Slo-Tech - Verisign bo še osem let skrbnik korenskega območja (root zone) v sistemu domenskih imen (DNS), saj je z ICANN-om 20. oktobra letos skenil novo pogodbo. Korensko območje je na vrhu arhitekture DNS in deluje kot globalni direktorij vseh vrhnjih domen, ki sestavljalo moderni domenski sistem. Vzdrževalec tega območja (root zone maintainer) ima posebno vlogo, saj kriptografsko podpisuje in skrbi za dnevne posodobitve območja.

V tej vlogi Verisign ni novinec, saj jo opravlja že od leta 1993, torej še preden je bil sploh ICANN sploh ustanovljen. Tedaj sta mandat podeljevala National Science Foundation in ameriško ministrstvo za trgovino. ICANN je še danes odgovoren za vsebino in globalne politike korenskega območja.

Verisign pa je tesno vpet v delovanje interneta. Obvladuje dva izmed trinajstih korenskih strežnikov (a.root-servers.net in j.root-servers.net) ter ima avtoritativni imenik za domene .com, .net, .cc, .tv, .name, .jobs, .edu in .gov. Poleg tega opravljajo še številne druge...

Slo-Tech - Mozilla v Firefoxu sicer že dlje časa podpira šifrirane poizvedbe na domenskih strežnikih (DNS over HTTPS oziroma DoH), a je bilo treba to funkcijo ročno vključiti. Odslej bo to privzeta nastavitev, a za začetek le za uporabnike v Severni Ameriki. DoH je pomemben gradnik internetne infrastrukture, ki podpira anonimnost in varnost. Medtem ko je dandanes komunikacija s spletnimi stranmi večidel šifrirana (HTTPS), so poizvedbe pri domenskih strežnikih nevarovane. HoT odpravlja to vrzel.

Firefox bo prvi večji brskalnik, ki bo novi standard podpiral privzeto. Za uporabo bomo morali izbrati ponudnika storitev domenskega strežnika, ki sta v Firefoxu trenutno Cloudflare in NextDNS, lahko pa vnesemo tudi svojega, če ga imamo. Kot pojasnjujejo v Mozilli, so jih k uvedbi te storitve prednostno v Ameriki vzpodbudile prakse tamkajšnjih ponudnikov interneta, ki nadzorujejo spletni promet uporabnikov, kar izkoriščajo pri prodaji oglasov. DoH seveda tega ne bo v celoti odpravil, bo pa znatno...

Slo-Tech - Organizacija ICANN za upravljanje vrhnjih domen interneta je izdala opozorilo, da za internetno infrastrukturo, od katere je odvisno delovanje domen in dostopnost storitev, obstaja veliko varnostno tveganje. Zaradi groženj za sistem imen domen (DNS) je ICANN pozval k čimprejšnji popolni uveljavitvi DNSSEC.

ICANN opozarja, da se v zadnjem času povečuje število napadov, ki ciljajo neposredno na infrastrukturo interneta. Zaradi tega so pripravili kontrolni seznam ukrepov, ki jih lahko ponudniki storitev izvedejo, da zmanjšajo možnost za napade in ublažijo posledice.

ICANN pojasnjuje, da se pojavljajo napadi,...

Slo-Tech - Nov sistem DNSSEC (angl. domain name system security extensions), ki za razliko od DURZ-a (angl. deliberately unvalidatable root zone) onemogoča ponarejanje domenskih zapisov in omogoča bolj varno brskanje po spletu (v smislu, da smo prepričani, da je DNS zapis strani res pravi), je poleg varnosti prinesel tudi povsem realno, a malo verjetno nevarnost, da se vse skupaj razsuje, če bi izgubili korenski ključ (angl. root key). Ta je shranjen na dveh lokacijah - v Kaliforniji in v Virginiji. Če bi se zgodila katastrofa in bi bili obe visoko zaščiteni in zastraženi kopiji izgubljeni, bi izgubili DNSSEC. Da se to nikakor ne more zgoditi, skrbi sedem posameznikov, ki imajo dele ključa na različnih lokacijah po svetu, s katerimi je tudi ob...

Slo-Tech - Letošnja varnostna konferenca Black Hat USA+2010 v Las Vegasu je največja doslej: več kot 4000 obiskovalcev lahko izbira med 11 sočasnimi sekcijami. Prvi dan smo lahko videli nekaj zanimivih prispevkov.

Raziskovalec Dan Kaminsky, sicer znan po odkritju zelo učinkovitega napada z zastrupljanjem predpomnilnika DNS iz leta 2008, je tokrat v duhu nedavnega podpisa korenskih območij (root zones) predstavil svojo vizijo varnejšega interneta - Domain Key Infrastructure. Gre za koncept, ki naj bi dokončno rešil problem zaupanja na internetu pod pogojem, da zaupamo korenskim podpisom strežnikov DNS. Predstavil je nekaj zanimivih idej in implementacij v...

