Vděčíme za záchranu DNS Danu Kaminskému?

Telefonáty od finských certifikačních agentur v šest ráno, nevybíravé slovní útoky od kolegů z bezpečnostní komunity (rozumějte i hackerské), dotíraví novináři, dokonce i uniklá prezentace určená pro bezpečnostní konferenci Black Hat, to vše znepříjemňovalo Danovi Kaminskému jeho práci na bezpečnostní záplatě i na jejím uveřejnění.

Vděčíme za záchranu DNS Danu Kaminskému?


Kaminsky podle svých slov posledních několik měsíců pracoval na plný úvazek na vyřešení chyby v protokolu DNS (systém doménových jmen), která hackerům umožňuje podstrčit DNS serveru falešné IP adresy vybraných serverů - tedy provést­ útok, který je nazýván otrávením vyrovnávací paměti DNS (DNS cache poisoning). Metoda otravy či infekce DNS není nová (běžně ji využívá například komunistická Čína pro účely cenzury v rámci projektu Zlatý štít) - zásadní novinou podle Kaminskeho ale bylo, že ji lze díky slabině DNS protokolu využít pro útok na většinu DNS serverů.

Kaminsky komunikoval s výrobci softwaru, poskytovateli internetového připojení i dalšími společnostmi i jednotlivci z bezpeč­nostní komunity, ale snažil se vše takříkajíc „udržet pod pokličkou" - poprvé na problém veřejně upozornil 8. července s tím, že firmy a poskytovatelé internetového připojení mají 30 dní na instalaci či provedení potřebných záplat před uveřejněním technických podrobností, ke kterému dojde na konferenci Black Hat začátkem srpna. Podrobnosti bohužel unikly 21. července z jedné z bezpečnostních firem a poměrně rychle se rozšířily po internetu. Ve středu 6. srpna, během pátého dne konference o internetové bezpečnosti Black Hat, zveřejnil na přeplněné konferenci další detaily, mimo jiné vyjmenoval nepřeberně různých útoků, které mohou využívat chybu v DNS. Mluvil také o práci, kterou již udělal, aby opravil některé internetové služby, jež by také mohly být zasaženy útoky.

Prováděl například pokusy, během kterých se mu podařilo využít chyb ve fungování DNS protokolů a našel způsob, jak velmi rychle zaplnit DNS servery nepřesnými informacemi. Hackeři mohou tuto metodu zneužít k přesměrování uživatelů na falešné internetové stránky - takové, které by mámily z návštěvníka soukromé údaje a při té příležitosti zamořovaly jeho počítač všelijakými škodlivými programy. To byl však jen jeden z mnoha způsobů zneužití DNS chyby, na konferenci popsal řadu dalších, zmiňme možnost napadení e-mailových zpráv, systémů pro aktualizaci aplikací nebo i infikování nástrojů pro obnovu zapomenutého hesla, které je standardní výbavnou většiny webmailů i diskuzních fór. Kaminsky ukázal, že dokonce i SSL certifikáty používané k ověření internetových stránek mohou být přelstěny skrze DNS útok a předvedl, jaký problém představují „forgot my password" útoky - tedy zneužití funkce „zapomenuté heslo". Jde o situaci­, kdy může uživatel zažádat o zaslání zapomenutého hesla k přístupu k elektronické poště či jiné aplikaci. Na komerční úrovni se to týká zejména firem, jejichž webmail zároveň takový nástroj nabízí. Hacker by mohl předstírat oprávněného uživatele, požádat o zaslání hesla, a to si prostřednictvím DNS hackingu nechat zaslat na svůj počítač, nikoli do e-mailu skutečného vlastníka schránky.

Není pochyb o tom, že Kaminsky udělal v oblasti výzkumu slabin DNS obrovský kus práce (ostatně je na tuto oblast expertem - v minulosti využil DNS k odhadnutí počtu počítačů napadených rootkitem Sony BMG či odhalil chybu v DNS serverech společnosti Earthlink) a pomohl připravit opravu chyby, která mohla skutečně ohrozit poskytovatele i uživatele. Otázkou ale zůstává, zda Kaminsky zvolil při zveřejňování celé kauzy postup bezpečný, či senzacechtivý. Je na místě uvést, že zmíněná chyba v DNS protokolu (která souvisí mimo jiné s tím, že transakce jsou číslovány sekvenčně a nikoliv náhodně) některé DNS neohrozila. Byly to OpenDNS, Mara- ‑DNS a PowerDNS, jejichž výrobci o slabině dobře věděli (poprvé totiž byla v náznaku zveřejněna Danielem J. Bernsteinem již v roce 2001) a už dávno své produkty opravili.

Kaminsky odvedl obrovský kus práce při komunikaci a spolupráci s dodavateli DNS systémů i při výzkumu možností zneužití slabin jejich standardní implementace. Zároveň se ale zdá, že vše načasoval jako velkou show, která měla vyvrcholit na konferenci Black Hat. Velká dávka „hype" spolu s předčasně uniklými informacemi však vedla především k tomu, že se na problém zaměřili sami hackeři, kteří záhy vytvořili několik nástrojů pro útoky na DNS, s jejichž pomocí se do této „zábavy" pustili stovky či tisíce teenagerů. O tom svědčí jistě i ocenění Pwnie Award, které Kaminsky dostal v rámci Black Head za „Most Overhyped Bug" (tedy za chybu, kolem které bylo nejvíc zbytečného povyku).

Pokud si nejste jisti, zda je DNS systém vaší firmy či poskytovatele opraven, můžete využít služby DNS Checker na Kaminského blogu: www.doxpara.com.





Komentáře