Verkkotunnukset ja IP-osoitteet
Nykyään hakukoneet hallitsevat World Wide Webiä. Esimerkiksi Increase Your Skills GmbH:n verkkosivuille vain harvat käyttäjät kirjoittavat suoraan selaimensa URL-palkkiin verkkotunnuksen increaseyourskills.com. Sen sijaan useimmat kirjoittavat esimerkiksi "increase your skills courses" tai "increase your skills data protection ", jolloin hakukone listaa muutaman osuman, ja klikkaavat sitten ensimmäistä osumaa päästäkseen lopulta halutulle verkkosivustolle. Tämä on kätevää ja monille tavanomainen tapa käyttää palveluja World Wide Webissä. Mutta jos tiedämme jo palvelun verkkotunnuksen, hakukoneen kautta tapahtuvat harhautukset ovat periaatteessa tarpeettomia: voimme siirtyä suoraan halutun palvelun verkkotunnukseen. Tämä auttaa säästämään hakukoneiden tietoja ja estää meitä myös valitsemasta vahingossa väärää hakuosumaa.
Verkkotunnukset, kuten increaseyourskills.com tai elearning.increaseyourskills.com tai shop.increaseyourskills. com, ottavat internetissä ja World Wide Webissä hoitaakseen postiosoitteiden tehtävän: ne toimivat tietyn henkilön tai laitoksen alueen osoitteina. Tämä on periaatteessa kaikki, mitä meidän tarvitsee tietää verkkotunnuksista ja osoitteista internetissä, jotta voimme löytää itsemme maailmankirjavaan verkkoon. Mutta kuten tietotekniikan alalla niin usein, tämä on vain puolet totuudesta. Teknisesti ottaen internetissä eivät vaihda tietoja ihmiset vaan tietokoneet. Tietokoneet eivät kuitenkaan puhuttele toisiaan verkkotunnuksilla, kuten increaseyourskills.com, vaan niin sanotuilla Internet-protokollaosoitteilla, lyhyesti IP-osoitteilla, kuten 81.169.145.162, 195.201.99.19 tai 23.227.38.74. Loppujen lopuksi verkkotunnukset ovat vain ystävällisempiä pseudonyymejä näille IP-osoitteille, koska sanat ja sanasarjat ovat meille ihmisille helpompia muistaa kuin numerosarjat.
Verkkotunnusjärjestelmä
Jokaiselle kelvolliselle verkkotunnukselle annetaan tällainen IP-osoite. Ennen kuin esimerkiksi kannettava tietokone tai älypuhelin voi ottaa yhteyttä verkkotunnukseen increaseyourskills.com, tämä verkkotunnus on käännettävä vastaavaksi IP-osoitteeksi. Mikään tietokone ei kuitenkaan ole tallentanut luetteloa kaikista verkkotunnuksista ja niitä vastaavista IP-osoitteista. Miten siis kannettava tietokone tai älypuhelin saa selville, mikä IP-osoite on verkkotunnuksen increaseyourskills.com takana? Tässä kohtaa niin sanottu verkkotunnusjärjestelmä (Domain Name System, lyhyesti DNS) astuu kuvaan. Verkkotunnusjärjestelmä on verkkopalvelu, jonka avulla jokainen tietokone voi pyytää IP-osoitteen, joka on osoitettu voimassa olevalle verkkotunnukselle.
Tietokoneen usein käyttämän tai äskettäin käyttämän verkkotunnuksen IP-osoite on jo tiedossa. Jos näin ei ole, se pyytää IP-osoitteen seuraavalta DNS-palvelimelta. Kun kyseessä on kiinteä internetyhteys, tämä on yleensä lähiverkon reititin, joka säätelee paikalliseen WLAN- tai LAN-verkkoon rekisteröityjen tietokoneiden ja internetin välistä tietoliikennettä. Jos lähiverkon reititin ei myöskään tiedä tietyn verkkotunnuksen IP-osoitetta, se pyytää tätä tietoa uudelleen lähimmältä DNS-palvelimelta. Tavallisesti tämä on DNS-palvelin, jota ylläpitää paikallisesta Internet-yhteydestä vastaava Internet-palveluntarjoaja. Useimmilla Internet-palveluntarjoajilla on käytössä useita DNS-palvelimia tätä tarkoitusta varten. Jos internet-palveluntarjoajan DNS-palvelimet eivät myöskään tiedä tietyn verkkotunnuksen IP-osoitetta, ne ottavat uudelleen yhteyttä lähimpään DNS-palvelimeen. Tällaisten DNS-palvelimien hierarkia on internetissä tiukka. Kunkin verkkotunnuksen osalta määritetään tarkasti, mikä DNS-palvelin on niin sanotusti viimeinen sana kyseisen verkkotunnuksen osalta. Näin estetään muun muassa se, että internetin DNS-palvelimet eivät loputtomasti kysele toisiltaan vapaasti keksittyä verkkotunnusta vastaavaa IP-osoitetta.
