Въпреки желанието на Камински да съобщи подробности около пролуката в сигурността на DNS по време на семинара Black Hat в Лас Вегас на 6 август публикувания в редица сайтове опасен код, позволяващ атакуване на системата за домейн имена, го накара да направи това по-рано.
През февруари тази година спецът по сигурността в компанията IOActive забеляза опасна пролука в начина по който се достъпват ресурсите в Интернет, която би улеснила неимоверно много фишинга и кражбите на лични данни, например чрез пренасочване към фалшиви сайтове.
Поради сериозността на проблема обаче, уязвимостта на DNS получи широка гласност едва в началото на юли, след като на компаниите се предостави време да създадат пачове към системите си преди злонамерени потребители да могат да се възползват.
В блога си Дан Камински обяснява, че целта на всяка DNS атака е да се открие уникалния идентификатор на транзакцията (TXID), след което е възможно тя да се пренасочи практически навсякъде - например към фалшив сайт на вашата банка, където да оставите номера на кредитни карти, сметки и т.н.
| Дан Камински |
“Да си представим DNS като надпревара между “добрия” и “лошия”. Когато се изпрати заявка и двамата искат върнатия резултат да буди доверие в получателя. Към всяка заявка се добавя таен номер от 0 до около 65 000 и за да бъде заявката успешна отговора трябва да съдържа същия номер. Така че шансовете на “лошия” да го отгатне са доста малки: 1 на 65 000.” |
Риска при тази ситуация всъщност се състои от 3 проблема :
Първо, дори да не знае ID-то на заявката злонамерения потребител винаги може да я стартира преди обикновенния и да се опита да го познае, колкото и малка да е вероятността за това.
Втория по-сериозен проблем е, че атаката може да се проведе не само от един злонамерен потребител, но от няколко заедно, които ще опитват да разберат тайния идентификатор дотогава, докато не бъде изпратена истинската заявка (тази, която го съдържа) - така вероятността той да бъде познат значително намалява.
Проблема, който дефинира Камински се основава на работата на сървърите при пренасочване на заявките към даден домейн, а именно случаите в които се получава рекурсия - когато някой поиска достъп до www.foobar.com, например сървъра може да се обърне към s1.foobar.com за да разбере IP адреса, който на свой ред да се обърне към s2.foobar.com и така нататък докато не се открие записа на адреса, отговарящ на името foobar.com
“Вместо да поиска достъп до www.foobar.com атакуващия може да изпрати заявки към s1.foobar.com, s2.foobar.com, s3.foobar.com и така нататък и за всяка от тях да се опита да открие идентификационния номер. Естествено шансовете му ще бъдат малки, дори да е в група от атакуващи, но какво би станало ако вместо по една заявка за даден адрес бъдат изпращани много и едновременно? Вероятността атаката да успее вече става голяма.” |
Ако атаката наистина успее ще се получи така нареченото “отравяне на паметта на DNS-a” (DNS cache poisoning) с фалшиви адреси на сайтове, които се ползват с доверие и тъй като един DNS сървър се ползва от много хора, вредите могат да се окажат наистина големи.
За щастие повечето компании вече са ъпгрейднали системите си, а процента на застрашените непрекъснато намалява.
В блога си Камински предоставя на посетителя и инструмент за проверка на сигурността на DNS сървъра, който той позлва. Според него обаче около 52% от сървърите са все още в потенциална опасност.
Източник: IDG.BG
* Моля, коментирайте конкретната статия и използвайте кирилица! Не се толерират мнения с обидно или нецензурно съдържание, на верска или етническа основа, както и написани само с главни букви!