Az őrzők: hét kulcs a teljes internethez

Az őrzők: hét kulcs a teljes internethez

2014. március 31. CS2

Van tizennégy ember az Egyesült Államokban, akik kiberbiztonsági vészhelyzet esetén újra tudják indítani a teljes internetet. De mi történik akkor, ha az újraindításhoz szükséges mechanizmust is megtámadják? Nos, ekkor jönnek a képbe az internet valódi őrzői, vagyis az a hét ember a világ különböző pontjain, akiknél egy-egy kulcs van, amelyeket együtt alkalmazva kinyithatnak egy széfet, amiben egy olyan speciális kártya található, ami új mesterkulcsot hoz létre az internet lelkének tekinthető DNS-rendszerhez. Ez a Domain Name System rendszer teszi lehetővé, hogy ne egy hosszú számsort kelljen megadnunk böngészéskor, hanem webcímeket. Ha ez leállna, gyakorlatilag összeomlana az internet. A hét kulcshordozót persze nem sorsoláson választották ki, komoly szakértelemmel, referenciákkal és tapasztalattal kell rendelkezniük, továbbá fontos, hogy földrajzilag a lehető legmesszebb legyenek egymástól. Sci-finek hangzik ez az egész? Akkor nézzék meg Brian David Johnson jövőkutató előadását a TEDxDanubián, amiben egy működőképes víziót vázol a 2020-as évek számítástechnikájáról.

net.jpg

A bejegyzés trackback címe:

https://tedxdanubia.blog.hu/api/trackback/id/tr905887463

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

titan 2014.03.31. 17:35:25

www.youtube.com/watch?v=ckIMuvumYrg
Bocsássatok meg, de ez a cikk kb. ez a szint volt...

♔batyu♔ 2014.03.31. 17:50:49

Kitalálom. Egy az USA-ban, hatan Izraelben vannak.

Fanyéllel Rendelkező Duguláselhárító Gumiharang 2014.03.31. 18:38:00

Egy dilettáns mit szakértősködik a vízióival?

newnt55 2014.03.31. 19:56:49

"jövőkutató" hehe
Kb olyan mint az ufószakértő.

steery 2014.03.31. 20:15:51

Hány DNS szerver van a világon és hol? És mitől állhatna le az összes? És ha leállnak, miből gondolják az okosok, hogy egy új mesterkulcssal majd orvosolható lesz a probléma? Ha pl. valaki meghekkeli az egészet, ez nem fog segíteni a bajon. Több értelme lenne inkább különféle platformokon működő DNS szervereket használni, hogy egyszerre ne lehessen mindet kilőni egyfajta támadással.
Tesztelték már az újraindítási procedúrát? Mondjuk egy globális katasztrófa esetén vagy ufó inváziónál ha bekrepál az egész, hány napba telik, míg a 7 kulcsfigurát katonai kísérettel odaszállítják a romba dőlő világfelforduláson keresztül a széfhez és életre keltik a rendszert? Jó kis katasztrófafilmet lehetne ebből forgatni...

prakp 2014.03.31. 20:21:36

Hát ez elég sovány volt. Amatőrként nem hiszem, hogy egy DNS leállástól az egész net "leállna". Márha a RIPE-re gondol a poszt-toló. Vagy most mivan?

Papírzsepi · http://lemil.blog.hu 2014.03.31. 21:02:14

Az internetet eredendően úgy tervezték, hogy egy atomháborúban is annyira működőképes legyen, amennyire csak fizikailag lehetséges. Emiatt lett decentralizált az egész, tehát nincs benne központ.
Később persze kiderültek a konstrukció hátrányai, melyek korlátozzák ezt. De alapvetően továbbra sincs központ, nincs masterkulcs, és nincs széf sem.
Ami van, azok az adminisztratív szervezetek az egész rendszer kézben tartására. De ezeket aztán hiába döntik össze: legfeljebb nem tudunk új IP címet kiadni, vagy épp átmenetileg megszűnik a netkapcsolat két ország között. De a két fele működik tovább....
Router-fejlesztőként persze én is látok potenciális problémákat a nettel kapcsolatban, a DNS csak egy a sok közül. De ezeket ismerni és kihasználni nagyon más kérdés.

Ez a poszt meg úgy ökörség, ahogy van.

Online Távmunkás · http://onlinetavmunka.blog.hu 2014.03.31. 23:16:35

A DNS-rendszer miért lett ennyire nagy szám az utóbbi 2 hétben? Múlt héten a HVG is erről írt...

Egyébként a 7 emberből 5 kulcsa kell és kétlem, hogy a szakértelem sokat számított volna a kiválasztásnál, inkább a földrajzi helyzet volt fontos.