DNS-väärennös
DNS-palvelimen päätehtävänä on vastata sellaisten tietokoneiden kyselyihin, jotka haluavat tietää tiettyyn verkkotunnukseen liittyvän IP-osoitteen. Jos saamme DNS-palvelimen vastaamaan tällaiseen kyselyyn oikean IP-osoitteen sijasta toisella antamallamme IP-osoitteella, kyseessä on DNS-huijaus. Tällä tavoin käyttäjän päätelaitteen ja internetissä olevan palvelimen välinen tiedonsiirto voidaan ohjata toiselle palvelimelle.
DNS-huijauksen helppo kohde on kotiverkon tai yritysverkon lähiverkon reititin, koska useimmissa tapauksissa se on ensimmäinen DNS-palvelin, johon lähiverkon tietokoneet ottavat yhteyttä. Oletetaan, että meillä on hallinnollinen pääsy verkon reitittimeen. Tällöin siihen on helppo tehdä ylimääräisiä DNS-merkintöjä ja ohjata tiettyjen verkkotunnusten tietoliikenne nimenomaan muille palvelimille. Jos käytössä ei olisi muita turvatoimia, olisi esimerkiksi helppo huijata lähiverkon käyttäjiä luulemaan, että he vierailevat tietyllä verkkosivustolla, vaikka todellisuudessa he vierailevat kyseisen verkkosivuston manipuloidulla kopiolla.
Internet-palveluntarjoajan DNS-palvelimien tai syvemmän internet-infrastruktuurin manipulointi vaatii sen sijaan kehittynyttä asiantuntemusta tietokoneverkoista ja verkkoprotokollista. DNS:ään kohdistuu useita tunnettuja hyökkäysskenaarioita. Monet niistä ovat vain historiallisesti merkityksellisiä, koska DNS:ää kehitetään ja kovetetaan jatkuvasti tällaisia hyökkäyksiä vastaan. Esimerkiksi DNSSEC:n avulla verkkotunnusjärjestelmään on tehty joukko laajennuksia, joiden avulla DNS-palvelimen vastaukset voidaan todentaa kryptografisesti. Valitettavasti DNSSEC ei ole vielä laajasti käytössä.
DNS-väärennösten havaitseminen
Verkonvalvojille ja muille tekniikkaan perehtyneille käyttäjille on olemassa ohjelmistoja, joita voidaan käyttää asianmukaisen DNS-tarkastuksen suorittamiseen. Jokainen yleinen Linux-jakelu sisältää vapaasti saatavilla olevan DNSDiag-työkalupaketin, jota voidaan käyttää DNS-vastausten analysointiin esimerkiksi sen määrittämiseksi, onko DNS-kyselyyn kohdistunut välikäsien hyökkäys. Internetin ja World Wide Webin tavanomaisessa, jokapäiväisessä käytössä on tällä hetkellä hyvin vaikea määrittää, onko DNS-poofingin avulla saatu väärä IP-osoite. Se, että loppulaitteemme luottaa DNS-palvelimen vastauksiin niin sanotusti sokeasti, on asioiden luonteeseen kuuluvaa ilman DNS-vastausten kryptografista todentamista.
Onneksi tiedonsiirto internetissä on nykyään useimmissa tapauksissa suojattu salausprotokollalla nimeltä TLS. World Wide Webissä TLS:n käytön tunnistaa siitä, että URL-palkin osoite ei ala http://, vaan https://. Nykyaikaiset verkkoselaimet näyttävät myös pienen lukon osoitteen edessä osoituksena siitä, että yhteys on suojattu TLS:llä. Jos yhteys palvelimeen on suojattu TLS:llä, DNS-huijaus voi silti aiheuttaa pyyntöjen ohjautumisen väärälle palvelimelle, mutta TLS:n ansiosta päätelaitteemme tunnistaa, että kyseessä ei ole oikea palvelin, ja katkaisee yhteyden.
Kun siis surffaat päivittäin, etsi URL-palkissa olevaa pientä lukkoa ja varmista, että https:// edeltää kaikkia verkko-osoitteita. TLS-protokolla suojaa sinua myös DNS-huijaushyökkäyksen seurauksilta.