На 8 юли големите IT-корпорации синхронно пуснаха пачове, отстраняващи уязвимост в протокола DNS, която позволяваше на злонамерено пренасочване на посетители на произволен сайт към друг ресурс. Грешката е била открита още преди половин година, но е била премълчана.
Една от най-важните части на интернет, такъв какъвто го познаваме, е DNS-сървърите. Именно те знаят кой IP-адрес съответства на въведеното име на сайт (домейн) и обратно. Изписвайки в браузъра "lenta.ru", потребителят едва ли знае че бива пренасочен към ресурс с IP-адрес 81.19.69.28. Това знае DNS-сървърът, към който за подобна информация се обръща браузъра.
DNS-сървърът пази и обновява таблицата на съответствията. В Интернет има 13 основни DNS-сървъра и множество "подсървъри". Тяхните бази данни се опресняват на няколко часа.
Преди около половин година Дан Камински (Dan Kaminsky), специалист по компютърной безопасност от компанията IOActive, неочаквано за самия себе си открива уязвимост в DNS, която по-късно нарекли DNS Cache Poisoning.
Както се оказало, тази уязвимост съществува в много платформи, на ниво така близко да „ядрото" на интернет, до този момент нищо такова не било намирано.
Камински не започнал да продава уязвимостта на компаниите, занимаващи се с IT-безопасност. Той се обърнал направо към големите: Microsoft, Sun и Сisco.
Засега Камински не дава технически детайли, като отлага разкритията с месец, но най-общо казано механизмът на „дупката" е следния:
Когато потребителят прави заявка към DNS-сървър, на заявката се дава идентификационен номер (от 0 до 65535), който се генерира от генератор за псевдослучайни числя. Сървърът използва този номер за отговор, който съдържа исканата информация.
Генераторът на псевдослучайни числа е несъвършен. 65535 варианта явно са малко, за да гарантират защита от злонамерени действия. Теоретически хакерът може да налучка номера и да сформира фалшив отговор. Потребителят, въвеждайки адрес, ще бъде прехвърлен на съвсем друг сървър – например на фалшив интернет магазин. Хакерът би могъл да накара потребителски e-mail да минава през негов ресурс, вместо да отива по преденазначение.
И това съвсем не е всичко. Заявката остава в кеша на DNS-сървъра до следващето обновяване. Така резултатът от атаката ще трае минимум няколко часа.
Твърди се, станалото на 8 юли е най-голямото в историята на интернет поправяне на грешка. В действителност процесът само е започнал – на 9 юли много системни администратори започват да инсталират ъпдейтите.
Как големите компании една след друга пускат пачове за системите си може да бъде видяно на сайта на американската агенция CERT, която се занимавяа с въпросите на компютърната безопасност.
Интересна подробност е, че пачовете всъщност не отстраняват грешката докрай. Действително да бъде получен идентификационния номер сега е доста по-сложно.
Първо, той се генерира по алгоритъм, даващ разпределение много по-близко до случайното. Второ, вместо 16 бита за идентификационния номер за предвидени 32. Това означава, че да бъде намерен е станало около 60 хил. пъти по-трудно, не е невъзможно, твърдят от CERT. За да бъде окончателно отстранена грешката, трябва да бъде променен самия протокол DNS.
Камински, по всяка вероятност, от масовата работа над грешките е със смесени чувства. Последният постинг в блога му започва с поздравления и завършва с „необичайна и вероятно необоснована молба".
Той моли колегите си да изучат внимателно DNS, защото е възможно той да е пропуснал нещо, а иска семейството му да продължи да използва спокойно интернет.
Е, на кой не му се иска.
Това научихме от lenta.ru и мрежата, а който желае да провери своя DNS-сървър за уязвимост, ето и сайта на самия Дан Камински:
http://www.doxpara.com/
Една от най-важните части на интернет, такъв какъвто го познаваме, е DNS-сървърите. Именно те знаят кой IP-адрес съответства на въведеното име на сайт (домейн) и обратно. Изписвайки в браузъра "lenta.ru", потребителят едва ли знае че бива пренасочен към ресурс с IP-адрес 81.19.69.28. Това знае DNS-сървърът, към който за подобна информация се обръща браузъра.
DNS-сървърът пази и обновява таблицата на съответствията. В Интернет има 13 основни DNS-сървъра и множество "подсървъри". Тяхните бази данни се опресняват на няколко часа.
Преди около половин година Дан Камински (Dan Kaminsky), специалист по компютърной безопасност от компанията IOActive, неочаквано за самия себе си открива уязвимост в DNS, която по-късно нарекли DNS Cache Poisoning.
Както се оказало, тази уязвимост съществува в много платформи, на ниво така близко да „ядрото" на интернет, до този момент нищо такова не било намирано.
Камински не започнал да продава уязвимостта на компаниите, занимаващи се с IT-безопасност. Той се обърнал направо към големите: Microsoft, Sun и Сisco.
Засега Камински не дава технически детайли, като отлага разкритията с месец, но най-общо казано механизмът на „дупката" е следния:
Когато потребителят прави заявка към DNS-сървър, на заявката се дава идентификационен номер (от 0 до 65535), който се генерира от генератор за псевдослучайни числя. Сървърът използва този номер за отговор, който съдържа исканата информация.
Генераторът на псевдослучайни числа е несъвършен. 65535 варианта явно са малко, за да гарантират защита от злонамерени действия. Теоретически хакерът може да налучка номера и да сформира фалшив отговор. Потребителят, въвеждайки адрес, ще бъде прехвърлен на съвсем друг сървър – например на фалшив интернет магазин. Хакерът би могъл да накара потребителски e-mail да минава през негов ресурс, вместо да отива по преденазначение.
И това съвсем не е всичко. Заявката остава в кеша на DNS-сървъра до следващето обновяване. Така резултатът от атаката ще трае минимум няколко часа.
Твърди се, станалото на 8 юли е най-голямото в историята на интернет поправяне на грешка. В действителност процесът само е започнал – на 9 юли много системни администратори започват да инсталират ъпдейтите.
Как големите компании една след друга пускат пачове за системите си може да бъде видяно на сайта на американската агенция CERT, която се занимавяа с въпросите на компютърната безопасност.
Интересна подробност е, че пачовете всъщност не отстраняват грешката докрай. Действително да бъде получен идентификационния номер сега е доста по-сложно.
Първо, той се генерира по алгоритъм, даващ разпределение много по-близко до случайното. Второ, вместо 16 бита за идентификационния номер за предвидени 32. Това означава, че да бъде намерен е станало около 60 хил. пъти по-трудно, не е невъзможно, твърдят от CERT. За да бъде окончателно отстранена грешката, трябва да бъде променен самия протокол DNS.
Камински, по всяка вероятност, от масовата работа над грешките е със смесени чувства. Последният постинг в блога му започва с поздравления и завършва с „необичайна и вероятно необоснована молба".
Той моли колегите си да изучат внимателно DNS, защото е възможно той да е пропуснал нещо, а иска семейството му да продължи да използва спокойно интернет.
Е, на кой не му се иска.
Това научихме от lenta.ru и мрежата, а който желае да провери своя DNS-сървър за уязвимост, ето и сайта на самия Дан Камински:
http://www.doxpara.com/
Източник: Haskovo.NET