Proyek Sumber Terbuka Bertujuan untuk Membuat DNS Aman Lebih Mudah

Sekelompok pengembang telah merilis perangkat lunak sumber terbuka yang memberi administrator bantuan dalam membuat sistem pengalamatan Internet menjadi kurang rentan terhadap peretas.

Perangkat lunak, yang disebut OpenDNSSEC, mengotomatiskan banyak tugas terkait dengan penerapan DNSSEC (Domain Name System Security Extensions), yang merupakan seperangkat protokol yang memungkinkan data DNS (Domain Name System) untuk membawa tanda tangan digital, kata John A. Dickinson, seorang konsultan DNS yang mengerjakan proyek tersebut.

Catatan DNS memungkinkan situs web diterjemahkan dari sebuah nama menjadi alamat IP (Internet Protocol), yang dapat ditanyakan oleh komputer. Tetapi sistem DNS memiliki beberapa kekurangan yang berasal dari desain aslinya yang sedang semakin ditargetkan oleh peretas.

[Bacaan lebih lanjut: Cara menghapus malware dari PC Windows Anda]

Dengan merusak server DNS, itu mungkin untuk pengguna untuk mengetikkan nama situs web yang benar tetapi diarahkan ke situs penipuan, sejenis serangan yang disebut peracunan cache. Itu adalah salah satu dari banyak kekhawatiran yang mendorong pergerakan ISP dan entitas lain yang menjalankan server DNS untuk menggunakan DNSSEC.

Dengan DNSSEC, catatan DNS secara kriptografi ditandatangani, dan tanda tangan tersebut diverifikasi untuk memastikan informasinya akurat. Adopsi DNSSEC, bagaimanapun, telah ditahan oleh baik kompleksitas pelaksanaan dan kurangnya alat yang lebih sederhana, kata Dickinson.

Untuk menandatangani catatan DNS, DNSSEC menggunakan kriptografi kunci publik, di mana tanda tangan dibuat menggunakan kunci publik dan pribadi dan diimplementasikan pada tingkat zona. Bagian dari masalah adalah manajemen kunci-kunci itu, karena mereka harus disegarkan secara berkala untuk mempertahankan tingkat keamanan yang tinggi, kata Dickinson. Kesalahan dalam mengelola kunci tersebut dapat menyebabkan masalah besar, yang merupakan salah satu tantangan bagi administrator.

OpenDNSSEC memungkinkan administrator untuk membuat kebijakan dan kemudian mengotomatiskan pengelolaan kunci dan menandatangani catatan, kata Dickinson. Proses sekarang melibatkan lebih banyak intervensi manual, yang meningkatkan peluang untuk kesalahan.

OpenDNSSEC "mengatur memastikan bahwa zona tetap ditandatangani dengan benar dan benar sesuai dengan kebijakan secara permanen," kata Dickinson. "Semua itu benar-benar otomatis sehingga administrator dapat berkonsentrasi untuk melakukan DNS dan membiarkan keamanan bekerja di latar belakang."

Perangkat lunak ini juga memiliki fitur penyimpanan kunci yang memungkinkan administrator menyimpan kunci baik di perangkat keras atau modul perangkat lunak keamanan, lapisan perlindungan tambahan yang memastikan kunci tidak berakhir di tangan yang salah, kata Dickinson.

Perangkat lunak OpenDNSSEC tersedia untuk diunduh, meskipun itu ditawarkan sebagai pratinjau teknologi dan tidak boleh digunakan di produksi, kata Dickinson. Pengembang akan mengumpulkan umpan balik tentang alat dan merilis versi yang ditingkatkan dalam waktu dekat.

Pada awal tahun ini, sebagian besar domain level teratas, seperti yang berakhir dengan ".com", tidak ditandatangani secara kriptografi, dan begitu juga di zona root DNS, daftar induk di mana komputer dapat pergi untuk mencari alamat di domain tertentu. VeriSign, yang merupakan registri untuk ".com," mengatakan pada bulan Februari itu akan menerapkan DNSSEC di seluruh domain tingkat atas termasuk.com pada 2011.

Organisasi lain juga bergerak ke arah menggunakan DNSSEC. Pemerintah AS telah berkomitmen untuk menggunakan DNSSEC untuk domain ".gov" -nya. Domain ccTLD lainnya (domain-kode Level-Top Domain) di Swedia (.se), Brasil (.br), Puerto Rico (.pr) dan Bulgaria (.bg), juga menggunakan DNSSEC.

Ahli keamanan berpendapat bahwa DNSSEC harus digunakan lebih cepat daripada nanti karena kerentanan yang ada di DNS. Salah satu yang lebih serius diungkapkan oleh peneliti keamanan Dan Kaminsky pada bulan Juli 2008. Dia menunjukkan bahwa server DNS dapat dengan cepat diisi dengan informasi yang tidak akurat, yang dapat digunakan untuk berbagai serangan pada sistem e-mail, sistem pembaruan perangkat lunak dan kata sandi sistem pemulihan di situs Web.

Sementara patch sementara telah dikerahkan, itu bukan solusi jangka panjang karena hanya membutuhkan waktu lebih lama untuk melakukan serangan, menurut sebuah kertas putih yang diterbitkan awal tahun ini oleh SurfNet, sebuah organisasi penelitian dan pendidikan Belanda. SurfNet adalah salah satu pendukung OpenDNSSEC, yang juga termasuk register ".uk" Nominet, NLnet Labs dan SIDN, registri ".nl".

Kecuali DNSSEC digunakan, "cacat dasar dalam Sistem Nama Domain - yang ada tidak ada cara untuk memastikan bahwa jawaban atas pertanyaan itu asli - tetap ada, "kata surat kabar itu.