Фундаментална грешка в домейните развързваше ръцете на хакерите
Наско Атанасов
четвъртък, 10 Юли 2008 14:35ч
Тези дни в системата на интернет бе ликвидирана фундаментална грешка, благодарение на която злосторниците успяваха да подправят адреси в уебсайтовете. Грешката се отнася до използването на домейните и затова изисква координирани действия на всички разработчици на сървърен софтуер.
Притежателите на Winodows, Linux, Unix и Mac сървъри може би са забелязали, че в техните системи от вчера вечерта е достъпна нова версия на DNS-сървъра (например Bind). Обновлението пуснаха и такива крупни производители на мрежово оборудване като Cisco.
Грешката на технически език се нарича „отравяне на DNS“. Тя позволява да се подменят редица записи в DNS-сървърите така, че при избирането на какъвто и да е обикновен адрес в сайта, потребителят да се отпрати директно в сайта на хакерите. Тази опасност засяга и електронната поща. Ситуацията се усложнява от това, че тази опасност е сървърна и затова е невъзможно да се защитиш от нея на десктопа.
Тази фундаментална уязвимост беше открита още миналата година от Дан Камински, експерт на компанията IO Active. Поради нейната особена опасност сам Камински и IO Active предоставиха данните за нея само на легитимни разработчици на софтуер, а широката общественост само знаеше за някаква сериозна уязвимост на DNS.
С помощта на тази грешка злосторниците при наличието на определени знания и школовка могат да пренасочат целия трафик на който и да е домейн, например www.google.com, на външни сървъри, в резултат на което поверителните данни, съдържащи се в легалния сайт, се оказват изцяло на разположението на злосторниците.
Дан Камински разказва, че когато му се отдало да открие въпросната уязвимост той съобщил за нея на US CERT (U.S. Computer Emergency Readiness Team), а също и на няколко крупни компании, производителки на софтуер. Разбирайки сериозността на ситуацията, всички осведомени страни се съгласили да държат под секрет данните за грешката. През март в щаба на Microsoft се състоя среща на 16 водещи световни производители, на която бе избран план за поправка на грешката и бе утвърден график за пускането на новата версия на сървърното програмно осигуряване.
Снощи Microsoft, заедно с традиционния за месеца набор от поправки, пускан в първия вторник на всеки месец, обнови системата за управление на домейните на имената в сървърите на Windows. Ъпгрейд получиха и потребителите на Cisco оборудване. Също вчера на сайта Internet Systems Consortium беше публикувана и новата версия на системата Bind. Едновременно с това излязоха и новите версии на този пакет за големите Linux системи: Red Hat, Suse, Mandriva, Ubuntu и други.
Камински казва, че независимо от сериозността на грешката, на него не му се е отдало да открие в мрежата случаи за използването й. „Производителите стигнаха до съгласие, че измененията, направени в сървърите, не засягат работата на съществуващите инфраструктури, но свеждат до минимум използването на тази уязвимост“, допълва той.
Нека да поясним същината на грешката. Цялата работа на глобалната мрежа фактически зависи от работата на домейн системите. Основната задача на домейн системите на имената (DNS) се състои в преобразуването на буквените домейни в техния числов аналог или IP адрес. Системата фактически работи в две посоки – т.е. транслира домейните в IP адреси и обратно. В глобалната мрежа съществуват около 200 000 средни и големи DNS-сървъри, обслужващи милиони потребители, но всяка домейн архитектура е организирана по веригата, т.е. разрешаването на имената идва от основните сървъри, но всеки DNS сървър има свой главен сървър, от който получава необходимите за работата данни за домейните и IP адресите.
В този механизъм е скрита грешката. Механизмът на предаване на информацията от домейните и нейната идентификация е слабото звено във всички DNS системи. Подчиненият сървър не може да определи дали зададените от него запитвания за DNS разрешения са с легални данни от авторитетен сървър или събрана от хакерите фалшифицирана информация. За идентификация на DNS пакетите се използват случайни идентификационни номера, но проблемът е в това, че тези „случайни“ номера, използвани като идентификатори, са всичко 65 000. Нещо повече, всеки сървър има определена последователност при създаването на „случайните“ запитвания, затова злосторникът може да фалшифицира „случайния номер“ и да подаде на DNS сървъра невярна информация за домейните и съответстващите им адреси.
Старши програмнията мениджър на Internet Systems Consortium Джоа Дамас твърди, че на разработчиците на DNS сървъри им се налага да изменят механизма за създаване на „случайните номера“, за да се премахне лимитът от 65 000 последователности и освен това да се добавят защитни механизми, позволяващи на сървъра бързо да „забравя“ некоректните данни.
