Nem törődnek a cégek a DNS biztonságával
Tavaly nyáron kezdődött meg a védett domain névrendszer, a DNSSEC bevezetése az internetezés biztonságosabbá tétele érdekében, az adoptáció azonban siralmas képet fest, derül ki egy friss felmérésből. A DNS továbbra is könnyedén támadható.
Hiába történt meg tavaly a 13 gyökér névszerver frissítése a DNSSEC, vagyis a Domain Name System Security Extensions specifikációinak megfelelően, a világszerte megtalálható több millió DNS-szerver közül alig néhány vesz részt az azonosítási láncolatban, és alkalmazza a mechanizmus által kínált magasabb biztonsági szintet. A megfelelő elterjedés nélkül a DNSSEC haszontalan, és a DNS manipulációján keresztül továbbra is el lehet téríteni a felhasználókat.
Az Infoblox szkennelése által azonosított DNS-zónákból szinte elhanyagolható mennyiségű rendelkezett DNSSEC aláírással, vagyis hitelesítéssel ahhoz, hogy egy lekért domain zónájában adott DNS-szerver jogosan vesz részt, továbbítja vagy oldja fel maga a lekérést, és ilyen formában legitim IP-címet ad vissza. Ez az arány, vagyis a működő, aláírt DNSSEC szerverek részesedése egészen pontosan 0,022 százalék volt a vizsgált .org, .com és .net tartományokban, ami ugyanakkor így is több mint négyszerese a tavalyinak. Ezeknek is negyede azonban lejárt aláírással rendelkezett, vagyis elbukott a teszten.
Ha ez magas növekedési ütem maradna is, akkor is több mint három évre volna szükség, hogy a többség alkalmazza a rendszert, és nagyjából ötre, hogy kikényszeríthetővé váljon a teljes interneten. Igaz, a terjedést késleltette az is, hogy hitelesítési lánc eddig a legtöbb legfelsőbb szintű tartományban (TLD) megszakadt, ezt erősíti meg az is, hogy a .org TLD alatt már magasabb arány mutatkozik, mint a hitelesítés előtt álló .net és .com esetén, amelyeknek jövő tavaszra várható a hitelesítésük, a VeriSign jóvoltából. Ezt követően az ezeket kezelő felső szintű DNS-szerverek megkapják a privát kulcsokat a digitális aláírások generálásához.
AI az IT-ban: ennek már fele sem tréfa Június 16-án érkezik az idei első kraftie meetup!
Az Infoblox szerint mindez azt mutatja, hogy a szervezetek és rendszergazdák az elmúlt években tapasztalt súlyos kockázatokon és problémákon könnyen túltették magukat, és nem veszik komolyan a DNS támadhatóságában rejlő veszélyeket. Jövőre, hogyan a TLD-k is kapnak megbízható aláírást a DNSSEC mechanizmusban, csak magukat okolhatják majd a rendszergazdák, ha például DNS cache poisoning áldozatául esnek felhasználóik.
A védelem működésének lényege, hogy a DNS által adott válaszok mindegyike digitálisan aláírt, amelynek ellenőrzésével a kliens meggyőződhet arról, hogy a kapott adatok megfelelnek-e a megbízható DNS-szerver által elküldöttekkel. A digitális aláírás nyilvános (aszimmetrikus) kulcsos titkosításra épít, vagyis a megadott nyilvános kulccsal kizárólag akkor lehet visszaolvasni az aláírást, ha hiteles forrásból, a megfelelő magánkulccsal kódolták le. Ehhez természetesen szükséges a kliensoldali támogatás is, a modern operációs rendszerekben már megjelent ez a képesség, felkészülve a DNSSEC várható bevezetésére, így a kapott aláírást egy hitelesítési láncon (authentication chain) keresztül megtalálható nyilvános kulccsal kell dekódolni.