РУС |
ENG
28 июля, 2010
Теги: интернет, DNSSEC, безопасность
Информация о группе из шести человек, которые могут перезагрузить мировой Интернет, не соответствует действительности
27 июля в Интернет-СМИ появилась информация о создании группы из шести человек, которая якобы обладает полномочиями и специальными кодами для перезагрузки сети Интернет в случае ее глобального сбоя.
Эта информация не соответствует действительности. Дело в том, что вышеназванная группа, сформированная решением специальной международной комиссии, может перезагрузить крайне ограниченное количество сайтов, использующих систему безопасности DNSSEC. Эта система взята на вооружение некоторыми компаниями для защиты своих ресурсов. Она позволяет безопасно отключить, а потом перезагрузить поддерживающие ее сайты в случае, например, техногенной катастрофы. Однако ни о какой глобальной перезагрузке в мировом масштабе речь не идет.
Система безопасного расширения доменного имени DNSSEC (Domain Name System Security Extensions) представляет собой набор расширений для DNS (компьютерной распределенной системы для получения информации о доменах), которые предоставляются DNS-клиентам. Среди них - первичная аутентификация DNS-данных; целостность данных (не обеспечивает конфиденциальность); проверка на отрицание существования.
Принято считать, что обеспечение безопасности DNS критически важно для Интернет-безопасности в целом, но распространению DNSSEC в значительной мере препятствует ряд проблем. Среди них, в частности - разработка обратно совместимого стандарта, который можно масштабировать до размера Интернета; применение реализаций DNSSEC в огромном количестве DNS серверов и клиентов; разногласия между ключевыми игроками по поводу того, кто должен владеть доменами первого уровня TLD (.com, .net); преодоление предполагаемой сложности и применение DNSSEC.
Некоторые из этих проблем находятся на стадии разрешения.
(Голосов: 1, Рейтинг: 3.11) |
Традиционно интернет на профилактику выключают первого апреля.
Да, на каждом сайте и хостинге теперь обязательно и модно ставить backdoor для этих ваших "перезагрузчиков"
Wipe спасет всех - инфа 100%
Ну скажите, как можно ПЕРЕЗАГРУЗИТЬ САЙТ?????? Переводчик - ГСМ с ФГМ? Ну почитайте оригинал, етить вашу маму.
Мдаа....
(причём подменить таким образом, чтобы Firefox не кричал "внимание! ктото подменил TLS-сертификат!")
вобщем с точке зрения *усиления* безопасности -- DNSSEC даёт плюсы. но *нет* никакой речи об *уменьшении* безопасности!
сертификат сервера или клиента? ибо TLS надежно работает когда у тебя есть пользовательский сертификат подписаный темже ключом что и сертификат сервера.
в 2008 году местный майор из отдела "К" показывал ящик позволяющий на лету ломать и писать односторинние SSL сессии. У меня лично стоит ящик "вскрывающий" SSL соединения и шерстящий их на тему вирусов, сигнатур атак и т.д.
Я говорю ровно о томже! я долго не мог понять как пустили технологию с помощью которой шифрация скайпа просто превращается в детский лепет. теперь все ясно есть люди которые в случае чего сдадут приватные ключи корневых серверов.
собственно о чем речь и только одно из возможных применений.изходя из того что dnssec транзакции подделать (по заявлениям)не возможно то могу представить такую процедуру:
спрашиваем некую запись в DNSе интересующего нас сайта к примеру superhack.com запись к примеру TXT размером до 255 байт. это публичный ключек от некого "черного ящика" висящего к примеру на 500/udp (только для примера) порту
генерим свою пару ключей. свой публичшый ключ шифруем(например AES, RSA и тд не важно) с некой информацией (назовем это запросом на сертификат) публичным ключом от ресурса с которому хотим доступ. и отправляем на порт "ЧЯ". тут у нас расшифровка, подпись, зашифровка уже высланым ключом отправка.
остальное надеюсь додумаете сами. на результате подобного обмена поднимаете TLS, IPSEC да что пожелаете.. хоть торенты качайте..
и это все работает только в том случае если dnssec обеспечивает первый этап.
совершенно верно! но этот вариант я не рассматриваю потомучто он вообще идеальный! к нему предраться не к чему [только если CA ктото взломает, и CA ещё подпишет кому-то ключ]
рассматривает обычный случай (когда клиент НЕ имеет подписанного сертификата, тем-же CA что и у сервера)
атакующщая сторона:
* относительно клиента -- подменивается серверный сертификат
* относительно сервера -- подменивается клиентский сертификат
...и вродебы атака работает.... НО(!) Firefox (тоесть клиентская сторона) замечает что отпечатак ключа сервера поменялся! и говорит об этом пользователю, вместо того чтобы открыть сайт.
[пользователь нажимает "да, я знаю", и после этого сайт грузиться, и атака становиться успешной. но нажимать "да, я знаю" конешно же нельзя без уверенности что всё в порядке!
на серверной же стороне -- завиксировать атаку разумеется нельзя
и хватит - я говорил о совершенно других вещах... приплели скайп хотя разговор велся о dnssec и тех людях которые все могут обрушить. ну еще о двойном использовании технологий.
вышу мысль о verisign я понул... наверное тут вы правы
совершенно нет сомнений в том что разработчики скайпа знают толк в обфускации кода, и методах против отладки...
...нет сомнений и в том что скайп довольно автоматизирован в плане поиска proxy (т.е. содержит множество алгоритмов поиска proxy (различных типов), которые он запускает поочереди, пытаясь осуществить соеденение)
в этом заслуга Скайпа -- вполне имеет вес!
...
но ЗАБЫТЬ проинициализировать RC4-последовательность *случайным* вектором инициализации -- может только профан в криптографии
# p.s.: RC4-последовательность разуметтся там модифицированная, а не по RFC
по ссылке много страниц словоблудины на англиссокм
Все достали!
internet logon: root
password: *************************
[root@internet]#reboot -now
Are you sure reboot All Internet? Yes
Rebooting...