Aktualności: Oprogramowanie

rozmiar czcionki A A A

Luka w DNS ujawniona - wkrótce ataki?

Daniel Cieślak

23 lipca 2008 10:23

Amerykańska firma Matasano przez przypadek opublikowała na swojej stronie internetowej szczegółowe informacje o wykrytej niedawno przez Dana Kaminsky'ego luce w systemie Domain Name System. Choć strona szybko zniknęła z Sieci, eksperci ds. bezpieczeństwa obawiają się, że wkrótce mogą powstać exploity umożliwiające wykorzystanie błędu do atakowania internautów.

"Hakerzy już z pewnością wzięli się za tworzenie exploitów - przypuszczam, że pierwsze działające kody pojawią się za kilka dni" - mówi Dave Aitel, szef działu IT firmy Immunity. Aitel dodaje też, że exploity tworzyć będą nie tylko przestępcy, ale także autorzy narzędzi do przeprowadzania testów penetracyjnych zabezpieczeń - "To przecież nie jest takie trudne zadanie - nie mamy tu do czynienia z rozpracowywaniem ludzkiego genomu" - dodaje przedstawiciel Immunity. Opinię Aitela potwierdza również słynny HD Moore (specjalista ds. bezpieczeństwa, autor popularnego pakietu narzędzi hakerskich Metasploit) - on również sądzi, że na skutecznego exploita wykorzystującego lukę w DNS poczekamy najwyżej kilkadziesiąt godzin.

Przypomnijmy: informacja o luce w Domain Name System pojawiła się na początku lipca, wraz z pakietem poprawek dla popularnych serwerów DNS. Dan Kaminsky ogłosił, że wykrył poważny błąd w protokole będącym podstawą komunikacji w Internecie. Okazało się, że wysłanie do serwera DNS serii odpowiednio przygotowanych zapytań może spowodować automatyczne przekierowanie "ofiary" z bezpiecznej witryny na niebezpieczną. Co ważne, cała operacja będzie dla atakowanego internauty zupełnie niezauważalna. Taka technika przestępcza nazywana jest "zatruwaniem" DNS (DNS poisoning) - do tej pory przestępcy korzystali jednak z niej raczej dzięki różnym lukom w aplikacjach instalowanych na pecetach. Tym razem problem jest znacznie poważniejszy, ponieważ luka dotyczy oprogramowania odpowiedzialnego za funkcjonowanie sieci WWW. Szerzej pisaliśmy na ten temat w tekście "Patch dla Internetu - DNS załatany".

Kaminsky zamierzał przedstawić szersze informacje na temat problemu na sierpniowej konferencji BlackHat - przez przypadek ubiegli go jednak pracownicy Matasano, którzy umieścili na stronie firmy szczegółowy opis problemu. Feralny dokument błyskawicznie został usunięty, jednak wiele osób z pewnością zdołało go skopiować.

Wiadomo już, że luka może łatwo zostać wykorzystana do atakowania indywidualnych internautów - gdy powstaną odpowiednie exploity, przestępcy będą w stanie przekierowywać użytkowników Internetu na niebezpieczne strony (błąd pozwala im na łatwe wprowadzenie niezbędnych modyfikacji do serwera DNS). Główni producenci serwerów DNS udostępnili już co prawda poprawki dla swoich produktów - jednak ich wdrożenie jest zwykle dość skomplikowane, dlatego też wielu operatorów serwerów DNS z pewnością jeszcze ich nie wdrożyło.

Z analiz przeprowadzonych przez Neala Krawetza, jednego z specjalistów zaangażowanych w rozwiązywanie problemu, wynika, że wiele firm oferujących dostęp do Internetu (ISP) wciąż jeszcze nie załatało swoich serwerów DNS. "To żenujące, że liderzy rynku dostępowego wciąż nie połatali swoich systemów. Informacja o luce już wypłynęła, przestępcy wkrótce zaczną z niej korzystać - to najwyższy czas, by instalować uaktualnienia" - mówi Krawetz.

Wystaw ocenę:

Średnia ocena:

(Głosów: )

» Dodaj komentarz

Komentarze

Redakcja PC World nie ponosi odpowiedzialności za wypowiedzi Internautów opublikowane na stronach serwisu oraz zastrzega sobie prawo do redagowania, skracania bądź usuwania komentarzy zawierających treści zabronione przez prawo, uznawane za obraźliwie lub naruszające zasady współżycia społecznego. Osoby zamieszczające wypowiedzi naruszające prawo lub prawem chronione dobra osób trzecich mogą ponieść z tego tytułu odpowiedzialność karną lub cywilną.

