Každý čtvrtý DNS server je stále zranitelný vůči Kaminskému útoku

David Budai, 13. listopad 2008 01:20 0 komentářů
Rubriky: Security, Internet

Lupa
Podle posledního výzkumu společnosti The Measurement Factory je čtvrtina DNS serverů stále zranitelná vůči útoku, který před několika měsíci objevil bezpečnostní expert Dan Kaminski. Útokům typu DDoS se neubrání dokonce 40 procent serverů. Tato alarmující čísla jsou dána nejen samotnou povahou starého DNS protokolu, ale také samotnými firmami, které z mnoha důvodů neprovádějí aktualizace svých serverů.

0101

Když Dan Kaminsky, bývalý zaměstnanec společnosti Cisco, v srpnu tohoto roku zveřejnil bezpečnostní trhlinu u DNS serverů, prolétly tyto informace snad všemi významnými médii. Hovořilo se dokonce o bezpečnostní hrozbě desetiletí a jejím možném katastrofickém dopadu na celý internet. Útok typu „cache poisioning“ je známý již dlouhou dobu, ale Kaminsky přišel na mnohem snadnější způsob, jak ho využít právě proti DNS serverům.

Měsíce uplynuly a zmíněný výzkum naznačuje, že příliš mnoho kroků směrem k zabezpečení učiněno nebylo. Miliony serverů na internetu jsou tak stále snadno zranitelné, jednak vůči Kaminskému útoku, ale také vůči distribuovaným útokům na odepření služby (DDoS). Mnoho z nich totiž stále nevyužívá randomizace portů (Port Randomization), která by těmto útokům měla zabránit, nebo zbytečně umožňuje vyřizovat rekurzivní požadavky.

„Vyřizování rekurzivních požadavků představuje velké nebezpečí. Útočník toho může snadno využít k oklamání DNS serveru, který pak bude uživatelům nabízet zaměněná data,“ říká Paul Parisi, CTO společnosti DNSstuff. Jiný výzkum provedený touto společností potvrzuje výše uvedená fakta s tím, že 31 procent účastníků zatím neprovedlo potřebné záplatování serverů nebo nemělo dostatečné technické znalosti k jejich provedení. „Je to udivující, vzhledem k tomu, jaká pozornost byla tomuto problému věnována.“

V době vzniku DNS byla bezpečnost druhořadá

Tvůrce DNS Paul Mockapetris říká, že když v 80. letech protokol psal, byla stránka bezpečnosti úmyslně vypuštěna s tím, že bude včleněna později. Tímto zabezpečením by měl být standard DNSSEC, což je bezpečnostní rozšíření DNS. Uživatelům poskytne jistotu, že informace, které z DNS získal, byly poskytnuty správným zdrojem, jsou úplné a jejich integrita nebyla při přenosu narušena.

Problémem však podle Mockapetrise bude rozšíření DNSSEC. První zmínky o této technologii se sice objevily už před mnoha lety a nyní už je prakticky připravena na implementaci, mnoho organizací však prý odrazuje její složitost nebo nedostatečná informovanost.

Česká republika se mezi státy využívající DNSSEC zařadila v září, po prvním měsíci provozu je tímto způsobem chráněno už 245 domén.

Přečtěte si také


Vint Cerf: Internet čekají velké změny
CZ.NIC zavede technologii DNSSEC v Česku
Trojský kůň jako nový bankovní lupič


Komentáře

RSS 

Komentujeme

Další na řadě je bezpečnost

Richard Jan Voigts , 09. říjen 2017 00:00
Richard Jan Voigts

Co všechno lze automatizovat pomocí strojového učení? Larry Ellison, technologický ředitel společnos...

Více







RSS 

Zprávičky

Vědci z Brna našli slabinu při generování kryptografických klíčů

ČTK , 17. říjen 2017 12:33

Brněnským vědcům se podařilo odhalit vážné bezpečnostní riziko spojené s čipy německého výrobce Infi...

Více 0 komentářů

Závažná chyba v protokolu WPA2

ČTK , 17. říjen 2017 08:00

Odborníci z univerzity v belgické Lovani odhalili závažnou chybu ohrožující bezpečnost internetového...

Více 0 komentářů

Bělobrádek chce evropská pravidla pro internetová média

ČTK , 17. říjen 2017 00:55

Podle expertů na internetová média jde o předvolební proklamaci. ...

Více 1 komentářů

Starší zprávičky

Mobilní signál bude i v tunelech pražského metra

ČTK , 16. říjen 2017 15:19

V první fázi by měl být signál na trase metra C mezi stanicemi Muzeum a Roztyly....

Více 0 komentářů

Další velká pokuta pro Qualcomm, tentokrát na Tchaj-wanu

ČTK , 16. říjen 2017 13:10

Qualcomm čelí vyšetřování také v Evropské unii....

Více 0 komentářů

Vybudování infrastruktury na vysokorychlostní internet bude stát 120 až 150 miliard Kč

Pavel Houser , 16. říjen 2017 08:00

Firmy na jednání Hospodářské komory potvrdily, že mají zájem čerpat prostředky na výstavbu vysokoryc...

Více 0 komentářů

Qualcomm se žalobou snaží zakázat prodej iPhonů v Číně

ČTK , 14. říjen 2017 08:00

Obě firmy vedou právní spory kvůli licencím technologií firmy Qualcomm již měsíce....

Více 0 komentářů