Luka w DNS ujawniona - wkrótce ataki?

Amerykańska firma Matasano przez przypadek opublikowała na swojej stronie internetowej szczegółowe informacje o wykrytej niedawno przez Dana Kaminsky'ego luce w systemie Domain Name System. Choć strona szybko zniknęła z Sieci, eksperci ds. bezpieczeństwa obawiają się, że wkrótce mogą powstać exploity umożliwiające wykorzystanie błędu do atakowania internautów.

"Hakerzy już z pewnością wzięli się za tworzenie exploitów - przypuszczam, że pierwsze działające kody pojawią się za kilka dni" - mówi Dave Aitel, szef działu IT firmy Immunity. Aitel dodaje też, że exploity tworzyć będą nie tylko przestępcy, ale także autorzy narzędzi do przeprowadzania testów penetracyjnych zabezpieczeń - "To przecież nie jest takie trudne zadanie - nie mamy tu do czynienia z rozpracowywaniem ludzkiego genomu" - dodaje przedstawiciel Immunity. Opinię Aitela potwierdza również słynny HD Moore (specjalista ds. bezpieczeństwa, autor popularnego pakietu narzędzi hakerskich Metasploit) - on również sądzi, że na skutecznego exploita wykorzystującego lukę w DNS poczekamy najwyżej kilkadziesiąt godzin.

Przypomnijmy: informacja o luce w Domain Name System pojawiła się na początku lipca, wraz z pakietem poprawek dla popularnych serwerów DNS. Dan Kaminsky ogłosił, że wykrył poważny błąd w protokole będącym podstawą komunikacji w Internecie. Okazało się, że wysłanie do serwera DNS serii odpowiednio przygotowanych zapytań może spowodować automatyczne przekierowanie "ofiary" z bezpiecznej witryny na niebezpieczną. Co ważne, cała operacja będzie dla atakowanego internauty zupełnie niezauważalna. Taka technika przestępcza nazywana jest "zatruwaniem" DNS (DNS poisoning) - do tej pory przestępcy korzystali jednak z niej raczej dzięki różnym lukom w aplikacjach instalowanych na pecetach. Tym razem problem jest znacznie poważniejszy, ponieważ luka dotyczy oprogramowania odpowiedzialnego za funkcjonowanie sieci WWW. Szerzej pisaliśmy na ten temat w tekście "Patch dla Internetu - DNS załatany".

Kaminsky zamierzał przedstawić szersze informacje na temat problemu na sierpniowej konferencji BlackHat - przez przypadek ubiegli go jednak pracownicy Matasano, którzy umieścili na stronie firmy szczegółowy opis problemu. Feralny dokument błyskawicznie został usunięty, jednak wiele osób z pewnością zdołało go skopiować.

Wiadomo już, że luka może łatwo zostać wykorzystana do atakowania indywidualnych internautów - gdy powstaną odpowiednie exploity, przestępcy będą w stanie przekierowywać użytkowników Internetu na niebezpieczne strony (błąd pozwala im na łatwe wprowadzenie niezbędnych modyfikacji do serwera DNS). Główni producenci serwerów DNS udostępnili już co prawda poprawki dla swoich produktów - jednak ich wdrożenie jest zwykle dość skomplikowane, dlatego też wielu operatorów serwerów DNS z pewnością jeszcze ich nie wdrożyło.

Z analiz przeprowadzonych przez Neala Krawetza, jednego z specjalistów zaangażowanych w rozwiązywanie problemu, wynika, że wiele firm oferujących dostęp do Internetu (ISP) wciąż jeszcze nie załatało swoich serwerów DNS. "To żenujące, że liderzy rynku dostępowego wciąż nie połatali swoich systemów. Informacja o luce już wypłynęła, przestępcy wkrótce zaczną z niej korzystać - to najwyższy czas, by instalować uaktualnienia" - mówi Krawetz.


Zobacz również