Szerző: Bodnár Ádám

2008. augusztus 8. 16:01

A magyar névszerverek kétharmada sebezhető

A hazai DNS-szerverek közel kétharmadára még nem telepítették azt a javítást, amely a Dan Kaminsky által felfedezett sebezhetőséget küszöböli ki -- derül ki a BME Híradástechnikai tanszékének kritpográfiával és biztonsággal foglalkozó laboratóriuma által tegnapelőtt elvégzett felmérésből , amely több mint 5800 DNS-szerverre terjedt ki.

[HWSW] A hazai DNS-szerverek közel kétharmadára még nem telepítették azt a javítást, amely a Dan Kaminsky által felfedezett sebezhetőséget küszöböli ki -- derül ki a BME Híradástechnikai tanszékének kritpográfiával és biztonsággal foglalkozó laboratóriuma által tegnapelőtt elvégzett felmérésből, amely több mint 5800 DNS-szerverre terjedt ki.

Sok a sérülékeny szerver

A DNS-hiba a cache "megmégezését" teszi lehetővé, ez lényegében lehetővé teszi a támadók számára, hogy a névkiszolgálóhoz érkező kéréseket átirányítsák. A sikeres támadáshoz elengedhetetlenül szükséges, hogy a DNS szerver válaszoljon a támadó kéréseire, a megvizsgált szerverek jelentős többsége szerencsére úgy volt konfigurálva, hogy ne fogadjon "kívülről" kéréseket, illetve rekurzív kéréseket. A megvizsgált 5861 DNS-szerverből 2107 hajtott végre lekérdezést, amelyek közül 1437 volt sebezhető -- ez az összes szerver 24,5 százaléka, de a lekérdezést végrehajtóknak 68 százaléka.

A tanulmány szerzői mindazonáltal megjegyzik, hogy ha egy szerver nem válaszol a külső kérésre, az nem jelent védettséget. "Nagyon könnyen elérhető az, hogy a védettnek tűnő szerver a támadó által igényelt DNS lekérdezést végezze el, tucatnyi példát mutat erre Kaminsky is előadásában. Ezért a bezárt, csak belső hálózatból elérhető szerverek elleni külső támadás igencsak elképzelhető, tűzfalas technikával, szoftverfrissítés nélkül nem lehet biztonságos helyzetet teremteni" -- olvasható a Bencsáth Boldizsár és Buttyán Levente által jegyzett cikkben.


Világszerte gyorsan javították a DNS szervereket

Milyen támadások várhatók?

A szerzők szerint a sebezhetőséget sokféleképpen ki lehet használni, leginkább phishingre, de akár levelezőrendszerek is támadhatók -- bűnözők akár módosíthatják a leveleket is. "Levelezésnél a támadás sikere nem csak attól függ, hogy a saját internetszolgáltatónk védett-e, hanem attól is, hogy a partnerünk védett szolgáltatókon küldi-e tovább a válaszlevelet. Elég egy védtelen állomás, és a levél lehallgatható, vagy módosítható lehet" -- mondta a HWSW-nek Bencsáth Boldizsár, a szerzők egyike.

Elképzelhető támadási mód még, hogy bűnözők valamelyik szoftver automatikus frissítési szolgáltatásán keresztül saját kártékony kódjukat csempészik a sebezhető DNS-hez csatlakozó felhasználók gépére. Ha a támadók elég rafináltak, akár még SSL/TLS-en védett, titkosított csatornán zajló kommunikációt is meg tudnak fertőzni, hiszen az is DNS-ek használatával zajlik. A tanulmány szerzői szerint a sérülékenységet spamküldésre is fel lehet használni.

A BME-n megvizsgálták a legnagyobb hazai internetszolgáltatók névszervereit, az eredmények megnyugtatónak tűnnek: a tizenöt legnagyobb szolgáltató közül csak kettőt találtak, amely rendelkezett sebezhető DNS-szerverekkel.

Nagyon széles az a skála, amin az állásinterjú visszajelzések tartalmi minősége mozog: túl rövid, túl hosszú, semmitmondó, értelmetlen vagy semmi. A friss heti kraftie hírlevélben ezt jártuk körül. Ha tetszett a cikk, iratkozz fel, és minden héten elküldjük emailben a legfrissebbet!

a címlapról