Internet se stává opravou, protože chyba DNS je pevná

Výrobci softwaru používaného k připojení počítačů na Internetu kolektivně vydali aktualizaci softwaru v úterý, aby opravili závažnou chybu v jednom ze základních protokolů Internetu - Domain Name System (DNS).

Chyba byl objeven "úplnou havárii", od Dan Kaminsky, výzkumného pracovníka s bezpečnostním dodavatelem IOActive. Kaminsky, bývalý zaměstnanec společnosti Cisco Systems, je již známý svou prací v oblasti vytváření sítí.

Odesláním určitých typů dotazů na servery DNS by útočník mohl přesměrovat oběti z legitimní webové stránky - řekněme Bofa.com - na škodlivý web, aniž by si to oběť uvědomila. Tento typ útoku, známý jako otrava cache DNS, neovlivňuje pouze web. To může být použito k přesměrování veškeré internetové komunikace na servery hackerů.

[Další informace: Jak odstranit malware z počítače se systémem Windows]

Chyba by mohla být zneužita "jako phishingový útok bez zasílání e-mailu, "řekl Wolfgang Kandek, technický ředitel společnosti Qualys.

I když tato chyba ovlivňuje některé domácí směrovače a klientský DNS software, je to většinou problém pro firemní uživatele a poskytovatele internetových služeb (ISP), kteří používají používané servery DNS počítačů, aby našli cestu po internetu, řekl Kamínský. "Domácí uživatelé by neměli paniku," řekl v úterý konferenční hovor.

Po objevení chyby před několika měsíci Kaminsky okamžitě zaokrouhloval skupinu asi 16 bezpečnostních odborníků odpovědných za produkty DNS, kteří se setkali u společnosti Microsoft dne 31. března k tomu, abychom vyřešili problém. "Kontaktoval jsem ostatní chlapce a řekl:" Máme problém, "řekl Kamínský. "Jediný způsob, jak to udělat, je, kdybychom měli souběžné vydání na všech platformách."

Tato obrovská oprava chyby nastala v úterý, když několik z nejpoužívanějších poskytovatelů DNS softwaru vydalo opravy. Microsoft, Cisco, Red Hat, Sun Microsystems a Internet Software Consortium, tvůrci nejrozšířenějšího softwaru DNS serveru, aktualizovali svůj software pro řešení chyby.

Internetový konsorcium open source společnosti BIND (Berkeley Internet Name Domain) běží na přibližně 80% serverů DNS v Internetu. Pro většinu uživatelů BIND bude oprava jednodušší, ale pro odhadované 15 procent uživatelů BIND, kteří dosud nebyli přesunuty na nejnovější verzi softwaru BIND 9, mohou být věci trošku obtížnější.

To je protože starší verze BINDu mají některé oblíbené funkce, které byly změněny, když byl propuštěn BIND 9. Podle Joaše Damase, vedoucího programového manažera konsorcia internetového softwaru, chyba Kaminsky souvisí s tím, jak klienti a servery DNS získají informace od další servery DNS na Internetu. Když software DNS nezná adresu numerického adresy IP (Internet Protocol) počítače, požádá o tyto informace jiný server DNS. Při otravě mezipaměti útočník popírá software DNS, aby věřil, že legitimní domény, jako například Bofa.com, mapují škodlivé adresy IP.

Vědci v oblasti bezpečnosti vědí o způsobech zahájení útoků proti otravě cache proti DNS serverům již nějakou dobu, ale obvykle tyto útoky vyžadují, aby útočníci posílali mnoho dat na server DNS, který se pokoušejí infikovat, což usnadňuje detekci a zablokování útoků. Kaminsky však objevil mnohem účinnější způsob, jak spustit úspěšný útok.

Protože Kaminskyho vada leží v samotném návrhu DNS, není snadný způsob, jak to opravit, řekl Damas. Namísto toho společnosti jako ISC přidaly do svého softwaru nové bezpečnostní opatření, které snižují otravu v mezipaměti.

Z dlouhodobého hlediska je však nejúčinnějším způsobem, jak vypořádat se s otravou cache, přijmout bezpečnější verze DNS, nazvaný DNSSEC, řekl Danny McPherson, hlavní výzkumný pracovník společnosti Arbor Networks. Úterní oprava je v podstatě "hackem, který je mnohem obtížnější," řekl. "Ale neřeší problém s kořenem."

Kaminsky říká, že poskytne správcům sítě za měsíc, aby opravili svůj software, než odhalí další technické detaily o chybě na konferenci Black Hat v Las Vegas v příštím měsíci. Mezitím napsal na svém webu kód, který umožňuje uživatelům zjistit, zda jejich server DNS nebo firemní server byl opravován.