Verisign obviněn, že neumí zajistit bezpečnost domény .com

Společnost Verisign, mj. správce TLD domén .com a .net, podle bezpečnostního výzkumníka Andrewa Frieda není schopna zajistit potřebnou bezpečnost.


Ačkoliv jí byly reportovány celé dlouhé seznamy webů, které distribuují malware, nebyla proti nim schopna účinně zasáhnout. Tyto weby se nacházejí např. v Rusku a Turecku.

V této kauze figurují např. weby v Rusku, které se snaží o exploit (tzv. JustExploit) zranitelnosti ve zpracování Javy. Místní registrátoři v Rusku a Turecku dostali dávno příslušné informace, neudělali ale nic a doménová jména jsou nadále aktivní. Totéž platí pro VeriSign, která by měla zasáhnout buď přímo proti podvodným webům, nebo i proti svým nečinným partnerům.

Fried pronesl své obvinění minulý týden na bezpečnostní konferenci Black Hat. Pro americký Computerworld dodal, že pokládá za neuvěřitelné, pokud se takto chová americký subjekt – nedostatek ochoty kooperovat u registrátorů v Rusku nebo Číně podle něj překvapivý naopak není. Mluvčí společnosti Verisign kritiku odmítl a uvedl, že firma všechna podobná oznámení standardně řeší a dále kontaktuje lokální registrátory.

Inkriminované weby distribuující malware používají techniku fast flux. Tato postup obnáší rychlé přepínání IP adres odpovídajících doménovým jménům. Používali ji původně velcí provozovatelé hostingu k rychlému přesměrování provozu v případě, že server selže nebo je třeba zahlcen útokem DDoS. Nyní si fast flux oblíbili i podvodníci. Jednou z možností je používat pro „přepínání“ infikované uzly v botnetu, které pro vlastní server s malwarem fungují jako proxy.

Při této technice nestačí zablokovat škodlivou IP adresu, protože ta se neustále mění a fyzicky je server prakticky nemožné vystopovat. Bylo by třeba vyřadit několik serverů či rozsahů adres. Účinné je proto pouze zrušit/zablokovat příslušné doménové jméno a těžiště boje se přesouvá od poskytovatelů Internetu k registrátorům. V celém problému nejde jen o vůli registrátorů rušit domény, ale i o rychlost tohoto postupu. V ideálním případě reaguje registrátor ihned. Pokud po upozornění výzkumníků následuje diskuse mezi lokálním registrátorem a společností VeriSign, podvodníci mají podle Frieda spoustu času infikovat další počítače.

Otázkou, jak řešit útoky fast flux, se už v současnosti zabývá ICANN (Internet Corporation for Assigned Names and Numbers, mezinárodní organizace spravující doménový systém a přidělování IP adres).

 











Komentáře