Gyurkity Péter
Sebezhető a DNS szerverek nagy része
Amerikai adatok szerint az internetes domain nevek visszafejtését végző, hiteles DNS szerverek háromnegyede sebezhető külső támadással szemben, legtöbbször a szükséges intézkedések hiánya miatt.
A hálózati infrastruktúra fejlesztésére szakosodott amerikai Measurement Factory mintegy 7,5 millióra becsüli a külső DNS szerverek számát. Ebből körülbelül 1,3 milliót vontak be legújabb felmérésükbe, amely a szerverek biztonságát volt hivatott feltérképezni. A végeredmény meglepő, és egyben lesújtó volt: a megvizsgált szerverek 75 százaléka, azaz háromnegyede bizonyult sebezhetőnek, amit több okkal magyaráztak.
A cég főleg zóna átviteli és egyéb kérelmek révén hajtotta végre vizsgálatát. A megvizsgált szerverek csaknem fele tetszőleges kérelmet végrehajtott, és nem kizárólag megbízható ügyfelek számára. Egy részük ráadásul az általánosan elterjedt BIND szoftver régebbi verzióját használta, ami szintén támadható. Ennél is nagyobb probléma viszont, hogy legnagyobb részük - 75 százalékuk - bárki számára felkínálta a "recursive name" szolgáltatást, amikor a saját tárában nem található DNS neveket egyéb szerverek lekérdezésével igyekszik visszafejteni. Szakértők szerint ezt a szolgáltatást csak korlátozott számú, megbízható kliens számára lenne szabad engedélyezni, mivel megnyitja az utat a tárolt adatok kívülről történő módosítása, illetve a DoS-támadások felé.
A DNS szerverek sebezhetősége egyáltalán nem új felfedezés. Több szakember már évek óta hangsúlyozza a biztonság fokozásának jelentőségét, eddig kevés sikerrel. Az F-Secure az első félévet vizsgáló júliusi jelentésében leszögezte, hogy idén tovább növekedett az ilyen jellegű támadások, főleg az eltérítéses adatlopások száma. Ez más néven a "pharming", vagyis a webhely nevének megszerzése, és forgalmának átirányítása egy másik weboldalra. Ha a forgalmat fogadó weboldal hamisítvány, például egy bank weboldalának másolata, akkor felhasználható adathalászatra, azaz egy felhasználó jelszavának, PIN-kódjának, számlaszámának vagy egyéb személyes adatának ellopására.
A támadók a zóna átviteli kérelmek segítségével megállapíthatják a DNS szerverek közötti kapcsolatokat, és módosíthatják a tárolt adatokat, saját, fertőzött oldalaikra irányítva a felhasználót. Ezt megkönnyítheti a szerver által használt szoftver elavultsága, amely nem nyújt kellő védettséget az ilyen jellegű akciók ellen. Bár a Measurement Factory által megvizsgált 1,3 millió szerver 57 százaléka a BIND legújabb, 9.x verzióját használja, egyötödük régebbi változatokkal kénytelen beérni. Megoldásként szoftverfrissítést, a rekurzív kérelmek tiltását, a forgalom szűrését, valamint egyéb óvintézkedéséket javasolnak.
A hálózati infrastruktúra fejlesztésére szakosodott amerikai Measurement Factory mintegy 7,5 millióra becsüli a külső DNS szerverek számát. Ebből körülbelül 1,3 milliót vontak be legújabb felmérésükbe, amely a szerverek biztonságát volt hivatott feltérképezni. A végeredmény meglepő, és egyben lesújtó volt: a megvizsgált szerverek 75 százaléka, azaz háromnegyede bizonyult sebezhetőnek, amit több okkal magyaráztak.
A cég főleg zóna átviteli és egyéb kérelmek révén hajtotta végre vizsgálatát. A megvizsgált szerverek csaknem fele tetszőleges kérelmet végrehajtott, és nem kizárólag megbízható ügyfelek számára. Egy részük ráadásul az általánosan elterjedt BIND szoftver régebbi verzióját használta, ami szintén támadható. Ennél is nagyobb probléma viszont, hogy legnagyobb részük - 75 százalékuk - bárki számára felkínálta a "recursive name" szolgáltatást, amikor a saját tárában nem található DNS neveket egyéb szerverek lekérdezésével igyekszik visszafejteni. Szakértők szerint ezt a szolgáltatást csak korlátozott számú, megbízható kliens számára lenne szabad engedélyezni, mivel megnyitja az utat a tárolt adatok kívülről történő módosítása, illetve a DoS-támadások felé.
A DNS szerverek sebezhetősége egyáltalán nem új felfedezés. Több szakember már évek óta hangsúlyozza a biztonság fokozásának jelentőségét, eddig kevés sikerrel. Az F-Secure az első félévet vizsgáló júliusi jelentésében leszögezte, hogy idén tovább növekedett az ilyen jellegű támadások, főleg az eltérítéses adatlopások száma. Ez más néven a "pharming", vagyis a webhely nevének megszerzése, és forgalmának átirányítása egy másik weboldalra. Ha a forgalmat fogadó weboldal hamisítvány, például egy bank weboldalának másolata, akkor felhasználható adathalászatra, azaz egy felhasználó jelszavának, PIN-kódjának, számlaszámának vagy egyéb személyes adatának ellopására.
A támadók a zóna átviteli kérelmek segítségével megállapíthatják a DNS szerverek közötti kapcsolatokat, és módosíthatják a tárolt adatokat, saját, fertőzött oldalaikra irányítva a felhasználót. Ezt megkönnyítheti a szerver által használt szoftver elavultsága, amely nem nyújt kellő védettséget az ilyen jellegű akciók ellen. Bár a Measurement Factory által megvizsgált 1,3 millió szerver 57 százaléka a BIND legújabb, 9.x verzióját használja, egyötödük régebbi változatokkal kénytelen beérni. Megoldásként szoftverfrissítést, a rekurzív kérelmek tiltását, a forgalom szűrését, valamint egyéb óvintézkedéséket javasolnak.