Patch dla Internetu - DNS załatany

Użytkownicy Internetu codziennie alarmowani są informacjami o lukach w popularnym oprogramowaniu, wymagających pilnego łatania. Rzadko jednak zdarza się, żeby uaktualnienia wymagał nie popularny system operacyjny czy aplikacja, lecz... sam Internet. Z taką sytuacją mamy właśnie do czynienia - załatany został bowiem poważny błąd w protokole będącym podstawą komunikacji w Internecie - DNS (Domain Name System). Luka ta została wykryta przez specjalistę ds. bezpieczeństwa, Dana Kaminsky'ego - z jego analiz wynika, że mogła posłużyć do oszukiwania internautów.

Kaminsky (ceniony specjalista z zakresu bezpieczeństwa sieciowego - obecnie pracownik firmy IOActive, wcześniej pracował m.in. w Cisco Systems) przyznaje, że wykrył błąd zupełnie przypadkowo, podczas prac nad innym projektem. Okazało się, że wysłanie do serwera DNS serii odpowiednio przygotowanych zapytań może spowodować automatyczne przekierowanie "ofiary" z bezpiecznej witryny na niebezpieczną. Co ważne, cała operacja będzie dla atakowanego internauty zupełnie niezauważalna.

Przestępcy trują DNS

Taka technika przestępcza nazywana jest "zatruwaniem" DNS (DNS poisoning) - do tej pory przestępcy korzystali jednak z niej raczej dzięki różnym lukom w aplikacjach instalowanych na pecetach. Tym razem problem jest znacznie poważniejszy, ponieważ luka dotyczy oprogramowania odpowiedzialnego za funkcjonowanie sieci WWW. Warto odnotować, że możliwości zastosowania DNS poisoning nie kończą się na podmienianiu stron WWW - teoretycznie możliwe jest przekierowanie każdego typu ruchu w Internecie.

DNS - na służbie od ćwierć wieku

DNS jest często określany jako książka telefoniczna Internetu - przyporządkowuje adresom IP nazwy i zapewnia, że użytkownicy i urządzenia posługujący się tymi nazwami trafiają do właściwych miejsc w Internecie. Tak wiec jeżeli serwery obsługujące DNS są źle skonfigurowane, sieć może działać nieprawidłowo, a co gorsza może być narażona na ataki zmierzające do fałszowania informacji adresowych DNS. Warto odnotować, że Domain Name System ma już... 25 lat - za datę jego stworzenia i uruchomienia uważa się czerwiec 1983 r. Więcej informacji na ten temat znaleźć można w tekście "DNS ma 25 lat".

"Ten błąd pozwalał przestępcom na przeprowadzenie ataku phishingowego bez potrzeby wysyłania jakichkolwiek e-maili, zachęcających do wejścia na złośliwą stronę. Przestępcy sami mogli skierować ofiary na oszukańczą witrynę" - tłumaczy Wolfgang Kandek, szef działu technicznego firmy Qualys.


Zobacz również