Έρευνα: Ένας διακομιστής DNS στα 10 είναι «ευάλωτος»

που είναι αρκετοί μήνες από τότε που αποκαλύφθηκαν τα τρωτά σημεία και οι διορθώσεις καθίστανται διαθέσιμες, δήλωσε ο εμπειρογνώμονας του DNS Cricket Liu, η εταιρεία του Infoblox ανέθεσε την ετήσια έρευνα.

"Εκτιμούμε ότι υπάρχουν 11.9 εκατομμύρια nameservers εκεί έξω και πάνω από 40 τοις εκατό επιτρέπουν ανοικτή αναδρομή, έτσι ώστε να δέχονται ερωτήματα από οποιονδήποτε, από τους οποίους ένα τέταρτο δεν έχει διορθωθεί, οπότε υπάρχουν 1.3 εκατομμύρια nameservers που είναι τρωκά ευπαρουσίαστοι », δήλωσε ο Liu, ο αντιπρόεδρος της αρχιτεκτονικής της Infoblox

[Περαιτέρω ανάγνωση: Πώς να αφαιρέσετε κακόβουλα προγράμματα από τον άνεμο σας

Οι άλλοι διακομιστές DNS μπορούν να επιτρέψουν την επανάληψη, αλλά δεν είναι ανοιχτοί σε όλους, οπότε δεν είχαν ληφθεί από την έρευνα.

Ο Liu δήλωσε ότι η ευπάθεια της δηλητηρίασης από την κρυφή μνήμη, που συχνά ονομάζεται Ο Dan Kaminsky, ο ερευνητής της ασφάλειας που δημοσίευσε λεπτομέρειες τον Ιούλιο, είναι αυθεντικός: "Το Kaminsky εκμεταλλεύτηκε μέσα σε λίγες μέρες από την δημοσιοποίησή του", ανέφερε.

Ενότητες που στοχεύουν την ευπάθεια έχουν προστεθεί στο εργαλείο δοκιμής πειρατείας και διείσδυσης Metasploit, για παράδειγμα. Κατά ειρωνικό τρόπο, ένας από τους πρώτους διακομιστές DNS που διακυβεύονται από μια επίθεση δηλητηρίασης από τη μνήμη cache ήταν αυτός που χρησιμοποίησε ο συγγραφέας του Metasploit, HD Moore.

Προς το παρόν, το αντίδοτο στο ελάττωμα δηλητηρίασης από την κρυφή μνήμη είναι η τυχαιοποίηση των λιμένων. Με την αποστολή ερωτημάτων DNS από διαφορετικές θύρες προέλευσης, αυτό καθιστά πιο δύσκολο για έναν εισβολέα να μαντέψει ποια θύρα θα στείλει δηλητηριασμένα δεδομένα.

Ωστόσο, αυτό είναι μόνο μια μερική αποτύπωση, προειδοποίησε ο Liu. "Η τυχαιοποίηση των λιμένων μετριάζει το πρόβλημα, αλλά δεν κάνει αδύνατη την επίθεση", είπε. "Είναι πραγματικά απλά ένα stopgap στο δρόμο για τον κρυπτογραφικό έλεγχο, πράγμα που κάνει οι επεκτάσεις ασφαλείας DNSSEC.

" Το DNSSEC πρόκειται να πάρει πολύ περισσότερο χρόνο για να το υλοποιήσει όμως, καθώς υπάρχει πολλή υποδομή που εμπλέκεται - κλειδί διαχείριση, υπογραφή ζώνης, υπογραφή δημόσιου κλειδιού κ.ο.κ. Θεωρήσαμε ότι θα μπορούσαμε να δούμε μια αξιοσημείωτη ανάκαμψη στην υιοθέτηση του DNSSEC φέτος, αλλά είδαμε μόνο 45 εγγραφές DNSSEC από ένα εκατομμύριο δείγμα. Πέρσι είδαμε 44. "

Ο Liu είπε ότι από την θετική πλευρά, η έρευνα έδειξε αρκετά καλά νέα. Για παράδειγμα, η υποστήριξη για το SPF - το πλαίσιο πολιτικής του αποστολέα, το οποίο καταπολεμά την spoofing του ηλεκτρονικού ταχυδρομείου - αυξήθηκε τους τελευταίους 12 μήνες από 12,6% των ζωνών που έχουν δειχθεί στο 16,7%

Επιπλέον, ο αριθμός των ανασφαλών συστημάτων Microsoft DNS Server που συνδέονται με το Internet μειώθηκε από 2,7% του συνόλου σε 0,17%. αυτά τα συστήματα θα μπορούσαν ακόμα να χρησιμοποιηθούν μέσα σε οργανισμούς, αλλά είπε ότι το σημαντικό είναι ότι "οι άνθρωποι αποφεύγουν να τις συνδέουν με το Διαδίκτυο."

Κοιτάζοντας μπροστά, ο Liu είπε ότι μόνο οργανισμοί με συγκεκριμένη ανάγκη για ανοικτό αναδρομικό DNS οι διακομιστές - και η τεχνική δυνατότητα να τους αποτρέψει από το να πλημμυρίζουν - θα πρέπει να τις τρέχουν.

"Θα ήθελα πολύ να δω το ποσοστό των ανοικτών επαναδρομικών διακομιστών να κατεβαίνουν, διότι ακόμη και αν είναι επιδιορθωμένοι δημιουργούν μεγάλους ενισχυτές για άρνηση επιθέσεις ", είπε." Δεν μπορούμε να απαλλαγείτε από τους αναδρομικούς διακομιστές, αλλά δεν χρειάζεται να επιτρέπετε σε κανέναν να τις χρησιμοποιήσει. "