Luka w DNS poważniejsza niż przewidywano

Strona głównaLuka w DNS poważniejsza niż przewidywano
09.09.2008 20:34
Adam Wróblewski
Adam Wróblewski

Wielokrotnie informowaliśmy o luce w systemie nazw Domian Name Sever (DNS).Wydawać by się mogło, że została ona zamknięta. Eksperci są jednakzdania, że cała sprawa jest daleka od zakończenia. Przypomnijmy, że na trop wspomnianej usterki wpadła na początkutego roku firma IOActive, a konkretnie Dan Kaminsky, prowadząc donajwiększego łatania w historii Internetu. Pozwala ona atakującemu,wykorzystując specjalny typ żądań, doprowadzić do przejęcia sesjiTCP/IP, wskutek czego przekierowania sporej ilości osób naodpowiednio spreparowane witryny. Działanie opracowanych poprawek,bez względu na platformę systemową, polega na dodaniu mechanizmulosowania portów w portach używanych do transakcji identyfikatorówwykorzystywanych do uwierzytelniania sesji internetowych,zmniejszając ryzyko ich przejęcia. Jak pokazują ubiegłotygodniowe badania - liczba serwerów podatnychna ataki z ponad 85 procent, zmalała do mniej niż 30. Zdaniemjednak Kamińskiego i innych ekspertów, nie eliminują one w całościluki, a jednie utrudniają napastnikowi przeprowadzenie pomyślnegoataku. Przewidują oni więc kolejną porcję poprawek w najbliższymczasie. Aczkolwiek szansa ich wdrożenia równocześnie przezadministratorów wszystkich środowisk serwerów DNS jest znaczniemniejsza niż poprzednio. Obejmowałyby bowiem one więcej, częstospecyficznych produktów, aniżeli łatanie sposobu losowania portów.Dlatego mają sprawiać, że serwery będą pracowały bardziej w sposóbdefensywny, w momencie wykrycia ruchu próbującego wykorzystaćlukę. Tu pojawiają się obawy na temat braku możliwości zastosowaniatechniki randomizacji już na poziomie zapory. Kaminsky twierdzirównież, że nawet po wydaniu kolejnej serii patchy, podatnościdalej będą istnieć. Metoda kompletnego zabezpieczenia wymagałabędzie natomiast wprowadzenia wyboru autoryzowanych serwerów.Przestrzega także o zagrożeniu, jakie może wraz z sobą nieśćkorzystanie z poczty elektronicznej, w przypadku gdy nazwa serwerapocztowego ulegnie uszkodzeniu, a co za tym idzie - możliwościprzekierowywania niezaszyfrowanych wiadomości pocztowych.

Oceń jakość naszego artykułuTwoja opinia pozwala nam tworzyć lepsze treści.
Udostępnij:
Wybrane dla Ciebie
Komentarze (16)