Luka w DNS: będą kolejne poprawki

Dan Kaminsky, specjalista ds. bezpieczeństwa, który wykrył poważny błąd w krytycznym dla funkcjonowania Internetu protokole Domain Name System, zapowiedział, że w najbliższych miesiącach pojawią się kolejne poprawki dla DNS. Pierwsze uaktualnienia udostępniono już 10 dni temu - jednak rozwiązały one problem tylko częściowo.

Kaminsky ujawnił podczas konferencji prasowej, że poprawki dla serwerów DNS, które kilka firm (w tym m.in. Microsoft oraz OpenDNS) udostępniło w minionym tygodniu nie rozwiązują problem, a jedynie tymczasowo utrudniają wykorzystanie luki do atakowania Internetów lub całego systemu DNS. Specjalista przypomniał też, że zamierza - zgodnie z wcześniejszymi zapowiedziami - ujawnić więcej informacji na temat problemu na konferencji Black Hat. Jego zdaniem, po tym spotkaniu wiele osób zapragnie sprawdzić, jak luka ta może zostać wykorzystana do atakowania Internetu i internautów - dlatego też niezbędne będzie przygotowanie kolejnych uaktualnień.

"Z całą pewności pojawi się kolejna fala poprawek dla produktów DNS - zostaną one opublikowane gdy tylko producenci wymyślą, jak można skutecznie rozwiązać ten problem. Celem uaktualnień udostępnionych w poprzednim tygodniu nie było usunięcie błędu - chodziło tylko o utrudnienie działań przestępców. Prace nad kolejnymi poprawkami już trwają - ale jest to dość złożony problem, ponieważ musimy nie tylko przygotować łatki, ale także upewnić się, że nie da się zastosować w nich inżynierii wstecznej w celu zidentyfikowania istoty problemu" - tłumaczył Dan Kaminsky. Specjalista potwierdził również podczas konferencji, że poprawki sprzed 10 dni najwyraźniej zrobiły to, czego od nich oczekiwano - DNS został tymczasowo zabezpieczony. "W minionych 10 dniach nie odnotowaliśmy żadnego ataku na infrastrukturę DNS" - powiedział Kaminsky.

Przypomnijmy: informacja o luce w Domain Name System pojawiła się w ubiegłym tygodniu, wraz z pakietem poprawek dla popularnych serwerów DNS. Dan Kaminsky ogłosił, że wykrył poważny błąd w protokole będącym podstawą komunikacji w Internecie. Okazało się, że wysłanie do serwera DNS serii odpowiednio przygotowanych zapytań może spowodować automatyczne przekierowanie "ofiary" z bezpiecznej witryny na niebezpieczną. Co ważne, cała operacja będzie dla atakowanego internauty zupełnie niezauważalna. Taka technika przestępcza nazywana jest "zatruwaniem" DNS (DNS poisoning) - do tej pory przestępcy korzystali jednak z niej raczej dzięki różnym lukom w aplikacjach instalowanych na pecetach. Tym razem problem jest znacznie poważniejszy, ponieważ luka dotyczy oprogramowania odpowiedzialnego za funkcjonowanie sieci WWW. Szerzej pisaliśmy na ten temat w tekście "Patch dla Internetu - DNS załatany".

Warto odnotować, że część specjalistów ds. bezpieczeństwa przyjęła dość sceptycznie rewelacje Kaminsky'ego - ich zdaniem problem nie jest aż tak poważny. Specjalista tłumaczył podczas konferencji, że rozumie ich rezerwę - jego zdaniem, wynika ona głównie z tego, że na razie nie ujawnił żadnych szczegółowych informacji na temat błędów. Kaminsky poprosił ich jednak o jeszcze trochę cierpliwości - przypomniał, że więcej danych udostępni na konferencji Black Hat w sierpniu. "Wiem, że to dość nietypowa sytuacja, ale naprawdę nie możemy powiedzieć na razie nic więcej. Gwarantuję wam jednak, że gdyby to nie było aż tak ogromne zagrożenie, nie wywoływalibyśmy aż tak wielkiego zamieszania" - oświadczył specjalista.


Zobacz również