повреждения всех корневых серверов, или главного, корневого сервера сертификации атакой хакеров, все DNS записи перестанут быть доверенными и фактически DNS перестанет существовать. И только  эти люди смогут собраться вместе и объединив информацию с ключей, подписать новые или переподписать восстановленные базы DNS.

Не правда ли выглядит как сценарий эпического фильма катастрофы.

Я на месте создателей этой системы еще подумал, как потом собрать этих людей вместе, случись действительно глобальная катастрофа.  Но видимо и этот элемент продуман. Ведь Интернет это в первую очередь сеть для Военных. Она была  разработана для них и широко используется ими  и по сей день. А значит при угрозе безопасности страны американские военные смогут быстро найти  и доставить этих людей  в нужное место в кратчайшие сроки.  🙂 все как в самых лучших фильмах подобного рода.

Именно поэтому, пресса быстренько подсуетилась и повешала на этих людей, ярлыки хранителей волшебных колец  ключей от Интернета.

31Янв/100

Проблема DNS у провайдера

в общем я разобрался более менее с со своей проблемой, когда у меня половина сайтов не открывается а у жены одноклассники не работают...

21Янв/101

Сервер не найден

Забавный глюк у меня в ЖЖ, может конечно и не у меня, а у провайдера.
В общем не открываются ЖЖшные блоги.
Выходит страничка Сервер не найден. Очевидная проблема с DNS
проверяем сеть
ping xxxx.livejournal.com
При проверке связи не удалось обнаружить узел xxxx.livejournal.com.
Проверьте имя узла и повторите попытку.

tracert xxxx.livejournal.com
Не удается разрешить системное имя узла xxxx.livejournal.com.

nslookup xxxx.livejournal.com.
Server: dir-320
Address: 192.168.0.1

*** dir-320 can't find xxxx.livejournal.com: Non-existent domain

При этом часть блогов нормально открывается, к примеру при попытке поискать
подобные ошибки в яндексе третим блогом был блог под названием %) "Сервер не найден"
http://deniis.livejournal.com/
забавное применение темы блога и удачный результат для SEO