Heise - Ta teden se je z dvotedensko zamudo, ki je nastala zaradi dodatnih testiranj ICANN-a in VeriSigna, zgodil prehod z DURZ (angl. deliberately unvalidatable root zone) na DNSSEC (angl. domain name system security extensions), poroča Root DNSSEC. Odslej vseh 13 vrhovnih domenskih strežnikov (v resnici gre pri nekaterih za gruče z anycastom in ne individualne strežnike), ki skrbijo za prevajanje znakovnih domen v IP-naslove, uporablja DNSSEC-ključ, ki omogoča podpisovanje odgovora. To pomeni, da bodo razni napadi z zastrupljanjem predpomnilnika, MITM-napadi in podobni ne bodo več možni, saj bo moč dobiti verodostojen podatek od domenskega strežnika.

Starejši DNS-razreševalniki (angl. DNS resolver), ki podpirajo le majhne podatkovne paketke (manjše od 512 kB) in zaradi zvišanja njihove velikost v DNSSEC-u novega...

Google - Google na svojem blogu piše o predlagani nadgraditvi protokola DNS, ki bi po novem v obzir vzela tudi lokacijo uporabnika, ki je poslal zahtevek.

DNS-strežniki prevajajo domene (npr. www.slo-tech.com) v IP-naslove (v 193.164.138.20) in z namenom ustreznega razporejanja prometa uporabnike napotijo na najbližji strežnike, če je na voljo več enakih. To ima pozitivne učinke na hitrost, zakasnitev in izkoriščenost omrežja. Trenutno vrhovni DNS-strežniki vidijo le IP-naslov DNS-resolverja in ne uporabnika. DNS-resolverji so sicer običajno geografsko blizu uporabniku, tako da vrhovni DNS-strežnik najde najbližji strežnik, ni...

Slashdot - Včeraj ponoči se je Švedom pri rednem vzdrževanju domenskih strežnikov za svojo domeno .se primerila huda nevšečnost, zaradi katere so bile vse njihove domene nedosegljive. Izpad se je zgodil ob 21.45 po lokalnem času in je trajal do 22.43. Nedostopnost je trajala še nekaj časa, dokler niso vsi glavni ponudniki interneta počistili cachea svojih DNS-strežnikov in osvežili zapisov. Vse naj bi se vrnilo v normalne tirnice najkasneje do danes.

Kaj točno se je zgodilo? Ob rednem vzdrževanju domene .se je njihov skrbnik naložil napačno skripto, ki ni vključevala zaključitvene pike (terminating "."). Ta je nujno potrebna, da DNS razume, da je .se vrhovna domena in ne kakšna poddomena. Ker se poizvedbe DNS shranjujejo lokalno na različnih strežnikih, da se zmanjša obremenitev avtoritativnih, bi lahko napaka teoretično ostala še 24 ur po vzpostavitvi pravilnega stanja. Obstaja slab milijon švedskih domen in prav vse so bile prizadete.

Schneier.com - Domain Name System Security Extensions ali DNSSEC je nabor specifikacij za DNS sisteme prihodnjih generacij, ki bodo DNS zahtevke digitalno podpisovali in avtenticirali, z čimer naj bi onemogočili različne oblike zlorab, ki imajo za posledico goljufije in zavajanje uporabnikov s preusmeritvami na lažne spletne strani.

Ideja je vsekakor dobra in bi preprečila številne "phishing" in "pharming" goljufije, pojavila se je le manjša težava. Ameriško ministrstvo za domovinsko varnost si je zaželelo kopije glavnega ključa za korensko DNS cono.

Želja po cenzuri ali po goljufijah?

Finance - 100 milijonov tolarjev je po ugotovitvah časnika Finance že skorajda astronomska vsota denarja, ki jo je ARNES zaslužil s prodajo domen (po 4.000 SIT za domeno) in (po poročanju Financ) porabil za vzpostavitev delujočih strežnikov DNS. No, denarja je ARNES od registrarjev prejel še malenkost več, tako da so strežniki DNS verjetno res odlični. Prav tako ARNES rad postreže s podatkom, da njihovi strežniki DNS odgovarjajo na več kot milijon poizvedb na uro.

Če se novinar ni temeljito zmotil, potem je bil strežnik DNS največji strošek postavitve registra domen .si, ki ga vodi ARNES. No, ker domenski strežnik BIND (ki ga verjetno uporablja tudi ARNES: dig version.bind txt chaos @srebrnjak.arnes.si) zmore odgovoriti na več kot 300 poizvedb na sekundo že na običajnem PC računalniku (zadostoval bi razred procesorja pentium III), lahko domnevamo, da je register stal bistveno manj kot 100, verjetno pa tudi manj kot 10 milijonov tolarjev (vključno s tajnico, telefaksom, telefonom,...

The inquirer - Po poročanju The Inqurierja, so neznanci v ponedeljek pripravili velikanski DDoS (Distributed Denial of Service) napad na vrhovne DNS strežnike. Napad se je začel ob petih popoldne po ameriškem EDT času (v srednjeevropskega si preračunajte sami [:D]) in trajal preko šest ur. Na srečo so uspeli spraviti na kolena le devet od trinajstih DNS strežnikov, tako da uporabniki niso čutili večjih posledic, razen manjših težav s pošiljanjem elektronske pošte. Dodatne informacije ter originalen članek na tem naslovu.

FBI je trdno odločen ujeti in obsoditi odgovorne bad-guye ...