Luka w DNS wciąż groźna

Odkryta w ubiegłym roku przez Dana Kaminsky'iego luka w DNS wywołała niemałe zamieszanie wświecie IT. Podczas zakończonej właśnie konferencji Black Hat zwrócił uwagę, że stale notowane sąnowe ataki, a ogromne, uniwersalne i zmasowane patchowanie, którego byliśmy świadkami jesttylko próbą obejścia problemu. Kaminsky oczekiwał, że po roku od znalezienia usterki, ponad połowawszystkich serwerów zostanie załatanych. Jak jednak pokazują wynikibadań, po sześciu miesiącach około 66% maszyn dalej jest narażonychna atak. Wcześniej wynik ten wahał się między 30 a 85%. Analizy GeorgiaTech wskazują, iż w styczniu nastąpił wzrost liczby zarażonychserwerów, ale brakuje konkretnych danych. Kaminsky zwraca teżuwagę, że opublikowane krótko po ukazaniu się informacji o lucełatki, nie są długotrwałe, a jedynie utrudniają eksploatacjęluki. Preferowanym sposobem zabezpieczenia jest wykorzystanie protokołuzabezpieczeń DNS Security Extensions (DNSSEC). Ideą DNSSECjest rozwiązanie fundamentalnych problemów zabezpieczeń liczącegojuż ćwierć wieku systemu DNS. Niedawno łatane usterki umożliwiająceatak typu cache poisoning nie mają prawa bytu po implementacjiDNSSEC m.in. za sprawą wykorzystania podpisów cyfrowych.Umożliwiają one sprawdzenie, czy otrzymane informacje pochodzą zprawidłowego serwera. Poważną wadą są trudności w jegoimplementacji. Problemem jest chociażby konieczność cyfrowegopodpisywania stref DNS, nad czym VerSign - firma odpowiedzialna zazarządzanie główną strefą DNS - dopiero pracuje. Kaminsky sugerujetakże spojrzenie w kierunku automatyzacji i rozwiązań typu TrustAnchor Repositories, gdzie przykładowo polscy administratorzymogliby zautomatyzować podpisywanie dla domen pl.