 Несколько
месяцев прошло после обнаружения уязвимости в системе DNS, позволяющей
управлять просмотром сайта пользователями. Однако, несмотря высказанный
крупнейшими компаниями призыв обновить программное обеспечение
серверов, более миллиона из них остаются уязвимыми. А это означает, что
практически любой интернет-пользователь не может себя чувствовать
безопасно во время интернет-серфинга и быть уверенным в том, что он
посещает именно те сайты, которые ему нужны, а не сайты-обманки. История с этой DNS-уязвимостью началась еще летом текущего
года. В конце июня специалист по безопасности Дэн Каминский (Dan
Kaminsky) обнаружил уязвимость в системе DNS, которая позволяла
подменять IP-адреса и перенаправлять пользователей на фальшивые сайты.
Атака использовала недостаточный размер поля с идентификационным
номером запроса (под query id отдано 16 бит) в DNS-пакете. Через две
недели после обнаружения уязвимости был разработан эксплоит для данного
вида атак. Автор эксплоита сообщил, что программе требуется от одной до
двух минут, чтобы внедрить запись в кэш DNS-сервер. Сам Дэн Камински
считает, что теоретически взломать DNS-сервер через эту дыру можно за
несколько секунд. Обезопасить свой DNS-сервер можно было установкой
обновлений для BIND.
Между тем, почти через полгода после обнаружения этой уязвимости
более 10% DNS-серверов остаются потенциально уязвимыми для новых атак.
Это означает, что приблизительно 1,3 миллиона DNS-серверов не содержат
обновленных патчей для устранения этой и других уязвимостей.
"Это означает, что люди, посещающие эти сайты, то есть использующие
имена этих серверов, находятся в очень опасной ситуации", - сказал
Крикет Лиу (Cricket Liu), вице-президент по архитектуре компании
Infoblox и автор нескольких книг по компьютерной безопасности.
На самом деле, уязвимых серверов гораздо больше. Специалисты
считают, что около 44% DNS-серверов могут быть использованы
злоумышленниками для атак и, в частности, для перенаправления
пользовательского трафика и доступа к другим сайтам
Причиной подобных атак являются запросы к DNS-серверам, работающим
в роли рекурсивного резолвера. Поместив в кэш DNS сервера некорректный
IP для резолвинга определенного домена, злоумышленник может таким
образом добиться того, что при последующем запросе информации о
заданном хосте пользователь получит неверный адрес DNS-сервера. Из 44%
рекурсивных DNS-серверов около 25% являются уязвимыми для такого рода
атак.
Эти данные являются результатом ежегодного отчета об анализе
DNS-серверов компании Infoblox. Для анализа используются случайно
выбранные 99,3 млн. IP-адресов и DNS- серверов в доменных зонах .COM и.
NET.
Способом решения проблемы уязвимостей в рекурсивных DNS-серверах
является система DNSSEC – система защиты доменных имен. Она позволяет
обеспечить переход на нужный пользователю ресурс точно по набранному в
адресной строке адресу без перенаправления на другие сайты.
|
