Użytkownicy Internetu codziennie alarmowani są informacjami o lukach w popularnym oprogramowaniu, wymagających pilnego łatania. Rzadko jednak zdarza się, żeby uaktualnienia wymagał nie popularny system operacyjny czy aplikacja, lecz... sam Internet. Wczoraj mieliśmy do czynienia właśnie z taką sytuacją - załatany został bowiem poważny błąd w protokole, będącym podstawą komunikacji w Internecie - DNS-ie ( Domain Name System ). Luka ta została wykryta przez specjalistę ds. bezpieczeństwa, Dana Kaminsky'ego - z jego analiz wynika, że mogła posłużyć do oszukiwania internautów.
Kaminsky ( ceniony specjalista z zakresu bezpieczeństwa sieciowego - obecnie pracownik firmy IOActive, wcześniej pracował m.in. w Cisco Systems ) przyznaje, że wykrył błąd zupełnie przypadkowo, podczas prac nad innym projektem. Okazało się, że wysłanie do serwera DNS serii odpowiednio przygotowanych zapytań może spowodować automatyczne przekierowanie "ofiary" z bezpiecznej witryny na niebezpieczną. Co ważne, cała operacja będzie dla atakowane internauty zupełnie niezauważalna.
Przestępcy trują DNS
Taka technika przestępcza nazywana jest "zatruwaniem" DNS ( DNS poisoning ) - do tej pory przestępcy korzystali jednak z niej raczej dzięki różnym lukom w aplikacjach instalowanych na "pecetach". Tym razem problem jest znacznie poważniejszy, ponieważ luka dotyczy oprogramowania odpowiedzialnego za funkcjonowanie sieci WWW. Warto odnotować, że możliwości zastosowania DNS poisoning nie kończą się na podmienianiu stron WWW - teoretycznie możliwe jest przekierowanie każdego typu ruchu w Internecie.
_ "Ten błąd pozwalał przestępcom na przeprowadzenie ataku phishingowego bez potrzeby wysyłania jakichkolwiek e-maili, zachęcających do wejścia na złośliwą stronę. Przestępcy sami mogli skierować ofiary na oszukańczą witrynę" _ - tłumaczy Wolfgang Kandek, szef działu technicznego firmy Qualys.Z analiz przeprowadzonych przez Kaminsky'ego wynika, że luka co prawda występuje w oprogramowaniu stosowanym w niektórych domowych routerach oraz aplikacjach klienckich DNS - ale to nie użytkownicy indywidualni powinni zadbać o bezpieczeństwo. Uaktualnienia wymagają przede wszystkim serwery DNS należące do operatorów internetowych oraz dużych korporacji - to w ich przypadku przestępcom najłatwiej będzie wykorzystać luki do przeprowadzania ataków.
Masowe poprawki
Błąd wykryty został już kilka miesięcy temu - do tej pory nad rozwiązaniem problemu pracowała grupa kilkunastu ekspertów specjalizujących się w bezpieczeństwie DNS. _ "Po znalezieniu luki skontaktowałem się z 16 fachowcami od DNS i wspólnie staraliśmy opracować rozwiązanie. 31 marca spotkaliśmy się z przedstawicielami Microsoftu, zaś w kolejnych dniach - również z innymi firmami, których oprogramowanie wymagało załatania" _ - opowiada Dan Kaminsky. Specjalista mówi, iż niezwykle ważne było zsynchronizowanie prac nad poprawkami dla wszystkich platform - tak, aby jak najwięcej produktów DNS zostało załatanych jednocześnie. Ostatecznie uznano, że drugi wtorek lipca będzie optymalnym terminem - dlatego też dziś w nocy ( czasu polskiego ) odpowiednie poprawki udostępnili najwięksi gracze na rynku IT - Microsoft, Cisco, Red Hat, Sun Microsystems oraz Internet Software Consortium.
Ta ostatnia firma udostępnia open-source'owe oprogramowanie BIND ( Berkeley Internet Name Domain ) - wykorzystywane w ok. 80% światowych serwerów DNS. Przedstawiciele ISC podkreślają, że dla zdecydowanej większości użytkowników BIND uaktualnienie jest bardzo proste - wystarczy zainstalować odpowiedni upgrade. Więcej problemów będą mieli użytkownicy, którzy wciąż nie zaczęli korzystać z najnowszej wersji BIND - 9. W ich przypadku proces ten będzie zdecydowanie bardziej skomplikowany ( ISC szacuje, że ze starszych wersji wciąż korzysta ok. 15% użytkowników BIND ).Błąd wykryty przez Kaminsky'ego dotyczy sposóbu, w jaki serwery i klienty DNS uzyskują informacje od innych serwerów DNS. Gdy serwer DNS nie posiada informacji na temat adresu IP jakiegoś komputera, próbuje uzyskać tę informację od innego serwera ( legalnego ). Załatana właśnie luka pozwalała na wysłanie danych w taki sposób, iż serwer DNS uznawał za prawidłowe dane podsunięte mu przez przestępców ( poprzez "zatrucie" DNS ).
Przestępcy od lat próbowali korzystać z tej metody ataku - zwykle jednak wymagało to przesłania do serwera DNS ogromnej liczby danych - a wtedy specjaliści ds. bezpieczeństwa mogli bez problemu wykryć próbę ataku i zablokować ją. Gdyby jednak przestępcy zaczęli korzystać z luki wykrytej przez Kaminsky'ego, wtedy taki atak mógłby być praktycznie niewykrywalny.
Problem rozwiązany... nie do końca
Warto podkreślić, że błąd tkwi nie w oprogramowaniu obsługującym DNS, lecz w samym protokole - a to sprawie, że jego ostateczne załatanie nie będzie prostym przedsięwzięciem. Na razie zrobiono wszystko, by zminimalizować niebezpieczeństwo ataku - producenci oprogramowania DNS dodali do swoich produktów funkcje, blokujące wszystkie potencjalne metody wykorzystania luki do ataku. _ "Jedynym naprawdę skutecznym sposobem na ostateczne rozwiązanie problemu będzie wdrożenie nowej, bezpieczniejszej wersji DNS - DNSSEC. Uaktualnienia, które pojawiły się we wtorek, minimalizują niebezpieczeństwo - ale nie rozwiązują istoty problemu" _ - mówi Danny McPherson, szef działu badań firmy Arbor Networks.
Dan Kaminsky zapowiedział też, że da operatorom serwerów DNS miesiąc na zainstalowanie uaktualnień - później ujawni więcej informacji na temat luki ( nastąpi to na sierpniowej konferencji BlackHat ). Specjalista umieścił też na swojej stronie - http://www.doxpara.com aplikację, pozwalająca internautom sprawdzić, czy serwer DNS, z którego korzystają, jest podatny na opisany powyżej atak ( wystarczy kliknąć przycisk "Check my DNS" ).