@prakp: Ha a DNS leáll, akkor legfeljebb IP-címek alapján tudsz weboldalakat megnézni és nem megy az e-mail sem.

@♔batyu♔: Kicsit mellé lőttél: USA, Kanada, Anglia, Csehország, Kína, Burkina Faso, Trinidad és Tobago
www.schneier.com/blog/archives/2010/07/dnssec_root_key.html

@steery: Különböző hardvert és operációs rendszert használnak a szerverek.

@Papírzsepi: Router fejlesztőként ismerhetnéd a DNS rendszert és hogy a DNS címek feloldása a root-tól indul. Szóval ha a kezdő lépést kilövik, akkor maradnak az IP-címek, amivel a felhasználók 99%-a semmit sem ér.

nemjogasz 2014.03.31. 23:31:26

Ekkora marhaságot is régen olvastam...
Hol is kezdjem?
A DNS egy szimpla alkalmazás szintű protokoll. A működése csak az olvasható URL-ek használatának lehetővé tételére korlátozódik. Az internet köszöni szépen, nagyon jól elvan DNS nélkül is, pontosan ugyanúgy tud bármely két számítógép egymásnak adatot küldeni, csak ismernie kell a címzett IP címét. Úgyhogy az internet nem állna le akkor sem, ha épp nem lenne DNS.
Másodszor: talán nem tudja a kedves posztoló, de a DNS-ben épp az a nagy ötlet, hogy igen jól méretezhető, hierarchikus renszer. A kliensek pedig viszonylag ritkán fordulnak a root szerverekhez, ugyanis először a netszolgáltatód DNS szerverén próbálja feloldani a doménnevet. A szolgáltató DNS szervere gyorsítótárazza a kéréseket, így nagyon valószínű, hogy rögtön tudnak válaszolni a kérdésre (mert már más is lekérte előtted az adott domént), és így nem kell a rootszerverhez fordulni, és semmilyen kényelmetlenséget nem okozna a rootszerverek kiesése. A szolgáltatók DNS szerverén amúgy is nagy valószínűséggel a gyorsítótárban van az összes fontosabb TLD címe (mondjuk pl. az ugandai TLD lehet, hogy nem, de pl. a .com-é biztos), úgyhogy a legtöbb URL működne még a rootok teljes kiesése esetén is.
Ezt az új mesterkulcs dolgot meg nem is kommentálnám. Milyen kulcs, mihez? A DNS nem használ SSL-t, sima UDP-n megy az egész mindenféle titkosítás vagy digitális aláírás nélkül, nem kell hozzá semmilyen kulcs...

nemjogasz 2014.03.31. 23:36:49

@Online Távmunkás:
A névfeloldás a felhasználónál beállított elsődleges DNS szervernél indul, az pedig általában a szolgáltatója DNS szervere, nem pedig root szerver, szépen is néznénk ki... A szolgáltató névszervere meg szépen lecacheli a TLD-k zónafájlját, és így szépen tud rekurzív keresést csiálni a rootszerverek igénybevétele nélkül is. Legfeljebb néhány óránként megnézi a szolgáltató DNS szervere, hogy változott-e a rootoknál lévő zónafájl tartalma, de abban igen ritka eset, hogy változna egy bejegyzés, ezért akkor is működőképes marad az egész, ha épp nem tud frissebb változtatot beszerezni, mert le vannak lőve a rootszerverek.

nemjogasz 2014.04.01. 00:39:40

Most néztem meg, a .hu és a .com TLD-k ns recordjainak élettartama 48 óra, és ahogy nézem, egyik TLD-nek sem kevesebb, mint 24 óra. Ezt azt jelenti, hogy észre sem veszed, ha csak 48 óráig áll az összes rootszerver, ugyanis ennyi ideig a szolgáltatód DNS-szerverének gyorsítótárában maradnak a TLD-k ns recordjai, azaz te vagy a szolgáltatód DNS szervere kapcsolatba tud lépni a .hu vagy a .com névszervereivel a rootok igénybevétele nélkül. Ha pedig 48 óra alatt nem bírnak újraindítani legalább egy rootszervert vagy patchelni valamilyen hibát, akkor ott ette meg a fene az egészet...
De persze valaki nagyon aggódik, innen letöltheti a misztikus rootszerverek teljes zónafájlját:
www.iana.org/domains/root/files

nemjogasz 2014.04.01. 00:42:38

Ha már úgyis floodolom ezt a posztot, akkor még elmondom, hogy szerintem az egész TED-ezés egy túlértékelt marhaság. Ki gondolja komolyan, hogy egy 5 perces "előadásban" be tud mutatni bármilyen komoly témát laikus közönségnek? Az egész csak egy szimpla bohóckodás, showműsor...

prakp 2014.04.01. 07:41:26

@Online Távmunkás: "@prakp: Ha a DNS leáll, akkor legfeljebb IP-címek alapján tudsz weboldalakat megnézni és nem megy az e-mail sem."