Liczba zatwierdzonych komentarzy (6) |
dodaj komentarz |
zobacz wszystkie

Infro

ocena: brak oceny
IP: 83.9.156.66
23-07-2008, 10:47

No i co z tego, że podczas łączenia z bankiem DNS przekieruje mnie na fałszywą stronę? Przeglądarka i tak ostrzeże mnie o niewłaściwym certyfikacie. Jak zwykle, najsłabszym ogniwem jest głupi użytkownik.

max

ocena: brak oceny
IP: 89.79.190.64
23-07-2008, 11:04

re Infro: problemem jest nie głupi użytkownik, ale głupi administrator. Jeśli usera systematycznie przyzwyczaja się do widoku "certyfikat strony wygasł" albo "certyfikat niezgodny z...", bo leniwemu adminowi nie chce się tego poprawić, to w końcu userzy zaczynają ignorować wszelkie tego typu ostrzeżenia.
Citibank, dla przykładu, już nie raz miał wygasły certyfikat. Telefon do nich i próba wyjaśnienia sprawy spotykały się z kretyńskimi komentarzami typu "proszę zaktualizować windows" lub "nasz serwis działa poprawnie jedynie w Microsoft Internet Explorerze 6.0". Niech ich diabli wezmą za takie porady.

phi

ocena: brak oceny
IP: 89.77.77.109
23-07-2008, 11:05

Zgadzam się z autorem. Eksploity już są. Kto chce, może ich poszukać, działają bardzo dobrze na typowe serwery DNS (np. BIND). Nie sprawdzałem Microsoft DNS, bo nikt poważny tego nie używa na dużą skalę. To, co znalazłem, nie działało na djbdns.

popdruid

ocena: brak oceny
IP: 83.21.5.72
23-07-2008, 13:10

A to ciekawe... Kilka miesięcy temu zaobserwowałem różnego rodzaju anomalne zachowania (np. 10-krotne spowolnienie przesyłania danych) serwerów DNS firmy TPSA... Ale podejrzewałem o jakieś odchyły samą TPSA... Potem było kilka miesięcy spokoju... A potem nastąpił okres "piekła na ziemi" od lutego do praktycznie ostatnich dni lipca, kiedy moje komputery były bombardowane zapytaniami z sieci - zwykle o 2-3 w nocy, co mi - tak na marginesie - wymroziło mózg... I o co podejrzewałem miedzynarodową-organizację-psychopatów-i-sekciarzy - w skrócie mo-pis... Ale ta luka wszystko by chyba wyjaśniła... Oby też pomogła...

twist

ocena: brak oceny
IP: 82.160.198.2
23-07-2008, 13:19

@max
masz racje. ja mialem podobna sytuacje z citibankiem. Tylko ze to byo nie moje konto i wolalem nie ryzykowac. zadzownilem poinformowalem o blednym certyfikacie to mi powiedzieli ze to nie powinno i mam przez internet explorera wejsc..potem powiedzialem ze wszedlem i to samo. to on mi ze mam rozwinac ta informacje i im na maila w zalaczniku wyslac. Wyslalem koles mowi ze nie doszlo. Dzwonie na nasteony dzien i prosze polaczenie z nim i dalej nie doszlo.. wyslalem jeszcze raz, dalej mowil ze nie doszlo. Wkurzylem sie rozlaczylem i zaakceptowalem stary certyfikat

Infro

ocena: brak oceny
IP: 83.9.84.115
23-07-2008, 16:37

Co do wygasłych certyfikatów, to swego czasu podobną rzecz widziałem, odbierając pocztę na o2: najpierw certyfikat utracił ważność, a potem chyba przez pewien czas posługiwali się jakimś "self-signed", co w przypadku tak dużego portalu jest kompletną amatorką. To jednak nie zmienia faktu, że i tak zawsze mogę sprawdzić wystawcę i właściciela certyfikatu.

Nawiasem mówiąc, takie podejście jak najgorzej świadczy o banku -- wiem przynajmniej, że w przyszłości trzeba się ich wystrzegać. Dodam tylko na koniec, że w mBanku nie miałem dotąd takich problemów.