Podziel się opinią o serwisie
popularne komentowane nowości

Biblioteka Wiedzy poleca

Office 365 - podręcznik użytkownika

Ta książka pokaże Ci, jak wykorzystać chmurowe przetwarzanie danych - a konkretnie Office 365 - aby robić więcej, współpracować łatwiej i działać...
pobierz »

Jak zwiększyć wydajność infrastruktury serwerowej oszczędzając czas i pieniądze? Nowoczesne rozwiązania serwerowe

Niniejszy dokument ma na celu zaprezentowanie sposobów na poprawę funkcjonowania i efektywności działania infrastruktury serwerowej w firmie lub...
pobierz »

Dlaczego warto korzystać z Office 365?

Jakie funkcje i możliwości Microsoft Office 365 decydują o tym, że warto wybrać to rozwiązanie zamiast tradycyjnego pakietu Office i rozwiązań...
pobierz »

Więcej bezpłatnych raportów w serwisie
powiększ tekst >
AKTUALNOŚCI

Luka w DNS ujawniona - wkrótce ataki?

23 lipca 2008

Daniel Cieślak
Amerykańska firma Matasano przez przypadek opublikowała na swojej stronie internetowej szczegółowe informacje o wykrytej niedawno przez Dana Kaminsky'ego luce w systemie Domain Name System. Choć strona szybko zniknęła z Sieci, eksperci ds. bezpieczeństwa obawiają się, że wkrótce mogą powstać exploity umożliwiające wykorzystanie błędu do atakowania internautów.

"Hakerzy już z pewnością wzięli się za tworzenie exploitów - przypuszczam, że pierwsze działające kody pojawią się za kilka dni" - mówi Dave Aitel, szef działu IT firmy Immunity. Aitel dodaje też, że exploity tworzyć będą nie tylko przestępcy, ale także autorzy narzędzi do przeprowadzania testów penetracyjnych zabezpieczeń - "To przecież nie jest takie trudne zadanie - nie mamy tu do czynienia z rozpracowywaniem ludzkiego genomu" - dodaje przedstawiciel Immunity. Opinię Aitela potwierdza również słynny HD Moore (specjalista ds. bezpieczeństwa, autor popularnego pakietu narzędzi hakerskich Metasploit) - on również sądzi, że na skutecznego exploita wykorzystującego lukę w DNS poczekamy najwyżej kilkadziesiąt godzin.

Przypomnijmy: informacja o luce w Domain Name System pojawiła się na początku lipca, wraz z pakietem poprawek dla popularnych serwerów DNS. Dan Kaminsky ogłosił, że wykrył poważny błąd w protokole będącym podstawą komunikacji w Internecie. Okazało się, że wysłanie do serwera DNS serii odpowiednio przygotowanych zapytań może spowodować automatyczne przekierowanie "ofiary" z bezpiecznej witryny na niebezpieczną. Co ważne, cała operacja będzie dla atakowanego internauty zupełnie niezauważalna. Taka technika przestępcza nazywana jest "zatruwaniem" DNS (DNS poisoning) - do tej pory przestępcy korzystali jednak z niej raczej dzięki różnym lukom w aplikacjach instalowanych na pecetach. Tym razem problem jest znacznie poważniejszy, ponieważ luka dotyczy oprogramowania odpowiedzialnego za funkcjonowanie sieci WWW. Szerzej pisaliśmy na ten temat w tekście "Patch dla Internetu - DNS załatany".

Kaminsky zamierzał przedstawić szersze informacje na temat problemu na sierpniowej konferencji BlackHat - przez przypadek ubiegli go jednak pracownicy Matasano, którzy umieścili na stronie firmy szczegółowy opis problemu. Feralny dokument błyskawicznie został usunięty, jednak wiele osób z pewnością zdołało go skopiować.

Wiadomo już, że luka może łatwo zostać wykorzystana do atakowania indywidualnych internautów - gdy powstaną odpowiednie exploity, przestępcy będą w stanie przekierowywać użytkowników Internetu na niebezpieczne strony (błąd pozwala im na łatwe wprowadzenie niezbędnych modyfikacji do serwera DNS). Główni producenci serwerów DNS udostępnili już co prawda poprawki dla swoich produktów - jednak ich wdrożenie jest zwykle dość skomplikowane, dlatego też wielu operatorów serwerów DNS z pewnością jeszcze ich nie wdrożyło.

Z analiz przeprowadzonych przez Neala Krawetza, jednego z specjalistów zaangażowanych w rozwiązywanie problemu, wynika, że wiele firm oferujących dostęp do Internetu (ISP) wciąż jeszcze nie załatało swoich serwerów DNS. "To żenujące, że liderzy rynku dostępowego wciąż nie połatali swoich systemów. Informacja o luce już wypłynęła, przestępcy wkrótce zaczną z niej korzystać - to najwyższy czas, by instalować uaktualnienia" - mówi Krawetz.
Wystaw ocenę:
    Średnia ocena (liczba głosów: 2)
wydrukuj wydrukuj wyslij do znajomegowyślij do znajomego

Komentarze

Infro

  • ocena: brak oceny
  • IP: 83.9.156.66
  • 23-07-2008, 10:47

No i co z tego, że podczas łączenia z bankiem DNS przekieruje mnie na fałszywą stronę? Przeglądarka i tak ostrzeże mnie o niewłaściwym certyfikacie. Jak zwykle, najsłabszym ogniwem jest głupi użytkownik.

max

  • ocena: brak oceny
  • IP: 89.79.190.64
  • 23-07-2008, 11:04

re Infro: problemem jest nie głupi użytkownik, ale głupi administrator. Jeśli usera systematycznie przyzwyczaja się do widoku "certyfikat strony wygasł" albo "certyfikat niezgodny z...", bo leniwemu adminowi nie chce się tego poprawić, to w końcu userzy zaczynają ignorować wszelkie tego typu ostrzeżenia.
Citibank, dla przykładu, już nie raz miał wygasły certyfikat. Telefon do nich i próba wyjaśnienia sprawy spotykały się z kretyńskimi komentarzami typu "proszę zaktualizować windows" lub "nasz serwis działa poprawnie jedynie w Microsoft Internet Explorerze 6.0". Niech ich diabli wezmą za takie porady.