Kaminski: zabezpečení DNS se zlepšilo jen částečně

5. 3. 2009

Sdílet

Řada společností se nasazení DNSSEC vyhýbá, podle Kaminskeho především kvůli složitosti implementace. Kaminski nicméně soudí, že nasazení DNSSEC není složitější než metoda randomizace portů, která se jako otrava proti zranitelnostem systému DNS používá nejčastěji.

Dan Kaminski, v současnosti zaměstnaný ve firmě IOActive, upozornil v minulosti již na několik bezpečnostních děr, loni se však stal známým především v souvislosti s vážnou zranitelností systému DNS. Ukázal, že DNS servery je možné zmást pomocí podvržení obsahu vyrovnávací paměti. Samotná metoda útoku byla známa v principu již dlouho, Kaminski však dokázal, že vše lze provést relativně jednoduše.

Útočníci pak mohli například uživatele elektronického bankovnictví nepozorovaně přesměrovat na vlastní podvodné stránky.

DNS servery je třeba záplatovat. Ihned

Na právě proběhlé bezpečnostní konferenci Black Hat ale Kaminski uvedl, že i dodavatelům i přes učiněný doporučuje, aby zvážili širší nasazení technologie DNSSEC. Rovněž o této technologii jsme již loni na SecurityWorldu psali, především v souvislosti s aktivitami sdružení CZNIC (viz např. zde).

Řada společností se ovšem nasazení technologie DNSSEC vyhýbá, podle Kaminskeho především kvůli složitosti implementace. Kaminski nicméně soudí, že nasazení DNSSEC není složitější než metoda randomizace portů, která se jako otrava proti zranitelnostem DNS používá nejčastěji. Rozdíl je ale v tom, že tyto postupy už byly vesměs tak jako tak provedeny. Nicméně zdaleka ne všude. Na Internetu je dnes odhadem asi 200 000 DNS serverů, z nichž jedna třetina je pomocí útoků s podvržením záznamů do vyrovnávací paměti stále zranitelná. Útočníci se o přesměrování pokoušení dnes a denně a správci serverů by rozhodně neměli záležitost nechat být. A pokud je to možné, mohli by namísto randomizace portů nasadit rovnou DNSSEC.

 

Zdroj: Computerworld.com

ICTS24