Connect with us

technokrata

Rosszul konfigurált DNS szerverek fenyegetik az Internetet

Dotkom

Rosszul konfigurált DNS szerverek fenyegetik az Internetet

Számos domain name system szerver nem megfelelően van bekonfigurálva, vagy egyszerűen elavult szoftvereket használ, s így sebezhető a Világhálón keresztül, állítja egy nemrég elkészült tanulmány.

1. probléma
A domainneveket IP-címekre fordító DNS szerverek által használt BIND szoftver (melyet a domainnév feloldásra használnak) a vizsgált komputerek egyötödénél már elavult volt, állítja az a héten megjelent tanulmány, melyet a The Measurement Factory nevű, USA-beli vállalat készített. A 9-esnél korábbi változatok nyitva hagyják a pharming (egyfajta jelszóhalász próbálkozás) támadások előtt a kaput az úgynevezett „DNS cache poisoning” technika révén, állítja a tanulmány.

Ezzel az eljárással a támadó elérheti és átírhatja a DNS szerveren az ismert website-ok IP-címeit neki tetszőleges értékekre – nyilvánvalóan olyan módon, hogy az ismert URL-t begépelő internetező ne a megszokott oldalra, hanem egy másik site-ra jusson. Mivel a felhasználók többnyire nem fognak gyanút – a felkészült támadók ugyanis leutánozzák az eltérített website design-ját -, ezért sokkal könnyebben rávehetők személyes, titkos (például banki) adataik megadására. Ez a támadási forma természetesen arra is felhasználható, hogy a felhasználó számítógépére spyware-eket telepítsenek.

Thomas Kristensen, a dán, IT-biztonsággal foglalkozó Secunia képviseletében alátámasztotta, hogy a DNS szerverek durván 20 százalékán valóban idejét múlt szoftvereket futtatnak, de óvott a sebezhetőségek kockázatának túlbecslésétől. A BIND 8.x és 4.x verziói ugyanis a fent ismertetett módon nem támadhatók, közölte a szakértő.

2. probléma
A felmérés azonban rávilágított arra is, hogy az úgynevezett rekurzív névszolgáltatás szintén veszélyeket hordoz magában. Ezt az eljárást akkor használják a forward üzemmódban (is) működő DNS szerverek, ha a náluk található adatbázisban nem található a lekért weboldal IP-címe – ekkor a kérést továbbítják egy másik névszerver számára. Mindez egészen addig tart, amíg az egyik DNS szervernél rá nem akadnak a kívánt címre.

A The Measurement Factory 1,3 millió DNS szervert vizsgált át, és úgy találta, hogy több mint háromnegyedük minden kérelemnek eleget tesz a rekurzív névszolgáltatás tekintetében, érkezzen az akárhonnan is. A kutatást készítők szerint ez kockázati tényező, hiszen csak a megbízható felhasználóktól érkező kérelmeket kellene így kezelni. Egy elgondolás szerint ugyanis, ha egy hacker át tudta venni az ellenőrzést egy DNS szerver felett, akkor a szolgáltatás révén arra kényszeríthet más DNS szervereket, hogy vegyék fel a kapcsolatot a már sebezhető komputerrel – így pedig akár újabb DNS szervereket is megfertőzhet. Ezzel a technikával idővel egész sok számítógépet hajthat uralma alá a támadó.

3. probléma
A vizsgált DNS szerverek több mint 40 százalékáról kiderült, hogy bármilyen forrásból érkező zónaátviteli kérelmet engedélyeznek. Ez azért jelent gondot, mert – a jelentés szerint – emiatt szolgáltatásmegtagadásra (denial of service) irányuló támadásnak vannak kitéve a számítógépek, illetve ennek révén információkat lehet kiszivárogtatni a belső hálózatokról. Kristensen egyetértett azzal, hogy a szolgáltatás ilyen széleskörű engedélyezése rossz ötlet, és csak a belső ellenőrzés alatt álló, másodlagos névszerverek számára kellene lehetővé tenni.



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek