Το Internet παίρνει μια ενημερωμένη έκδοση κώδικα επειδή το σφάλμα DNS είναι σταθερό

Οι κατασκευαστές του λογισμικού που χρησιμοποιείται για τη σύνδεση ηλεκτρονικών υπολογιστών στο Διαδίκτυο συλλογικά κυκλοφόρησαν ενημερώσεις λογισμικού την Τρίτη για να διορθώσουν ένα σοβαρό σφάλμα σε ένα από τα υποκείμενα πρωτόκολλα του Διαδικτύου, το DNS (Domain Name System). ανακαλύφθηκε "με πλήρες ατύχημα" από τον Dan Kaminsky, ερευνητή με πωλητή ασφαλείας IOActive. Ο Καίνινσκυ, πρώην υπάλληλος της Cisco Systems, είναι ήδη γνωστός για την εργασία του στο δίκτυο.

Με την αποστολή ορισμένων τύπων ερωτημάτων στους διακομιστές DNS, ο επιτιθέμενος θα μπορούσε να ανακατευθύνει τα θύματα από έναν νόμιμο ιστότοπο -.com - σε κακόβουλο ιστοχώρο χωρίς να το καταλάβει το θύμα. Αυτός ο τύπος επίθεσης, γνωστός ως δηλητηρίαση DNS cache, δεν επηρεάζει μόνο τον Ιστό. Θα μπορούσε να χρησιμοποιηθεί για την ανακατεύθυνση όλων των επισκεψιμότητας του Διαδικτύου στους διακομιστές του hacker.

Το σφάλμα θα μπορούσε να εκμεταλλευτεί "σαν μια επίθεση phishing χωρίς να σας στείλει e-mail, δήλωσε ο Wolfgang Kandek, επικεφαλής τεχνικού γραφείου της εταιρείας Qualys.

Αν και αυτό το ελάττωμα επηρεάζει ορισμένους δρομολογητές οικίας και το λογισμικό DNS πελάτη, είναι κυρίως ένα ζήτημα για τους εταιρικούς χρήστες και τους ISPs που χρησιμοποιούν τους διακομιστές DNS από τους υπολογιστές για να βρουν το δρόμο τους γύρω από το Internet, είπε ο Kaminsky. Ο Καίνινσκυ, αφού ανακάλυψε το σφάλμα πριν από αρκετούς μήνες, ολοκλήρωσε αμέσως μια ομάδα περίπου 16 εμπειρογνωμόνων ασφαλείας, υπεύθυνων για τα προϊόντα DNS, που συναντήθηκαν στη Microsoft στις 31 Μαρτίου να σφυρηλατήσουμε έναν τρόπο επίλυσης του προβλήματος. "Επικοινώνησα με τους άλλους ανθρώπους και είπα:« Έχουμε ένα πρόβλημα », είπε ο Καμίνσκι. "Ο μόνος τρόπος που θα μπορούσαμε να κάνουμε είναι να είχαμε ταυτόχρονη κυκλοφορία σε όλες τις πλατφόρμες."

Αυτή η τεράστια επιδιόρθωση σφάλματος έγινε την Τρίτη όταν αρκετοί από τους πιο διαδεδομένους παρόχους λογισμικού DNS κυκλοφόρησαν ενημερώσεις κώδικα. Η Microsoft, η Cisco, η Red Hat, η Sun Microsystems και η Κοινοπραξία Λογισμικού Διαδικτύου, κατασκευαστές του πιο διαδεδομένου λογισμικού διακομιστή DNS, έχουν ενημερώσει το λογισμικό τους για την αντιμετώπιση του σφάλματος.