De mint @nemjogasz is írta, ez még messze nem a teljes net. TOR, torrent, freeweb, stb. vidáman megy tovább. Arra akartam utalni, hogy jobban utánanézhettél volna a dolgoknak.

Online Távmunkás · http://onlinetavmunka.blog.hu 2014.04.01. 09:21:05

@prakp: A TOR-t szinte senki se használja, a torrent is kiment a divatból mióta a Youtube teljes filmeket is enged (a kezdeti torrent fájlt honnan húzod le?). Mi az a freeweb és hogyan működik?

@nemjogasz: A DNSSEC használ titkosítást, mert a sima DNS pofonegyszerűen feltörhető és bármilyen cím átirányítható, ha nincs gyorsítótárazva. Sajnos még nem terjedt el mindenhol a használata.

Nem mindegy, hogy root nélkül 1 óra vagy 1 nap az összeomlás? Ez a kulcsos, világ végéről utaztatós biztonsági megoldás is csak azért létezhet, mert nem azonnal omlik össze minden.

A TED-es megjegyzéseddel egyetértek. Szerintem a TED-et a semmit sem olvasó cégvezetőknek találták ki, hogy így tudjanak információt szerezni és magukat szakértőnek képzelni...

prakp 2014.04.01. 09:38:36

@Online Távmunkás: Elnézést, természetesen a TOR része a freeweb, úgy gondoltam. Most pl. a törököknél megy nagyon.

Hogy a torrent kiment volna a divatból... :D

Nemcsak filmeket "próbál ki" az egyszeri user. A lényeg az, hogy biztosan nem lenne nagy öröm egy DNS lehalás, de attól a zinternet még nem állna le.

(Kezdeti torrenet se a szeróról kapod mostanság, hanem magnet linkként.)

nemjogasz 2014.04.01. 12:05:39

@Online Távmunkás:
Tudomásom szerint nem igen használ senki dnssec-et. A legtöbb oprendszerbe még implementálva sincsen...

"Nem mindegy, hogy root nélkül 1 óra vagy 1 nap az összeomlás? "

Nem. Nem omlana össze egy nap múlva sem. Tegyük fel arab terroristák felrobbantják az összes rootszervert. A szolgáltatók rendszergazdáinak egy kb. 5 soros scriptet kell írni ahhoz, hogy a gyorsítótárban az összes TLD ns rekordjának élettartamat pl 1 évre állítsa, így azok nem kerülnek ki a gyorsítótárból. A TLD-k gazdái meg ilyen helyzetben nyilván nem akarnák megváltoztatni a TLD-jük névszervereinek IP-címét, úgyhogy a gyorsítótárban lévő adatok helyesek maradnának. Bármennyi időt ki lehetne így húzni.
Emellett új rootszervert felállítani nem egy nagy művészet.

Online Távmunkás · http://onlinetavmunka.blog.hu 2014.04.01. 12:50:47

@nemjogasz: A root szerverek és a Google public DNS is használja a DNSSEC-et. Ismeri a BIND, ami a legelterjedtebb DNS szerver, a Windows 7 és a Windows Server 2008 is. Elég sok ország is bevezette a DNSSEC-et TLD szinten: www.icann.org/en/news/in-focus/dnssec/deployment-tlds

nemjogasz 2014.04.01. 13:26:55

@Online Távmunkás:
Akkor ebben tévedtem. Mindenesetre nem sok értelmét látom a DNSSEC-nek, mert a MITM támadások ellen nem nyújt védelmet, úgyhogy hamis biztonságérzetet ad. Az igazi biztonság végpontok közti titkosítás és hitelesítés, úgyhogy van IPsec vagy SSL, esetleg alkalmazásrétegbeli titkosítás.

Papírzsepi · http://lemil.blog.hu 2014.04.03. 10:48:19

@Online Távmunkás: Én router-fejlesztőként pontosan tudom, hogy a DNS _NEM_ a root-tól indul, hanem épp fordítva. De ezt már nemjogasz szépen és precízen leírta.
Sok baj van a rendszerrel, sok törekvés is van a javítására, de ami a posztban szerepel, az speciel baromság.
Részemről a téma lezárva.
süti beállítások módosítása