Открих много добре написана статия на български ( заедно с описание как работи DNS ) за DNS отравянето ( т.нар “на Камински”), което нашумя преди около месец. Статията е превод, но добър и изпада в доста технически детайли за същността на атаката. Има само няколко неща, които бих искал да добавя:
“Пробива на Камински” се появиоще в края на Юни, когато група турски хакери успяха да отровят сървъра не на друг, а на самите IANA и ICANN - организации, които лежат в основата на създаването и поддръжането на Интернет. Тази атака се случи седмици преди видният експерт по сигурността Дан Камински да публикува частична информация за уязвимостта и в последствие да я изследва в детайли и да участва в разработката на кръпки за основните софтуерни пакет. Можете да намерите много интересно видео, в което той обяснява уязвимостта на BlackHat конференцията тук.
Уязвимостта засяга ВСИЧКИ DNS сървъри. Ако администрирате сървър на имена, инсталирайте си нова версия - която използва наистина случайни номера на заявките. Това ще затрудни неимоверно много отравянето на сървъра. Случайните номера не решават напълно проблема обаче - руски експерт успя да отрови напълно ъпдейтнат сървър в рамките на 10 часа, използвайки две атакуващи машини, свързани с гигабитова връзка към жертвата. Това е схема, трудно приложима към реални условия, но все пак възможността съществува. За пълно решение на проблема повечето експерти смятат, че Интернет трябва да премине към използването на DNSSEC. Както всяка основна промяна обаче, и тази ще отнеме доста време, усилия и нерви.
Можете да тествате дали сървърите, които вие ползвате са защитени от отравяне. Защитеният сървър трябва да покаже случайно разхвърляни ID-та на графиката. Ако сървърите, които ползвате не са пачнати и нямате управление върху тях, то можете да преминете към ползване на OpenDNS например, като временно или постоянно решение - OpenDNS предлага доста екстри към защитата от отравяне.
И за десерт, може би не се набляга достатъчно на сериозността на този тип атака - при компрометиране на сървър за име може да доведе до пренасочване на неподозиращите жертви към зловреден сайт, като при това няма да сработи нито един от механизмите за защита, вградени в браузъра или чрез допълнителни програми. Тези защити също разчитат на DNS системата да разпознаят потенциално зловредни сайтове и пренасочвания. Напълно е възможно дори да бъде подменен сертификата и “жертвата” да вярва, че отваря сигурна HTTPS сесия към познатия си сървър ( дори сертификатите се проверяват срещу DNS името ). Особено неприятното е, че атаката не е насочена директно към компютрите на жертвите и дори да сте защитени от 3 файъруола, стига един податлив сървър по пътя, който да компрометира всичко. Типичен пример е отравянето на DNS сървърите на China Netcom - един от най-големите доставчици в Китай. Отровените сървъри пренасочват посетителите към зловреден сайт, който се опитва да инсталира купчина експлойти за популярен софтуер. Затова - проверете сървърите, които ползвате и вземете необходимите мерки.
картинката е от http://commons.wikimedia.org/wiki/Image:Binary_tree.png под СС лиценз
Technorati : dns poisoning, name server poisoning, отравяне на сървър, сървър за имена
September 12th, 2008 от 
singu
Няма коментари »
Официално беше потвърдено 
