Anatomia ataku z wykorzystaniem DNS

Ataki, bez szans na obronę

Cyberprzestępcy, przeprowadzając ataki na serwery DNS, są w stanie przekierować cały ruch internetowy na swoje serwery, by dzięki temu wyszpiegować poufne informacje.

Serwery DNS (Domain Name System) to książka telefoniczna Internetu. Bez nich nie potrafilibyśmy wywołać żadnej strony internetowej, gdyż nasz komputer nie wiedziałby, w jaki sposób przyporządkować adres internetowy konkretnemu serwerowi. Po wpisaniu przez nas np. „chip.pl” komputer połączy się najpierw z najbliższym serwerem DNS, który odeśle informację, że za tekstem „chip.pl” kryje się adres IP 87.204.19.25. Dopiero teraz komputer jest w stanie połączyć się z urządzeniem o danym adresie IP. Cyberprzestępcy potrafią obecnie uzyskać dostęp do serwerów DNS, a następnie przekierować przepływ informacji na własne komputery. Cel: wyszpiegowanie poufnych informacji, np. haseł oraz kodów PIN umożliwiających dostęp do internetowych banków. Ofiary ataku nawet nie zdają sobie z powyższego sprawy, ponieważ lądują na właściwej stronie internetowej, a jedynie dane przekazywane są okrężną drogą – przez szpiegujący serwer.

Nieskuteczna ochrona: Nie pomaga nawet szyfrowanie

Przeprowadzanie tego typu ataków umożliwia hekerom fakt, że wszystkie serwery DNS w celu zminimalizowania przepływu informacji w Sieci zapisują swoje informacje w pamięci podręcznej. Specjalista ds. bezpieczeństwa Dan Kaminsky odkrył, w jaki sposób można pamięć podręczną zmodyfikować i w efekcie wysyłać błędne adresy IP do komputerów.

Zaprojektowano ochronę przed tego typu atakami, ale nie działa ona skutecznie. Każde zapytanie DNS ma długi na 16 bitów identyfikator transakcji, który powinien uniemożliwić wysyłanie błędnych pakietów odpowiedzi DNS. Odpowiedź serwera DNS musi zawierać ten sam identyfikator. Szansa na odgadnięcie klucza transakcji praktycznie wynosi zero – chyba że wykorzysta się sztuczkę. Kaminsky od razu zastosował kilka sztuczek. Przede wszystkim nawiązał z serwerem DNS tysiące jednoczesnych połączeń, w efekcie rezerwując kolejne identyfikatory transakcji. Już tylko dzięki temu potrafił przejąć około połowy z nich. Ekspert wykorzystał również kolejny słaby punkt systemu DNS: przeglądarka internetowa potencjalnej ofiary zawsze używa tego samego portu do wysłania zapytania, zamiast zmieniać numer portu, w efekcie utrudniając przeprowadzenie ataku. Na razie Kaminsky poinformował, że nie zdradzi, jakiego podstępu użył w celu podmiany zawartości pamięci podręcznej. Ma to zmusić  twórców oprogramowania do DNS do wydania poprawki.

Co prawda, na razie nic nie wskazuje na to, aby luka w serwerach DNS była już wykorzystywana, jednak na podstawie tego, że producenci oprogramowania zawarli swego rodzaju pakt o blokadzie informacji na ten temat, można się domyślać, jaki potencjał kryje się za tego typu atakiem. Nawet Microsoft czy Cisco nie przerywają wspomnianej ciszy komunikacyjnej.

Info: www.doxpara.com

0
Zamknij

Choć staramy się je ograniczać, wykorzystujemy mechanizmy takie jak ciasteczka, które pozwalają naszym partnerom na śledzenie Twojego zachowania w sieci. Dowiedz się więcej.