BIND ανοικτού κώδικα του Internet Software Consortium (Berkeley Internet Name Domain) λειτουργεί σε περίπου το 80% των διακομιστών DNS του Internet. Για τους περισσότερους χρήστες του BIND, η λύση θα είναι μια απλή αναβάθμιση, αλλά για το εκτιμώμενο 15% των χρηστών του BIND που δεν έχουν μετακινηθεί ακόμα στην τελευταία έκδοση του λογισμικού BIND 9, τα πράγματα μπορεί να είναι λίγο πιο δύσκολα. επειδή οι παλαιότερες εκδόσεις του BIND έχουν κάποια δημοφιλή χαρακτηριστικά που άλλαξαν όταν κυκλοφόρησε το BIND 9, σύμφωνα με τον Joao Damas, ανώτερο διευθυντή προγράμματος για την Κοινοπραξία Διαδικτυακού Λογισμικού.

Το σφάλμα του Kaminsky σχετίζεται με τον τρόπο με τον οποίο οι πελάτες DNS και οι διακομιστές λαμβάνουν πληροφορίες από άλλους διακομιστές DNS στο Internet. Όταν το λογισμικό DNS δεν γνωρίζει την αριθμητική διεύθυνση IP (Internet Protocol) ενός υπολογιστή, ζητά από έναν άλλο διακομιστή DNS για αυτές τις πληροφορίες. Με την δηλητηρίαση της κρυφής μνήμης, ο εισβολέας κόβει το λογισμικό DNS να πιστέψει ότι οι νόμιμοι τομείς, όπως το Bofa.com, αντιστοιχούν σε κακόβουλες διευθύνσεις IP.

Οι ερευνητές της ασφάλειας γνωρίζουν τρόπους για να ξεκινήσουν αυτές τις επιθέσεις δηλητηρίασης με cache ενάντια στους διακομιστές DNS εδώ και αρκετό καιρό, αλλά τυπικά αυτές οι επιθέσεις απαιτούν οι εισβολείς να στείλουν πολλά δεδομένα στο διακομιστή DNS που προσπαθούν να μολύνουν, πράγμα που καθιστά τις επιθέσεις ευκολότερο να ανιχνεύσουν και να μπλοκάρουν. Ωστόσο, ο Kaminsky ανακάλυψε έναν πολύ πιο αποτελεσματικό τρόπο για να ξεκινήσει μια επιτυχημένη επίθεση.

Επειδή το ελάττωμα του Kaminsky έγκειται στο σχεδιασμό του ίδιου του DNS, δεν υπάρχει εύκολος τρόπος να το διορθώσουμε, δήλωσε ο Damas. Αντ 'αυτού, εταιρείες όπως το ISC έχουν προσθέσει ένα νέο μέτρο ασφαλείας στο λογισμικό τους, το οποίο καθιστά πιο δύσκολη τη δηλητηρίαση από την κρυφή μνήμη.

Εντούτοις, μακροπρόθεσμα, ο αποτελεσματικότερος τρόπος αντιμετώπισης της δηλητηρίασης από τη μνήμη cache θα είναι η υιοθέτηση πιο ασφαλούς έκδοση του DNS, που ονομάζεται DNSSEC, δήλωσε ο Danny McPherson, επικεφαλής ερευνητής με την Arbor Networks. Η επιδιόρθωση της Τρίτης είναι βασικά "ένα hack που το καθιστά πολύ πιο δύσκολο", είπε. "Αλλά δεν διορθώνει το ριζικό πρόβλημα"

Ο Kaminsky λέει ότι θα δώσει στους διαχειριστές δικτύου ένα μήνα για να διορθώσουν το λογισμικό τους πριν αποκαλύψουν περισσότερες τεχνικές λεπτομέρειες σχετικά με το ελάττωμα στο συνέδριο Black Hat του επόμενου μήνα στο Λας Βέγκας. Εν τω μεταξύ, έχει δημοσιεύσει κώδικα στον ιστότοπό του, ο οποίος επιτρέπει στους χρήστες να δουν αν ο διακομιστής DNS του εταιρικού ή του ISP έχει τροποποιηθεί.